관리 액세스 구성
관리 액세스는 컨피그레이션 및 모니터링을 위해 위협 방어 디바이스에 로그인하는 기능을 의미합니다. 다음과 같은 항목을 구성할 수 있습니다.
-
사용자 액세스 인증에 사용할 ID 소스를 식별할 AAA. 로컬 사용자 데이터베이스 또는 외부 AAA 서버를 사용할 수 있습니다. 관리자 권한 사용자를 관리하는 방법에 대한 자세한 내용은 Device Manager 및 Threat Defense 사용자 액세스 관리의 내용을 참조하십시오.
-
관리 인터페이스 및 데이터 인터페이스에 대한 액세스 제어. 이러한 인터페이스에는 별도의 액세스 목록이 있습니다. HTTPS(device manager에 사용됨) 및 SSH(CLI에 사용됨)에 어떤 IP 주소를 허용할지 결정할 수 있습니다. 관리 액세스 목록 구성를 참조하십시오.
-
사용자가 Fdevice manager에 연결하기 위해 승인해야 하는 Management Web Server 인증서. 현재 사용 중인 웹 브라우저에서 기존에 인증한 인증서를 업로드하면, 알 수 없는 인증서를 승인하라는 요청이 사용자에게 표시되지 않습니다. Threat Defense 웹 서버 인증서 구성의 내용을 참조하십시오.
관리 액세스 목록 구성
기본적으로는 모든 IP 주소에서 관리 주소의 디바이스의 device manager 웹 또는 CLI 인터페이스에 연결할 수 있습니다. 시스템 액세스는 사용자/비밀번호를 통해서만 보호됩니다. 그러나 특정 IP 주소 또는 서브넷으로부터의 연결만 허용하도록 액세스 목록을 구성하여 보호 레벨을 추가로 제공할 수 있습니다.
데이터 인터페이스를 열어 device manager 또는 SSH의 CLI 연결을 허용할 수도 있습니다. 그러면 관리 주소를 사용하지 않고도 디바이스를 관리할 수 있습니다. 예를 들어 디바이스를 원격으로 구성하기 위해 외부 인터페이스에 대한 관리 액세스를 허용할 수 있습니다. 사용자 이름/비밀번호를 통해 원치 않는 연결로부터 디바이스를 보호할 수 있습니다. 기본적으로 데이터 인터페이스에 대한 HTTPS 관리 액세스는 내부 인터페이스에서는 활성화되지만 외부 인터페이스에서는 비활성화됩니다. device managerFirepower 1010에서 "내부" 브리지 그룹이 있는 의 경우 브리지 그룹 내에 있는 모든 데이터 인터페이스를 통해 브리지 그룹 IP 주소(기본값: 192.168.95.1)에 대한 Firepower Device Manager 연결을 설정할 수 있습니다. 디바이스에 진입하는 데 사용하는 인터페이스에서만 관리 연결을 열 수 있습니다.
경고 |
특정 주소에 대한 액세스를 제한하면 시스템이 잠겨 사용이 차단되기 쉽습니다. 현재 사용 중인 IP 주소에 대한 액세스 권한을 삭제하여 "모든" 주소에 대한 항목이 없으면 정책 배포 시 시스템에 액세스할 수 없게 됩니다. 따라서 액세스 목록을 구성하려는 경우 각별히 주의해야 합니다. |
시작하기 전에
동일한 TCP 포트에 대한 동일한 인터페이스에서 device manager 액세스(HTTPS 액세스)와 원격 액세스 SSL VPN을 모두 구성할 수는 없습니다. 예를 들어, 외부 인터페이스에서 원격 액세스 SSL VPN을 구성하는 경우, 포트 443에서 HTTPS 연결에 대한 외부 인터페이스도 열 수 없습니다. 동일한 인터페이스에서 두 기능을 모두 구성하는 경우 충돌을 방지하기 위해 이러한 서비스 중 하나 이상에 대해 HTTPS 포트를 변경해야 합니다.
프로시저
단계 1 |
디바이스을(를) 클릭한 다음, 링크를 클릭합니다. System Settings(시스템 설정) 페이지가 이미 열려 있는 경우 목차에서 Management Access(관리 액세스)를 클릭하면 됩니다. 이 페이지에서 AAA를 구성하여 외부 AAA 서버에 정의된 사용자에 대해 관리 액세스를 허용할 수도 있습니다. 자세한 내용은 Device Manager 및 Threat Defense 사용자 액세스 관리를 참조해 주십시오. |
단계 2 |
관리 주소에 대한 규칙을 생성하려면 다음을 수행합니다. |
단계 3 |
데이터 인터페이스에 대한 규칙을 생성하려면 다음을 수행합니다. |
데이터 인터페이스에서 관리 액세스에 대한 HTTPS 포트 구성
기본적으로 device manager 또는 threat defense API 관리를 위해 디바이스에 액세스하면 포트 TCP/443을 통과합니다. 데이터 인터페이스에 대한 관리 액세스 포트를 변경할 수 있습니다.
포트를 변경하는 경우 사용자는 시스템에 액세스하려면 URL에 맞춤형 포트를 포함해야 합니다. 예를 들어 데이터 인터페이스가 ftd.example.com이고 포트를 4443으로 변경하는 경우 사용자는 URL을 https://ftd.example.com:4443으로 수정해야 합니다.
모든 데이터 인터페이스는 동일한 포트를 사용합니다. 인터페이스마다 다른 포트를 구성할 수 없습니다.
참고 |
관리 인터페이스의 관리 액세스 포트는 변경할 수 없습니다. 관리 인터페이스는 항상 포트 443을 사용합니다. |
프로시저
단계 1 |
Device(디바이스)를 클릭한 후 링크를 클릭합니다. System Settings(시스템 설정) 페이지가 이미 열려 있는 경우 목차에서 Management Access(관리 액세스)를 클릭하면 됩니다. |
단계 2 |
Data Interfaces(데이터 인터페이스) 탭을 클릭합니다. |
단계 3 |
HTTPS Data Port(HTTPS 데이터 포트) 번호를 클릭합니다. |
단계 4 |
Data Interfaces Setting(데이터 인터페이스 설정) 대화 상자에서 HTTPS Data Port(HTTPS 데이터 포트)를 사용하려는 포트로 변경합니다. 다음 번호는 지정할 수 없습니다.
|
단계 5 |
OK(확인)를 클릭합니다. |
Threat Defense 웹 서버 인증서 구성
웹 인터페이스에 로그인할 경우, 시스템은 디지털 인증서를 사용하여 HTTPS를 사용하는 통신을 보호합니다. 기본 인증서는 브라우저에서 신뢰하지 않으므로, Untrusted Authority(신뢰할 수 없는 증명) 경고가 표시되며 해당 인증서를 신뢰할 것인지 묻는 메시지가 표시됩니다. 사용자는 신뢰할 수 있는 루트 인증서 저장소에 인증서를 저장할 수 있지만, 그 대신에 브라우저에서 신뢰하도록 이미 컨피그레이션되었다는 새 인증서를 업로드할 수 있습니다.
프로시저
단계 1 |
Device(디바이스)를 클릭한 후 링크를 클릭합니다. System Settings(시스템 설정) 페이지가 이미 열려 있는 경우 목차에서 Management Access(관리 액세스)를 클릭하면 됩니다. |
단계 2 |
Management Web Server(관리 웹 서버) 탭을 클릭합니다. |
단계 3 |
Web Server Certificate(웹 서버 인증서)에서 device manager에 대한 HTTPS 연결을 보호하는 데 사용할 내부 인증서를 선택합니다. 인증서를 업로드하거나 생성하지 않은 경우, 목록 하단의 Create New Internal Certificate(새 내부 인증서 생성) 링크를 클릭하여 지금 인증서를 생성합니다. 기본값은 사전 정의된 DefaultWebserverCertificate 개체입니다. |
단계 4 |
인증서가 자체 서명되지 않은 경우 완전 신뢰 체인의 모든 중간 및 루트 인증서를 Trusted Chain(신뢰할 수 있는 체인) 목록에 추가합니다. 체인에서 인증서를 10개까지 추가할 수 있습니다. +를 클릭하여 각 중간 인증서를 추가하고 마지막으로 루트 인증서를 추가합니다. Save(저장)를 클릭한 다음, 웹 서버가 재시작되는 것을 경고하는 대화 상자에서 Proceed(계속 진행)를 클릭하는 경우, 인증서가 누락되면 누락된 체인에서 다음 인증서의 공통 이름이 포함된 오류 메시지가 표시됩니다. 체인에 없는 인증서를 추가하는 경우에도 오류가 표시됩니다. 이러한 메시지를 신중하게 검사하여 추가하거나 제거해야 하는 인증서를 식별합니다. +를 클릭한 후에 Create New Trusted CA Certificate(신뢰할 수 있는 새 CA 인증서 생성)을 클릭하여 여기에서 인증서를 업로드할 수 있습니다. |
단계 5 |
Save(저장)를 클릭합니다. 변경 사항이 즉시 적용되고, 시스템에서는 웹 서버를 다시 시작합니다. 컨피그레이션을 구축할 필요가 없습니다. 재시작이 완료될 때까지 몇 분간 기다렸다가 브라우저를 새로고침합니다. |