디바이스 관리 관련 정보
FMC를 사용하여 디바이스를 관리합니다.
FMC 및 디바이스 관리 관련 정보
Firepower Management Center는 디바이스를 관리할 때 자체와 디바이스 간에 양방향 SSL 암호화 통신 채널을 설정합니다. FMC는 이 채널을 사용하여 네트워크 트래픽을 분석하고 관리하고자 하는 방법에 대한 정보를 디바이스로 전송합니다. 디바이스는 트래픽을 평가할 때 이벤트를 생성하고 동일한 채널을 사용하여 FMC로 전송합니다.
FMC를 사용하여 디바이스를 관리하면 다음을 수행할 수 있습니다.
-
단일 위치에서 모든 디바이스에 대한 정책을 구성하므로 설정을 좀 더 쉽게 변경할 수 있습니다.
-
디바이스에 각종 소프트웨어 업데이트를 설치할 수 있습니다.
-
관리되는 디바이스에 상태 정책을 푸시하고 FMC에서 상태를 모니터링할 수 있습니다.
FMC는 침입 이벤트, 네트워크 검색 정보 및 디바이스 성능 데이터를 집계하고 상호 연결하므로 사용자는 디바이스가 상호 관계에 대해 보고하는 정보를 모니터링하고 네트워크에서 발생하는 전반적인 활동을 평가할 수 있습니다.
FMC를 사용하면 디바이스 동작의 거의 모든 부분을 관리할 수 있습니다.
참고 |
하지만 FMC은 http://www.cisco.com/c/en/us/support/security/defense-center/products-device-support-tables-list.html에서 사용 가능한 호환성 매트릭스에서 지정된 일부 이전 릴리스가 실행되는 디바이스를 관리할 수 있으며 이런 이전 릴리스를 사용하는 디바이스에서는 새로운 기능을 사용할 수 없습니다. |
Firepower Management Center로 관리할 수 있는 내용
Firepower Management Center를 중앙 관리 지점으로 사용하여 FTD 디바이스를 관리할 수 있습니다.
디바이스를 관리할 때에는 FMC와 디바이스 간에 안전한 SSL 암호화 TCP 터널을 통해 정보가 전송됩니다.
다음 그림에서는 FMC 및 해당 매니지드 디바이스 간에 무엇이 전송되는지를 보여줍니다. 어플라이언스 간에 전송되는 이벤트와 정책의 유형은 디바이스 유형을 기반으로 합니다.
정책 및 이벤트 이상
디바이스에 정책을 구축하고 디바이스에서 이벤트를 수신하는 것 외에도 Firepower Management Center에서는 다른 디바이스 관련 작업을 수행할 수 있습니다.
디바이스 백업
디바이스 자체에서 관리되는 물리적 디바이스의 백업을 수행할 경우 디바이스 설정만 백업됩니다. 설정 데이터 및 선택적으로 통합된 파일을 백업하려면 관리하는 Firepower Management Center를 사용하여 디바이스의 백업을 수행할 수 있습니다.
이벤트 데이터를 백업하기 위해서는 관리하는 Firepower Management Center의 백업을 수행합니다.
디바이스 업데이트
Cisco는 다음과 같은 Firepower System의 업데이트를 수시로 배포합니다.
-
새로운 침입 규칙과 업데이트된 침입 규칙이 포함되는 침입 규칙 업데이트
-
취약성 데이터베이스(VDB) 업데이트
-
지리위치 업데이트
-
소프트웨어 패치 및 업데이트
관리하는 디바이스에 업데이트를 설치하려면 Firepower Management Center를 사용할 수 있습니다.
디바이스 관리 인터페이스
각 디바이스는 FMC와 통신하기 위한 단일 전용 관리 인터페이스를 포함합니다. 선택적으로 전용 관리 인터페이스 대신 관리용 데이터 인터페이스를 사용하도록 디바이스를 구성할 수 있습니다.
관리 인터페이스 또는 콘솔 포트에서 초기 설정을 수행할 수 있습니다.
관리 인터페이스는 Smart Licensing 서버와 통신하고, 업데이트를 다운로드하고, 기타 관리 기능을 수행하는 작업에도 사용됩니다.
매니지드 디바이스의 관리 인터페이스
디바이스를 설정할 때 연결할 FMC IP 주소를 지정합니다. 관리 및 이벤트 트래픽은 초기 등록 시 이 주소로 이동합니다. 참고: 일부 경우에 FMC는 다른 관리 인터페이스에서 초기 연결을 설정할 수 있습니다. 후속 연결은 지정된 IP 주소가 있는 관리 인터페이스를 사용해야 합니다.
FMC에 별도의 이벤트 전용 인터페이스가 있는 경우, 네트워크가 허용하는 경우 매니지드 디바이스에서 후속 이벤트 트래픽을 FMC 이벤트 전용 인터페이스로 보냅니다. 또한 일부 매니지드 디바이스 모델에는 이벤트 전용 트래픽에 대해 구성할 수 있는 추가 관리 인터페이스가 포함되어 있습니다. 관리를 위해 데이터 인터페이스를 구성하는 경우 별도의 관리 및 이벤트 인터페이스를 사용할 수 없습니다. 이벤트 네트워크가 다운되면 이벤트 트래픽은 FMC 및/또는 매니지드 디바이스의 일반 관리 인터페이스로 되돌아갑니다.
FTD 데이터 인터페이스를 사용하여 관리하는 방법에 대한 정보
FMC와의 통신에 전용 관리 인터페이스 또는 일반 데이터 인터페이스를 사용할 수 있습니다. 외부 인터페이스에서 원격으로 FTD를 관리하려는 경우 또는 별도의 관리 네트워크가 없는 경우 데이터 인터페이스의 관리자 액세스가 유용합니다.
데이터 인터페이스에서의 관리자 액세스에는 다음과 같은 제한이 있습니다.
-
하나의 물리적 데이터 인터페이스에서만 FMC 액세스를 활성화할 수 있습니다. 하위 인터페이스 또는 EtherChannel은 사용할 수 없습니다.
-
이 인터페이스는 관리 전용일 수 없습니다.
-
라우팅 인터페이스를 사용하는 라우팅 방화벽 모드 전용입니다.
-
PPPoE는 지원되지 않습니다. ISP에 PPPoE가 필요한 경우 FTD와 WAN 모뎀 간에 PPPoE를 지원하는 라우터를 설치해야 합니다.
-
인터페이스는 전역 VRF에만 있어야 합니다.
-
SSH는 데이터 인터페이스에 대해 기본적으로 활성화되어 있지 않으므로 나중에 FMC를 사용하여 SSH를 활성화해야 합니다. 관리 인터페이스 게이트웨이가 데이터 인터페이스로 변경되므로, configure network static-routes 명령을 사용하여 관리 인터페이스에 대한 고정 경로를 추가하지 않는 한 원격 네트워크에서 관리 인터페이스로 SSH 연결할 수도 없습니다. Amazon Web Services의 FTDv에서는 콘솔 포트를 사용할 수 없으므로 구성을 계속하기 전에 관리 인터페이스에 대한 SSH 액세스를 유지해야 합니다. 또는 관리자 액세스를 위해 데이터 인터페이스를 설정하고 연결을 끊기 전에 모든 CLI 구성(configure manager add 명령 포함)을 완료해야 합니다.
-
별도의 관리 및 이벤트 전용 인터페이스를 사용할 수 없습니다.
-
고가용성은 지원되지 않습니다. 이 경우에는 관리 인터페이스를 사용해야 합니다.
-
클러스터링은 지원되지 않습니다. 이 경우에는 관리 인터페이스를 사용해야 합니다.
디바이스 모델별 관리 인터페이스 지원
관리 인터페이스 위치에 대한 모델의 하드웨어 설치 가이드를 참조하십시오.
참고 |
Firepower 4100/9300의 경우 MGMT 인터페이스는 섀시 관리를 위한 것이며 FTD 논리적 디바이스 관리를 위한 것이 아닙니다. 별도의 NIC 인터페이스를 mgmt(및/ 또는 firepower-eventing) 유형으로 구성한 다음 FTD 논리적 디바이스에 할당해야 합니다. |
참고 |
모든 섀시에 대한 FTD의 경우 물리적 관리 인터페이스는 SNMP 또는 시스템 로그에 유용한 논리적 진단 인터페이스 인터페이스 간에 공유되며 FMC의 데이터 인터페이스 및 FMC 통신의 논리적 관리 인터페이스와 함께 구성됩니다. 자세한 내용은 관리/진단 인터페이스를 참조하십시오. |
각 매니지드 디바이스 모델에서 지원되는 관리 인터페이스는 다음 표를 참조하십시오.
모델 |
관리 인터페이스 |
선택적 이벤트 인터페이스 |
||||
---|---|---|---|---|---|---|
Firepower 1000 |
management0
|
지원 안 함 |
||||
Firepower 2100 |
management0
|
지원 안 함 |
||||
Secure Firewall 3100 |
management0
|
지원 안 함 |
||||
Firepower 4100 및 9300 |
management0
|
management1
|
||||
ISA 3000 |
br1
|
지원 안 함 |
||||
Firepower Threat Defense Virtual |
eth0 |
지원 안 함 |
디바이스 관리 인터페이스의 네트워크 라우트
관리 인터페이스(이벤트 전용 인터페이스 포함)는 정적 경로만 지원하여 원격 네트워크에 연결할 수 있습니다. 매니지드 디바이스를 설정하면 설정 과정에서 지정한 게이트웨이 IP 주소에 대한 기본 경로가 생성됩니다. 이 경로는 삭제할 수 없으며 게이트웨이 주소만 수정할 수 있습니다.
참고 |
관리 인터페이스의 라우팅은 데이터 인터페이스에 대해 구성한 라우팅과는 완전히 분리됩니다. 전용 관리 인터페이스를 사용하는 대신 관리용 데이터 인터페이스를 설정하는 경우 데이터 라우팅 테이블을 사용하도록 트래픽이 백플레인을 통해 라우팅됩니다. 이 섹션의 정보는 적용되지 않습니다. |
일부 플랫폼에서는 여러 관리 인터페이스를 설정할 수 있습니다(관리 인터페이스 및 이벤트 전용 인터페이스). 기본 경로는 인그레스 인터페이스를 포함하지 않으므로 선택한 인터페이스는 지정한 게이트웨이 주소와 게이트웨이가 속한 인터페이스의 네트워크에 따라 다릅니다. 기본 네트워크의 여러 인터페이스의 경우 디바이스는 더 낮은 번호의 인터페이스를 인그레스 인터페이스로 사용합니다.
원격 네트워크에 액세스하기 위해서는 관리 인터페이스당 최소 1개의 정적 경로가 권장됩니다. 다른 디바이스에서 FTD 로의 라우팅 문제를 비롯하여 잠재적인 라우팅 문제를 방지하려면 각 인터페이스를 별도의 네트워크에 배치하는 것이 좋습니다. 동일한 네트워크의 인터페이스에서 문제가 발생하지 않으면 고정 경로를 올바르게 설정해야 합니다. 예를 들어 management0과 management1은 동일한 네트워크에 있지만 FMC 관리 및 이벤트 인터페이스는 서로 다른 네트워크에 있습니다. 게이트웨이는 192.168.45.1입니다. 10.6.6.1/24에서 management1을 FMC의 이벤트 전용 인터페이스에 연결하려는 경우 동일한 게이트웨이 192.168.45.1로 10.6.6.0/24에서 management1까지의 고정 경로를 생성할 수 있습니다. 10.6.6.0/24 트래픽은 기본 경로에 도달하기 전에 이 경로에 도달하므로 management1이 예상대로 사용됩니다.
또 다른 예는 FMC 및 매니지드 디바이스에 별도의 관리 및 이벤트 전용 인터페이스를 포함합니다. 이벤트 전용 인터페이스는 관리 인터페이스와 별도의 네트워크에 있습니다. 이 경우 원격 이벤트 전용 네트워크를 대상으로 하는 트래픽에 대해 이벤트 전용 인터페이스를 통해 정적 경로를 추가할 수 있으며, 그 반대의 경우도 마찬가지입니다.
NAT 환경
NAT(Network Address Translation)는 소스 또는 대상 IP 주소를 재할당하는 작업에 관여하는 라우터를 통해 네트워크 트래픽을 보내고 받는 방법입니다. NAT는 일반적으로 프라이빗 네트워크와 인터넷이 통신하는 데 사용됩니다. 정적 NAT는 1:1 변환을 수행하여 디바이스와 FMC의 통신에 문제를 일으키지 않지만 포트 주소 변환(PAT)이 더욱 일반적입니다. PAT를 사용하면 단일 공용 IP 주소에 고유한 포트를 사용해 공용 네트워크에 접속할 수 있습니다. 이러한 포트는 필요에 따라 동적으로 할당되므로 PAT 라우터 뒤에 있는 디바이스에 연결을 시작할 수 없습니다.
일반적으로 라우팅 목적과 인증 두 가지 목적에 IP 주소(등록 키와 함께)가 모두 필요합니다. FMC는 디바이스 IP 주소를 지정하고 디바이스는 FMC IP 주소를 지정합니다. 그러나 라우팅을 위한 최소 요구 사항인 IP 주소 중 하나만 알고 있는 경우, 초기 통신에 대한 신뢰를 설정하고 올바른 등록 키를 조회하려면 연결의 양쪽에서 고유 NAT ID도 지정해야 합니다. FMC 및 디바이스는 등록 키 및 NAT ID(IP 주소 대신)를 사용하여 초기 등록을 인증하고 권한을 부여합니다.
예를 들어 FMC에 디바이스를 추가하지만 디바이스 IP 주소를 모르는 경우(디바이스가 PAT 라우터 뒤에 있는 경우) FMC에 NAT ID와 등록 키만 지정하고 IP 주소는 공백으로 둡니다. 디바이스에 FMC IP 주소, 동일한 NAT ID와 동일한 등록 키를 지정합니다. FMC의 IP 주소에 디바이스를 등록합니다. 이때 FMC은 IP 주소 대신 NAT ID를 사용해 디바이스를 인증합니다.
NAT 환경에서 NAT ID 사용은 일반적이지만 FMC에 많은 디바이스를 추가하려고 할 때에도 NAT ID를 선택할 수 있습니다. FMC에는 추가하려는 각 디바이스에 고유한 NAT ID를 지정하고 IP 주소를 공백으로 두고, 각 디바이스에서 FMC IP 주소 및 NAT ID를 지정하십시오. 주의: NAT ID는 디바이스별로 고유해야 합니다.
다음 예에서는 PAT IP 주소 뒤에 3개의 장치가 있음을 보여줍니다. 이 경우 FMC 및 디바이스에 디바이스별로 고유 NAT ID를 지정하고 디바이스에 FMC IP 주소를 지정하십시오.
다음 예는 PAT ID 주소 뒤의 FMC을 보여줍니다. 이 경우 FMC 및 디바이스에 디바이스별로 고유 NAT ID를 지정하고 FMC에 디바이스 IP 주소를 지정하십시오.
관리 및 이벤트 트래픽 채널 예시
참고 |
FTD에서 관리를 위해 데이터 인터페이스를 사용하는 경우 해당 디바이스에 대해 별도의 관리 및 이벤트 인터페이스를 사용할 수 없습니다. |
다음 예에서는 기본 관리 인터페이스만 사용하는 Firepower Management Center 및 매니지드 디바이스를 보여 줍니다.
다음 예는 디바이스에 별도의 관리 인터페이스를 사용하는 Firepower Management Center를 보여 줍니다. 관리되는 각 디바이스는 1개의 관리 인터페이스를 사용합니다.
다음 예에서는 별도의 이벤트 인터페이스를 사용하는 Firepower Management Center 및 매니지드 디바이스를 보여 줍니다.
다음 예는 별도의 이벤트 인터페이스를 사용하거나 단일 관리 인터페이스를 사용하는 Firepower Management Center 및 여러 매니지드 디바이스에 대한 다중 관리 인터페이스 및 별도의 이벤트 인터페이스를 보여 줍니다.