파이어박스 초기셋팅방법

by 네오 posted Oct 12, 2010
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

크게 작게 위로 아래로 게시글 수정 내역 댓글로 가기 인쇄

Watch Guard 초기 설정

 

1. 관리 소프트웨어를 다운받아 설치한다.

 

2. WG의 1번 포트와 관리 소프트를 설치한 PC를 크로스 연결한다.

 

 

3. WG의 External 포트와 라우터를 연결한다. 

 

 

    * 메트로 장비와  연결 할 경우 크로스로 연결한다.

 

    * IP 공유기와 연결 할 경우 다이렉트로 연결한다.

 

4. PC의 IP를 192.168.253.X (X는 1을 제외) 로 부여하고 서브넷은 24로 한다.

 

 

    *PC의 GW는 192.168.253.1로 한다.

 

5. WG에 전원을 연결하고 프론트 패널의 ▲ 버튼을 누른 상태에서 전원을 켠다.

 

 

   (위 조작은 장비의 초기화.  단, 설정없이 추후 장비 리붓하게 되면 초기화 되지 않은 상태이다)

 

6. 프론트 패널의 LCD에 나타나는 부팅메세지에  'Booting SYS B (!)' 나타나는것과

 

 

   부팅 후 SysB - Loopback 메세지를 확인한다.

 

7. PC에 설치한 관리프로그램을 연다. (Firebox Manager)

 

 

8. WG 아이콘을 누르면 나타나는 하위 메뉴에서 Quick setup Wizard를 선택한다.

 

 

9. 나타는 창의 드랍다운 메뉴에서 "Drop-IN" 모드를 선택한다.

 

 

10. 파이어박스에 셋업할 IP( 학교일 경우 공인 IP)를 넣는다.

 

 

11. 학교에서 사용하는 공인단의 게이트웨이 ( 라우터 또는 메트로장비) 의 IP를 넣는다.

 

 

12. 교내에서 SMTP(메일),  HTTP(웹), FTP 를 사용하는경우 체크박스에 체크해준후 해당 장비의 IP를 넣는다.

 

 

13. 관리용 패스워드와 파이어박스에 내장된 플래쉬롬의 I/O 패스워드를 설정한다. 

 

 

     두가지 모두 일곱자리 이상이어야 한다.

 

14. 커넥션 모드에서는 TCP/IP를 선택하고 Tempory IP에는 192.168.253.3/24 를 확인한다.

 

 

 15. 리뷰 세팅창이 나오면 그대로 OK 한다.

 

 

      *  최초 파이어박스 초기화 부팅후 장비를 다운시키지 않았음을 유의한다.

 

 

 16.  플래쉬 롬의 I/O에 접근하기 위한 패스워드 이외의 설정파일 업/다운을 위한 패스워드( 최초 wg) 를 체킹,  Ok 로 넘어간다.

 

 

 17. 설정 프로그램은 지금까지의 설정을 파일로 저장후 파이어박스에 전송하고 리붓한다. 

 

 

     과정중 오류가 나타나지 않는지 확인한다.  

 

 

      * 오류가 나타나면 크로스로 연결된 설정 PC의 IP와 서브넷을 확인한다.

 

 

 18.  장비 리붓 메세지 이후 초기 설정이 완료되었다는 메세지를 확인한다.

 

 

 19.  Mgr 프로그램을 종료후 설정 PC의 IP를파이어박스에 부여한 IP ( 학교의 경우 공인 IP ) 와 같은 대역으로 변경한다.

 

 

 20. 프로그램 재시작후 나타나는 다이얼로그 창에 FB의 IP 입력후 관리용 패스워드를 넣으면 접속된다.

 

 

 21. 세팅을 시작한다.

 

 

 *-----   FB의 External 포트는 외부망( WAN ),Trusted는 1번포트,  Optional은 2번포트임을 숙지-----*

 

 

 

 

 

 

   FB의 프락시 세팅

 

 22. WG 관리프로그램의 상단에 있는 아이콘중에 Policy manager를 연다.

 

 

 

 23. 정책 관리자에 나타나는 기본 아이콘들에는 좌측 하단에 화살표와 색깔있는 동그라미가 나타나는데 우측방향의 화살표는 Incomming, 좌측방향의 화살표는 Outgoing 을 나타내며 각 화살표에 달린 동그라미의 색깔은 빨강색이 차단, 녹색이 허용, 노란색이 부분적 허용임을 숙지한다.

 

 

 24. 아이콘을 더블클릭하면 나타나는 다이얼로그 박스에서 Incomming은 From이 외부 To가 내부 Outgoing은 From이 내부, To가 외부임을 숙지한다.

 

 

 25. FB의 Incomming 기본 정책은 거부이므로 상황에 맞게 세팅한다.

 

 

 26. 정책 설정 관리자의 메뉴에서 Network -> Configuration  을 클릭, Secondary Network탭에서 사설 IP의  GW를 입력해 준다. ( ex. 172.31.0.1/16, 192.168.1.1/24)

 

 

  

 

     * Trusted 포트에 192, 172의 네트워크를 복수로 세팅해 줄 수있으나 이때 서브넷은

 

        하나의 포트에서 분리하면 좋지 않으므로 보다 높은 클래스의 서브넷을 할당한다.

 

        (ex: B클래스와 C클래스의 혼용시 B클래스로 설정 )

 

     * Trusted 와 Optional 포트를 분리 설정할 경우 서브넷은 상관없으나 스위치 링크 설정시

 

        서로다른 두개의 포트의 밑단이 서로 링크되지 않도록 세팅해야 한다.

 

     * 가급적이면 External 에는 IP alias 를 주지 않도록 한다.

 

     * 초기 설정시 External에 부여한 공인 IP는 External, Trusted, Optional 모두에서 유효하므로 밑단에 물린 공인 PC들 ( 웹, 메일, FTP 서버) 에는 GW가 FB 의 External IP로 세팅되어 있다면 인터넷에 링크되어 있는 상태이므로 포트와 IP의 정책설정만 해 주면 된다.

 

      

 

     * 메트로 장비와 External 포트가 크로스 링크되어있다면 NIC configuration 탭에서 Auto Negotiation 을 100Mbps로 강제 할당한다.

 

 

 

     * 메트로 장비와 FB의 링크가 정상이고 FB의 세팅이 정확한 상황에서 인터넷으로 연결이 안된다면 FB와 그 윗단의 장비를 모두 리부팅 한다. (arp cache table error. )

 

 

 

27.  각 포트의 GW IP를 세팅후 Setup -> NAT를 클릭, 다이얼로그 박스에 나타나는 기본값을 모두 삭제한 후 Add를 클릭, NAT를 적용할 네트워크를 External 포트에 매핑한다.

 

        * Add를 누르면 나타나는 다이얼로그 박스에서 각 포트별로 NAT를 설정할 수 있다.

 

          (ex: From에  Optional, To에 External을 할당하게 되면 Optional 밑단의 모든 자원들은 NAT 설정된다)

 

 28.  상기 설정을 저장하고 이미지 재전송 후에 리붓하게 되면 프락시를 위한 세팅은 완료된다.

 

 

  

 

 

*-- 각종 서비스를 위한 포트번호를 숙지하고 유해사이트로 분류된 IP들은 txt 파일로 업데이트 가능하므로 Edu 1.8 에서 세팅된 보안상 자원들을 그대로 사용가능하다. --*

 

*-- 각 학교 별로 전산실에 위치한 서버들의 OS와 서비스에 기반한 보안정책과 그에맞는 세팅을 구성해야 한다. --*

 

*-- 기본 방화벽 정책은 파일로 Export및 Import 가 가능하므로 기존 세팅되어있는 파일을 불러 적용시킬 수 있다.  (FB 관리 프로그램이 설정된 폴더 ex: c:프로그램파일WatchGuardservices.usr  파일을 덮어 쓰기 하면 된다. )--*