Product Documentation

이중 홉 모드로 배포된 NetScaler Gateway 장비에 대한 데이터 수집 사용

Feb 03, 2017

NetScaler Gateway 이중 홉 모드를 사용하면 공격자가 여러 보안 영역 또는 DMZ(완충 영역)을 통과해야 보안 네트워크의 서버에 도달할 수 있기 때문에 조직의 내부 네트워크를 추가적으로 보호할 수 있습니다. ICA 연결이 통과하는 홉(NetScaler Gateway 장비) 수를 분석하고 각 TCP 연결의 대기 시간과 클라이언트에서 인식된 총 ICA 대기 시간을 기준으로 해당 대기 시간의 적정도를 분석하려는 경우 NetScaler Gateway 장비가 이러한 필수 통계를 보고하도록 NetScaler MAS를 설치해야 합니다.

그림 3. 이중 홉 모드로 배포된 NetScaler MAS

localized image

첫 번째 DMZ의 NetScaler Gateway가 사용자 연결을 처리하고 SSL VPN 보안 기능을 수행합니다. 이 NetScaler Gateway가 사용자 연결을 암호화하고, 사용자가 인증되는 방식을 결정하고, 내부 네트워크에서 서버에 대한 액세스를 제어합니다.

두 번째 DMZ의 NetScaler Gateway는 NetScaler Gateway 프록시 장치로 작동합니다. 이 NetScaler Gateway를 통해 ICA 트래픽이 두 번째 DMZ를 통과해 서버 팜으로의 사용자 연결이 완료됩니다.

NetScaler MAS는 첫 번째 DMZ의 NetScaler Gateway 장비에 속한 서브넷이나 두 번째 DMZ의 NetScaler Gateway 장비에 속한 서브넷에 배포할 수 있습니다. 위 이미지에서 첫 번째 DMZ의 NetScaler MAS 및 NetScaler Gateway는 같은 서브넷에 배포되어 있습니다.

이중 홉 모드에서 NetScaler MAS는 한 장비에서 TCP 레코드를 수집하고 다른 장비에서 ICA 레코드를 수집합니다. NetScaler MAS 인벤토리에 NetScaler Gateway 장비를 추가하고 데이터 수집을 사용하도록 설정하면 각 장비가 보고서를 내보내 홉 수와 연결 체인 ID를 추적할 수 있게 됩니다.

NetScaler MAS가 레코드를 내보내는 장비를 식별할 수 있도록 각 장비에 홉 수가 지정되고 각 연결에 연결 체인 ID가 지정됩니다. 홉 수는 클라이언트에서 서버로 이동하는 트래픽이 통과하는 NetScaler Gateway 장비의 수를 나타냅니다. 연결 체인 ID는 클라이언트와 서버 간의 종단간 연결을 나타냅니다.

NetScaler MAS는 홉 수와 연결 체인 ID를 사용하여 두 NetScaler Gateway 장비의 데이터를 연관시키고 보고서를 생성합니다.

이 모드로 배포된 NetScaler Gateway 장비를 모니터링하려면 먼저 NetScaler Gateway를 NetScaler MAS 인벤토리에 추가하고, NetScaler MAS에서 AppFlow를 사용하도록 설정한 다음 NetScaler MAS 대시보드에서 보고서를 확인해야 합니다.

NetScaler MAS에서 데이터 수집 사용

두 장비에서 모두 ICA 세부 정보를 수집하도록 NetScaler MAS를 설정하면 수집된 세부 정보가 중복됩니다. 이는 두 장비가 동일한 메트릭을 보고하기 때문입니다. 이 문제를 해결하려면 첫 번째 NetScaler Gateway 장비 중 하나에서 ICA에 대한 AppFlow를 사용하도록 설정한 다음 두 번째 장비에서 TCP에 대한 AppFlow를 사용하도록 설정해야 합니다. 이렇게 하면 장비 중 하나가 ICA AppFlow 레코드를 내보내고 다른 장비가 TCP AppFlow 레코드를 내보냅니다. 또한 ICA 트래픽을 구문 분석하는 처리 시간도 절약됩니다.

NetScaler MAS에서 AppFlow 기능을 사용하도록 설정하려면

1. 웹 브라우저에서 NetScaler Management and Analytics System의 IP 주소를 입력합니다(예: http://192.168.100.1).

2. User Name(사용자 이름)Password(암호)에서 관리자 자격 증명을 입력합니다.

3. Infrastructure(인프라) > Instances(인스턴스)로 이동하고 분석을 사용하도록 설정하려는 NetScaler 인스턴스를 선택합니다.

4. Action(동작) 드롭다운에서 Enable/Disable Insight(Insight 사용/사용 안 함)를 선택합니다.

5. VPN 가상 서버를 선택하고 Enable AppFlow(AppFlow 사용)를 클릭합니다.

6. Enable AppFlow(AppFlow 사용) 필드에서 true를 입력하고 ICA 트래픽 및 TCP 트래픽에 대해 각각 ICA/TCP를 선택합니다.
참고: NetScaler 장비에서 관련 서비스 또는 서비스 그룹에 대해 AppFlow 로깅을 사용하도록 설정하지 않은 경우 Insight 열에 Enabled(사용)가 표시되어도 NetScaler MAS 대시보드에 레코드가 표시되지 않습니다.

7. OK(확인)를 클릭합니다.

localized image

데이터를 내보내도록 NetScaler Gateway 장비 구성

NetScaler Gateway 장비를 설치한 후 NetScaler Gateway 장비에서 다음과 같은 설정을 구성하여 NetScaler MAS에 보고서를 내보내야 합니다.

  • 첫 번째 및 두 번째 DMZ에서 NetScaler Gateway 장비의 가상 서버가 서로 통신하도록 구성합니다.
  • 두 번째 DMZ의 NetScaler Gateway 가상 서버를 첫 번째 DMZ의 NetScaler Gateway 가상 서버에 바인딩합니다.
  • 두 번째 DMZ의 NetScaler Gateway에서 이중 홉을 사용하도록 설정합니다.
  • 두 번째 DMZ의 NetScaler Gateway 가상 서버에서 인증을 사용하지 않도록 설정합니다.
  • NetScaler Gateway 장비 중 하나에서 ICA 레코드를 내보내도록 설정합니다.
  • 다른 NetScaler Gateway 장비에서 TCP 레코드를 내보내도록 설정합니다.
  • 두 NetScaler Gateway 장비에서 연결 체인을 사용하도록 설정합니다.
명령줄 인터페이스를 사용하여 NetScaler Gateway 구성
  1. 첫 번째 DMZ의 NetScaler Gateway 가상 서버가 두 번째 DMZ의 NetScaler Gateway 가상 서버와 통신하도록 구성합니다.

    add vpn nextHopServer <이름> <다음 홉 IP> <다음 홉 포트> [-secure (ON|OFF)] [-imgGifToPng] ...

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON

  2. 두 번째 DMZ의 NetScaler Gateway 가상 서버를 첫 번째 DMZ의 NetScaler Gateway 가상 서버에 바인딩합니다. 첫 번째 DMZ의 NetScaler Gateway에서 다음 명령을 실행합니다.

    bind vpn vserver <이름> -nextHopServer <이름>

    bind vpn vserver vs1 -nextHopServer nh1

  3. 두 번째 DMZ의 NetScaler Gateway에서 이중 홉 및 AppFlow를 사용하도록 설정합니다.

    set vpn vserver <이름> [- doubleHop ( ENABLED |DISABLED )] [- appflowLog ( ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED

  4. 두 번째 DMZ의 NetScaler Gateway 가상 서버에서 인증을 사용하지 않도록 설정합니다.

    set vpn vserver <이름> [-authentication (ON|OFF)]

    set vpn vserver vs -authentication OFF

  5. NetScaler Gateway 장비 중 하나에서 TCP 레코드를 내보내도록 설정합니다.

    bind vpn vserver <이름> [-policy <문자열> -priority ] [-type <유형>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST

  6. 다른 NetScaler Gateway 장비에서 ICA 레코드를 내보내도록 설정합니다.

    bind vpn vserver <이름> [-policy <문자열> -priority ] [-type <유형>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST

  7. 두 NetScaler Gateway 장비에서 연결 체인을 사용하도록 설정합니다.

    set appFlow param [-connectionChaining (ENABLED|DISABLED)]

    set appflow param -connectionChaining ENABLED

구성 유틸리티를 사용하여 NetScaler Gateway 구성

  1. 첫 번째 DMZ의 NetScaler Gateway가 두 번째 DMZ의 NetScaler Gateway와 통신하도록 구성하고 두 번째 DMZ의 NetScaler Gateway를 첫 번째 DMZ의 NetScaler Gateway에 바인딩합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Advanced(고급) 그룹에서 Published Applications(게시된 응용 프로그램)를 확장합니다.
    3. Next Hop Server(다음 홉 서버)를 클릭하고 다음 홉 서버를 두 번째 NetScaler Gateway 장비에 바인딩합니다.
  2. 두 번째 DMZ의 NetScaler Gateway에서 이중 홉을 사용하도록 설정합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Basic Settings(기본 설정) 그룹에서 편집 아이콘을 클릭합니다.
    3. More(자세히)를 확장하고 Double Hop(이중 홉)을 선택한 다음 OK(확인)를 클릭합니다.
  3. 두 번째 DMZ에 있는 NetScaler Gateway의 가상 서버에서 인증을 사용하지 않도록 설정합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Basic Settings(기본 설정) 그룹에서 편집 아이콘을 클릭합니다.
    3. More(자세히)를 확장하고 Enable Authentication(인증 사용)을 선택 취소합니다.
  4. NetScaler Gateway 장비 중 하나에서 TCP 레코드를 내보내도록 설정합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Advanced(고급) 그룹에서 Policies(정책)를 확장합니다.
    3. + 아이콘을 클릭하고 Choose Policy(정책 선택) 드롭다운 목록에서 AppFlow를 선택하고 Choose Type(유형 선택) 드롭다운 목록에서 Other TCP Request(기타 TCP 요청)를 선택합니다.
    4. Continue(계속)를 클릭합니다.
    5. 정책 바인딩을 추가하고 Close(닫기)를 클릭합니다.
  5. 다른 NetScaler Gateway 장비에서 ICA 레코드를 내보내도록 설정합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Advanced(고급) 그룹에서 Policies(정책)를 확장합니다.
    3. + 아이콘을 클릭하고 Choose Policy(정책 선택) 드롭다운 목록에서 AppFlow를 선택하고 Choose Type(유형 선택) 드롭다운 목록에서 Other TCP Request(기타 TCP 요청)를 선택합니다.
    4. Continue(계속)를 클릭합니다.
    5. 정책 바인딩을 추가하고 Close(닫기)를 클릭합니다.
  6. 두 NetScaler Gateway 장비에서 연결 체인을 사용하도록 설정합니다.
    1. Configuration(구성) 탭에서 System(시스템) > Appflow로 이동합니다.
    2. 오른쪽 창의 Settings(설정) 그룹에서 Change Appflow Settings(Appflow 설정 변경)를 클릭합니다.
    3. Connection Chaining(연결 체인)을 선택하고 OK(확인)를 클릭합니다.
  • 첫 번째 DMZ의 NetScaler Gateway가 두 번째 DMZ의 NetScaler Gateway와 통신하도록 구성하고 두 번째 DMZ의 NetScaler Gateway를 첫 번째 DMZ의 NetScaler Gateway에 바인딩합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Advanced(고급) 그룹에서 Published Applications(게시된 응용 프로그램)를 확장합니다.
    3. Next Hop Server(다음 홉 서버)를 클릭하고 다음 홉 서버를 두 번째 NetScaler Gateway 장비에 바인딩합니다.
  • 두 번째 DMZ의 NetScaler Gateway에서 이중 홉을 사용하도록 설정합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Basic Settings(기본 설정) 그룹에서 편집 아이콘을 클릭합니다.
    3. More(자세히)를 확장하고 Double Hop(이중 홉)을 선택한 다음 OK(확인)를 클릭합니다.
  • 두 번째 DMZ에 있는 NetScaler Gateway의 가상 서버에서 인증을 사용하지 않도록 설정합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Basic Settings(기본 설정) 그룹에서 편집 아이콘을 클릭합니다.
    3. More(자세히)를 확장하고 Enable Authentication(인증 사용)을 선택 취소합니다.
  • NetScaler Gateway 장비 중 하나에서 TCP 레코드를 내보내도록 설정합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Advanced(고급) 그룹에서 Policies(정책)를 확장합니다.
    3. + 아이콘을 클릭하고 Choose Policy(정책 선택) 드롭다운 목록에서 AppFlow를 선택하고 Choose Type(유형 선택) 드롭다운 목록에서 Other TCP Request(기타 TCP 요청)를 선택합니다.
    4. Continue(계속)를 클릭합니다.
    5. 정책 바인딩을 추가하고 Close(닫기)를 클릭합니다.
  • 다른 NetScaler Gateway 장비에서 ICA 레코드를 내보내도록 설정합니다.
    1. Configuration(구성) 탭에서 NetScaler Gateway를 확장하고 Virtual Servers(가상 서버)를 클릭합니다.
    2. 오른쪽 창에서 가상 서버를 두 번 클릭하고 Advanced(고급) 그룹에서 Policies(정책)를 확장합니다.
    3. + 아이콘을 클릭하고 Choose Policy(정책 선택) 드롭다운 목록에서 AppFlow를 선택하고 Choose Type(유형 선택) 드롭다운 목록에서 Other TCP Request(기타 TCP 요청)를 선택합니다.
    4. Continue(계속)를 클릭합니다.
    5. 정책 바인딩을 추가하고 Close(닫기)를 클릭합니다.
  • 두 NetScaler Gateway 장비에서 연결 체인을 사용하도록 설정합니다.
    1. Configuration(구성) 탭에서 System(시스템) > Appflow로 이동합니다.
    2. 오른쪽 창의 Settings(설정) 그룹에서 Change Appflow Settings(Appflow 설정 변경)를 클릭합니다.
    3. Connection Chaining(연결 체인)을 선택하고 OK(확인)를 클릭합니다.