보안 정책 구성

Edge 간 또는 Edge와 게이트웨이 간 IPSec 터널을 생성할 때 고객 구성 수준에서 보안 정책 구성 설정을 수정할 수 있습니다.

프로시저

운영자 포털에서 고객 관리(Manage Customers)로 이동합니다.
고객을 선택하고 작업(Actions) > 수정(Modify)을 클릭하거나 고객에 대한 링크를 클릭합니다.
엔터프라이즈 포털에서 구성(Configure) > 고객(Customers)을 클릭합니다. 고객 구성(Customer Configuration) 페이지가 나타납니다.
보안 정책(Security Policy) 영역에서 다음 보안 설정을 구성할 수 있습니다.
1. 해시 - AES-GCM은 인증된 암호화 알고리즘이므로 기본적으로 VPN 헤더에 대해 구성된 인증 알고리즘이 없습니다. GCM 해제(Turn off GCM) 확인란을 선택하면 드롭다운 목록에서 VPN 헤더에 대한 인증 알고리즘으로 다음 중 하나를 선택할 수 있습니다.
  - SHA 1
  - SHA 256
  - SHA 384
  - SHA 512
2. 암호화(Encryption)—데이터를 암호화하는 AES 알고리즘 키 크기로 AES 128 또는 AES 256을 선택합니다. 기본 암호화 알고리즘 모드는 AES 128-GCM으로, GCM 해제(Turn off GCM) 확인란이 선택되어 있지 않습니다.
3. DH 그룹(DH Group)—미리 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2, 5, 14, 15, 16입니다. DH 그룹 14를 사용하는 것이 좋습니다.
4. PFS—추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 수준은 2, 5, 14, 15, 16입니다. 기본적으로 PFS가 비활성화됩니다.
5. GCM 해제(Turn off GCM) - 기본적으로 AES 128-GCM이 사용되도록 설정됩니다. 필요한 경우 이 확인란을 선택하여 해당 모드를 해제합니다.
6. IPsec SA 수명(IPsec SA Lifetime)—IPsec(인터넷 보안 프로토콜) 재입력이 Edge에 대해 시작될 때의 시간입니다. 최소 IPsec 수명 시간은 3분이고, 최대 IPsec 수명 시간은 480분입니다. 기본값은 480분입니다.
7. IKE SA 수명(IKE SA Lifetime)—IKE(인터넷 키 교환) 재입력이 Edge에 대해 시작될 때의 시간입니다. 최소 IKE 수명 시간은 10분이고, 최대 IKE 수명 시간은 1440분입니다. 기본값은 1440분입니다.
  
  참고: 키 재생성으로 인해 일부 배포에서 트래픽이 중단될 수 있으므로 키 재생성 값을 IPsec(10분 미만) 및 IKE(30분 미만)에 대해 낮은 수명 시간 값을 구성하지 않는 것이 좋습니다. 낮은 수명 시간 값은 디버깅 목적으로만 사용됩니다.
8. 보안 기본 경로 재정의(Secure Default Route Override)— 비즈니스 정책을 사용하여 파트너 게이트웨이의 보안 기본 경로(고정 경로 또는 BGP 경로)와 일치하는 트래픽의 대상을 재정의할 수 있도록 이 확인란을 선택합니다.
  Edge에서 보안 라우팅을 사용하도록 설정하는 방법에 대한 자세한 내용은 파트너 전달 구성을 참조하십시오. 비즈니스 정책 규칙에 대한 네트워크 서비스 구성에 대한 자세한 내용은 VMware SD-WAN 설명서에서 제공되는 VMware SD-WAN 관리 가이드의 "비즈니스 정책 규칙에 대한 네트워크 서비스 구성"을 참조하십시오.
설정을 구성한 후 변경 내용 저장(Save Changes)을 클릭합니다.

참고: 보안 설정을 수정하면 변경 내용으로 인해 현재 서비스가 중단될 수 있습니다. 또한 이러한 설정을 사용하면 전체 처리량이 줄어들고, 분기 간 동적 터널 설정 시간과 클러스터에서 Edge 장애로부터의 복구에 영향을 줄 수 있는 VCMP 터널 설정에 필요한 시간이 늘어날 수 있습니다.