negate3 SSLVPN : Full 터널링에서 특정 IP 대역 예외 처리 SSLVPN 접속시 모든 트래픽을 SSLVPN 터널을 통해 보내도록 설정 가능하다. 이 경우 특정 IP 대역만 SSLVPN 터널을 통하지 않고, 클라이언트의 물리적인 인터페이스를 통해 통신하도록 하는 방법이다. Full 터널이지만, split tunnel의 설정을 enable 하여 특정 대역만 예외처리(negate)하는 방식이다. 설정 방법은 CLI 에서 가능하다. "split-tunneling-routing-address" 에서 설정한 IP 대역은 SSLVPN 터널 통신을 하지 않는다. 아래는 "split-tunneling-routing-address"에 "192.168.39.0/24"를 설정 했을때, SSLVPN에 접속한 클라이언트의 라우팅 테이블이다. 모든 트래픽은 SSLVPN 터널로 라우팅 되지만.. 2021. 2. 10. Firewall Policy의 "Negate" 옵션 사용법 방화벽 정책 설정에 "Negate" 옵션이 있다. 이 옵션은 Source, Destination, Service에 적용 가능하다. 예를 들어 Source에 "192.168.1.0/24"를 negate 옵션으로 설정하면, 해당 정책은 Source에서 설정한 "192.168.1.0/24"을 제외한 나머지 IP에 매칭 된다. GUI상에서 "Negate" 옵션을 사용하려면 System > Feature Visibility 에서 "Policy Advanced Option"을 enable 해야한다. "Policy Advanced Option"을 enable 하면, 방화벽 정책 설정에서 아래처럼 Source와 Destination에 대해 'Negate" 옵션 설정 가능하다. CLI에서는 아래와 같이 사용 가능하다. .. 2021. 2. 4. 특정 IP 대역만 SSLVPN 접속 가능하도록 설정 SSLVPN을 접속하는 원격 클라이언트의 IP 대역에 대해, 특정 IP 대역에 대해서만 접속 가능하게 하는 설정이다. 예를 들어 Geography IP를 활용해서 특정 국가에서만 SSLVPN 접속가능하게 할 수 있다. GUI에서는 VPN > SSL-VPN Settings 메뉴에서 설정 할 수 있다. CLI에서는 다음과 같이 설정한다. 반대로 특정 IP 대역만 제외하고 나머지 모두에게 허용하는 방법도 가능하다. 예를 들어 Geography IP를 활용해서 특정 국가를 제외한 모든 IP에서 SSLVPN 접속하도록 하는 것이다. 이 설정은 CLI에서만 가능하며, enable하면 "source-address"에서 설정한 IP에서는 SSLVPN 접속이 불가능하며, 그 외 모든 IP들에서는 접속이 가능하다. 2021. 2. 3. 이전 1 다음
