Fortinet 자격증 FCA - 네트워크 사용자 인증 Part 1

A. 인증 개요

1. 인증이 필요한 이유

방화벽 인증을 위해서는 사용자가 네트워크에 액세스 하기 전에 FortiGate에 대한 신원을 확인해야 합니다. 인증하려면 사용자는 사용자 이름 및 비밀번호와 같은 자격 증명을 입력해야 합니다. 방화벽 인증이 없으면 FortiGate가 트래픽을 발생시키는 사용자에 대해 알고 있는 유일한 정보는 소스 IP 주소뿐이며 FortiGate는 이를 사용하여 사용자의 신원을 확인할 수 없습니다.

 

2. 인증의 작동원리

방화벽 인증을 구성하려면 소스 사용자 또는 사용자 그룹을 방화벽 정책에 추가합니다. 이를 위해서는 사용자가 세션 시작 시 자격 증명을 입력해야 합니다. 그런 다음 FortiGate는 방화벽 정책의 다른 규칙과 함께 사용자의 ID를 사용하여 트래픽을 허용할지 거부할지 결정합니다. FortiGate에서는 로컬 비밀번호 인증과 원격 비밀번호 인증이라는 두 가지 유형의 방화벽 인증을 구성할 수 있습니다. 이 두 가지 방법의 차이점은 사용자 자격 증명이 FortiGate에 저장되어 있는지 아니면 원격 인증 서버에 저장되어 있는지에 있습니다.

 

 

B. 로컬 비밀번호 인증

1. 로컬 비밀번호 인증 개요

가장 간단한 인증 방법은 로컬 비밀번호 인증입니다. 사용자 정보는 FortiGate 장치에 로컬로 저장됩니다. 이 방법은 단일 FortiGate 설치에 적합합니다. 방화벽 인증을 사용하는 경우 네트워크에 액세스해야 하는 모든 사용자에 대해 개별 계정을 만들어야 합니다. 로컬 사용자 계정에는 사용자 이름과 비밀번호가 모두 포함되어 있습니다.

 

또한 로컬 사용자 그룹을 생성하여 동일한 수준의 액세스가 필요한 사용자를 그룹화할 수도 있습니다. 재무, HR 등 비즈니스 영역이나 계약자, 손님 등 직원 유형별로 직원을 그룹화할 수 있습니다. 대부분의 경우 개별 사용자 계정보다는 방화벽 정책에서 그룹을 사용하는 것이 가장 좋습니다. 미리 결정된 시간이 지나면 만료되는 임시 사용자 계정이 포함된 게스트 그룹에 대해 로컬 인증을 사용할 수도 있습니다.

 

관리자는 임의로 생성된 사용자 ID와 비밀번호를 사용하여 게스트 계정을 수동으로 생성하거나 한 번에 여러 게스트 계정을 생성할 수 있습니다. 이렇게 하면 대규모 이벤트에 대한 관리자 작업량이 줄어듭니다. 일단 생성되면 게스트 사용자 그룹에 계정을 추가하고 그룹을 방화벽 정책과 연결할 수 있습니다.

 

2. 로컬 비밀번호 인증 구성 프로세스

FortiGate가 액세스를 요청하는 사용자를 식별할 수 있도록 로컬 방화벽 인증을 구성할 수 있습니다. 각 작업을 확장하여 권장 프로세스를 확인하세요.

 

첫번째,  FortiGate에서 사용자 계정을 생성하여 사용자 자격 증명을 로컬에 저장합니다.

둘째, 사용자의 역할이나 유형에 따라 사용자 그룹을 만듭니다.

셋째, 사용자 그룹을 방화벽 정책의 소스로 추가합니다.

마지막으로, 사용자가 FortiGate 로그 및 대시보드를 사용하여 성공적으로 인증하고 모니터링하도록 하여 구성을 확인합니다.

 

C. 원격 비밀번호 인증

1. 원격 비밀번호 인증 개요

원격 인증을 사용하면 FortiGate는 사용자가 입력한 자격 증명을 FortiAuthenticator와 같은 인증 서버로 보냅니다. 서버가 사용자를 성공적으로 인증하면 FortiGate는 일치하는 방화벽 정책을 트래픽에 적용합니다. 원격 인증에서 FortiGate는 사용자 정보의 전부 또는 일부를 로컬에 저장하지 않습니다.

 

이 방법은 여러 FortiGate 장치가 동일한 사용자 또는 사용자 그룹을 인증해야 하는 경우 또는 이미 인증 서버가 포함된 네트워크에 FortiGate를 추가하는 경우에 바람직합니다. 방화벽 인증을 사용하려면 내부 서브넷과 함께 방화벽 정책의 소스 정의에 사용자 계정 또는 사용자 그룹을 포함해야 합니다. 이 작업을 수행한 후 트래픽이 방화벽 정책과 일치하면 FortiGate가 액세스 권한을 부여하기 전에 사용자가 인증을 받아야 합니다.

 

2. 원격 비밀번호 인증 구성 프로세스

FortiGate가 액세스를 요청하는 사용자를 식별할 수 있도록 원격 방화벽 인증을 구성할 수 있습니다. 각 작업을 확장하여 권장 프로세스를 확인하세요.

 

첫번째, FortiGate를 원격 서버에 연결합니다.

둘째, 사용자 그룹을 생성하고 인증된 원격 사용자를 이 그룹에 매핑합니다.

셋째, 사용자 그룹을 방화벽 정책의 소스로 추가합니다.

마지막으로, 사용자가 FortiGate 로그 및 대시보드를 사용하여 성공적으로 인증하고 모니터링하도록 하여 구성을 확인합니다.