콘텐츠로 이동

SSID 고급 설정

보안, 백엔드 인증, 클라이언트 연결, QoS(Quality of Service), 네트워크 가용성 및 종속 포털을 구성합니다.

Wireless > SSID으로 이동하여 고급 설정을 클릭합니다.

보안

네트워크를 보다 안전하게 만드는 설정을 정의합니다.

Synchronized Security

Sophos Endpoint Protection 및 Sophos Mobile Protection이 지원되는 클라이언트가 Sophos Central Wireless 액세스 지점과 통신할 수 있게 합니다. Sophos Firewall 및 Sophos Central Wireless 모두에서 Synchronized Security가 활성화되어 있는 경우, Sophos Firewall의 설정이 우선합니다.

이 기능을 사용하려면 엔드포인트에 대해 Endpoint Advanced Protection 라이선스가 있어야 합니다. 모바일 보호의 경우, 모바일 > 설정 > 시스템 설정 > 네트워크 액세스 제어로 이동하여 Sophos Wireless를 선택합니다.

제한

APX 320, APX 530 및 APX 740에서만 사용할 수 있습니다.

Security Heartbeat 녹색

엔드포인트가 정상이며 모든 트래픽이 허용됨을 나타냅니다.

Security Heartbeat 노란색

PUA(Potentially Unwanted Application) 또는 비활성 맬웨어가 감지되었음을 나타냅니다. 모든 트래픽이 허용됩니다.

Security Heartbeat 빨간색

활성 맬웨어 또는 랜섬웨어가 감지되었거나 액세스 지점이 엔드포인트의 Sophos Endpoint 서비스에서 보안 하트비트 메시지를 수신할 수 없음을 나타냅니다. 액세스 지점은 모든 인터넷 트래픽을 차단합니다. 보안 브라우징 환경(Walled Garden 또는 안전한 URL 목록)의 트래픽만 허용됩니다.

Sophos Mobile (UEM)

기본적으로 켜져 있습니다. Sophos 관리형 모바일 장치에서 하트비트 정보를 전송할 수 있게 합니다. 또한 Sophos Central에서 이러한 장치에 대한 정책을 관리할 수 있습니다.

Sophos Central Endpoint Protection

Sophos Central에서 엔드포인트 정책을 관리하려면 켭니다. 또는, Sophos Firewall에서 엔드포인트 정책을 관리할 수도 있습니다.

Sophos 관리형 장치로만 SSID를 제한

비관리형 장치가 SSID에 연결되면, 인증 후 장치가 관리되지 않는 것으로 판단하고 구성해야 할 랜딩 페이지를 표시합니다. 장치는 폐쇄형 네트워크 서비스(Walled garden) 뒤에 있습니다. 이 장치의 동작은 보안 하트비트 상태가 빨간색인 것과 비슷합니다. 장치는 허용 목록에 등록된 Sophos 웹 사이트 또는 해당 URL 및 IP에만 액세스할 수 있습니다.

관리형 장치는 Sophos에 의해 보호되는 모바일 또는 엔드포인트 장치입니다.

이 옵션을 활성화하면 랜딩 페이지 구성이 표시됩니다. 다음 정보를 입력합니다.

  • 페이지 제목
  • 시작 텍스트
  • 표시할 메시지
  • 회사 로고

허용된 도메인

클라이언트가 빨간색 Synchronized Security 상태인 경우 .sophos.com 도메인과 함께 클라이언트가 계속 액세스할 수 있는 도메인을 여기에 입력합니다. Sophos 관리형 장치로만 SSID를 제한을 설정한 경우 비관리형 장치에서도 이러한 도메인에 액세스할 수 있습니다. IP 주소와 도메인 이름이 모두 지원됩니다.

숨겨진 SSID

네트워크 스캔에 SSID를 숨깁니다. 숨겨진 경우, SSID를 계속 사용할 수는 있지만 사용자가 직접 연결을 위해 SSID 이름을 알고 있어야 합니다. SSID가 숨겨져 있더라도 SSID를 액세스 지점에 할당할 수 있습니다.

참고

이는 보안 기능이 아닙니다. 숨겨진 SSID를 계속 보호해야 합니다.

클라이언트 격리

동일한 무선 주파수 내에서 클라이언트 간의 통신을 차단합니다. 이는 게스트 또는 핫스팟 네트워크에서 유용합니다.

MAC 필터링

MAC(Media Access Control) 주소 연결을 제한하여 최소한의 보안을 제공합니다.

  • 없음: MAC 주소에 대한 제한이 없습니다.
  • 차단된 목록: 사용자가 여기에 입력한 것 이외의 모든 MAC 주소가 허용됩니다.
  • 허용된 목록: 사용자가 여기에 입력한 것 이외의 모든 MAC 주소가 차단됩니다.

클라이언트 연결

LAN

무선 네트워크를 액세스 지점의 네트워크에 연결합니다. 무선 클라이언트가 동일한 IP 주소 범위를 공유합니다.

VLAN

클라이언트 트래픽을 특정 VLAN으로 디렉션합니다. VLAN 패킷을 허용하려면 업링크 스위치가 구성되어야 합니다.

RADIUS VLAN 지정

다중 SSID가 없는 상태에서 사용자를 분리합니다. 암호화 모드 WPA/WPA2 Enterprise에서 사용할 수 있습니다.

사용자가 RADIUS 서버에 의해 제공되는 VLAN에 태그로 지정됩니다. RADIUS 서버가 VLAN을 제공하지 않는 경우 트래픽은 태그가 지정되지 않은 상태가 됩니다.

참고

동적 VLAN이 활성화되어 있으면 IPv6가 SSID에서 차단됩니다. IPv6가 차단되지 않으면 장치가 여러 VLAN의 여러 IPv6 주소 및 게이트웨이로 끝날 수 있습니다.

게스트 네트워크 사용

게스트 네트워크를 활성화합니다. 게스트 네트워크는 몇 가지 트래픽 제한이 있는 클라이언트에 격리된 네트워크를 제공합니다. 액세스 지점은 지정된 시간에 하나의 게스트 네트워크를 가질 수 있습니다. 다음 모드를 사용할 수 있습니다.

브리지 모드

동일한 서브넷에서 DHCP 서버를 사용합니다.

이는 모든 트래픽을 필터링하고 게이트웨이, DNS 서버 및 외부 네트워크에 대한 통신만 허용합니다. VLAN이 없는 환경에 게스트 네트워크를 추가하고 계속 격리를 할 수 있습니다. DHCP 서버가 여전히 네트워크에 있으므로 액세스 지점 간의 로밍이 작동합니다.

참고

게스트 네트워크에 대해 VLAN을 사용하여, 게스트 네트워크에 별도의 게스트 VLAN을 추가로 둘 수 있습니다.

NAT 모드

액세스 지점에서 온보드 DHCP 서버를 사용합니다. 이는 게스트 네트워크 클라이언트에 로컬 격리 IP를 제공합니다. 클라이언트는 내부 IP 체계를 인식하지 못합니다.

NAT 모드에서 DNS 서버는 클라이언트 주소에 대해 선택 사항입니다. DNS 서버가 DNS 주소를 클라이언트에 할당하지 않으면 액세스 지점과 동일한 DNS 주소가 할당됩니다.

브리지 모드는 처리 속도가 더 높은 반면, NAT 모드는 격리 성능이 더 좋습니다.

네트워크 가용성

특정 시간 또는 특정 요일에만 사용할 수 있는 SSID를 정의합니다. 그동안에 SSID는 표시되지 않습니다.

  • 항상: SSID를 항상 사용할 수 있게 하려면 선택합니다.

  • 예약됨: 사용할 수 있는 평일 및 시간을 선택합니다.

서비스 품질

설정을 구성하여 네트워크를 최적화합니다.

멀티캐스트에서 유니캐스트로 변환

멀티캐스트 패킷을 유니캐스트 패킷에 최적화합니다. IGMP(Internet Group Management Protocol) 프로토콜을 바탕으로 액세스 지점이 각 클라이언트에 대해 개별적으로 멀티캐스트 패킷을 유니캐스트 패킷으로 변환합니다.

더 적은 수의 클라이언트가 하나의 액세스 지점에 연결되면 가장 효과적입니다.

유니캐스트로 변환하는 것은 미디어 스트리밍에 적합합니다. 더 높은 처리량 속도로 작동할 수 있기 때문입니다.

프록시 ARP

액세스 지점을 활성화하여 연결된 무선 클라이언트에 대한 ARP(Address Resolution Protocol) 요청에 응답합니다.

빠른 로밍

서로 다른 액세스 지점 간에 전환할 때 로밍 시간을 최적화합니다. WPA2 암호화를 사용하는 SSID는 로밍 시간을 줄이기 위해 IEEE 802.11r 표준을 사용합니다(엔터프라이즈 인증 포함). 동일한 SSID가 다른 여러 액세스 지점에 할당될 때 적용됩니다. 클라이언트는 IEEE 802.11r 표준도 지원해야 합니다.

브로드캐스팅 유지

재부팅 후 액세스 지점이 Sophos Central에 다시 연결할 수 없을 때 브로드캐스팅을 유지하도록 합니다. 이 기능이 켜져 있으면 클라이언트가 여전히 액세스 지점 및(또는) 인터넷에 연결할 수 있고 액세스 지점은 이전 구성으로 작동합니다.

참고

이 기능이 켜져 있는지 여부와 상관없이, Sophos Central 연결이 끊긴 다른 모든 경우에서 SSID는 브로드캐스팅됩니다.

대역 조종

2.4GHz 대역과 5GHz 대역 간의 클라이언트 기능 및 두 개의 무선 대역에 대한 부하에 기반하여 클라이언트를 분산합니다. 이중 대역 가능 무선 클라이언트는 가능한 경우 5GHz로 라우팅되어 클라이언트 환경을 향상시킵니다. 이렇게 하려면 2.4GHz 대역에서 클라이언트가 보낸 초기 연결 요청을 거부하면 됩니다. 그러면 이중 대역 클라이언트는 5GHz로 협상을 시도합니다. 5GHz 대역에서 연결하지 않으면 "적대적 조종"으로 표시되고 다시 라우팅되지 않습니다. 클라이언트가 액세스 지점에서 너무 멀리 떨어지면 라우팅이 시도되지 않습니다. 그러면 일반적으로 범위가 2.4GHz 대역 미만일 때 클라이언트가 5GHz로 라우팅하지 못합니다. 대역 조종은 액세스 지점 수준당 수행되고, 해당 액세스 지점의 모든 SSID에 영향을 줍니다.

종속 포털

핫스팟을 활성화하고 구성합니다.

핫스팟 사용

SSID를 핫스팟으로 전환합니다. 이를 통해 카페, 호텔, 회사 등에서 시간 제한 및 트래픽 제한 인터넷 액세스 권한을 게스트에게 제공할 수 있습니다.

경고

많은 국가에서 공공 핫스팟 운영에는 법적으로 문제가 될 만한 콘텐츠의 웹 사이트에 대한 액세스를 제한하는 특정한 국법이 적용됩니다. 예를 들어, 파일 공유 사이트 또는 극단주의자 웹 사이트.

페이지 제목

방문 페이지의 제목을 정의할 수 있습니다. 사용자가 서비스 조건을 수락하면 사용자에게 표시됩니다.

시작 텍스트

방문 페이지의 시작 텍스트를 정의할 수 있습니다.

서비스 약관

사용자는 인증 전에 서비스 약관에 동의해야 합니다.

백엔드 인증

이 인증 유형을 사용하여 사용자는 RADIUS(Remote Authentication Dial-In User Service)를 통해 인증할 수 있습니다.

참고

백엔드 인증을 위해서는 RADIUS 서버에 PAP(암호 인증 프로토콜) 정책이 있어야 합니다. RADIUS 서버로 전송된 모든 사용자 자격 증명은 Sophos Central을 통해 HTTPS로 암호화됩니다.

암호 일정

정해진 일정에 따라 새 암호를 자동으로 만들 수 있습니다. 일정이 매주 또는 매월로 설정되어 있으면 평일이나 주를 선택할 수도 있습니다. 예약된 시간에 도달하면 이전 암호가 만료되고 현재 세션이 중단됩니다. 새 암호가 지정된 이메일 주소에 알림으로 전송됩니다.

바우처

이 핫스팟 유형을 사용할 경우 시간 제한을 가진 바우처를 생성하고 인쇄해 고객에게 제공할 수 있습니다. 사용자는 코드를 입력한 후 인터넷에 직접 액세스할 수 있습니다.

소셜 로그인

사용자가 자신의 소셜 미디어 계정을 사용하여 인증하도록 허용할 수 있습니다. Facebook 또는 Google 계정을 사용하도록 허용할 수도 있습니다. Google 인증을 설정하려면 Google 개발자 콘솔로 이동하여 Google의 클라이언트 ID 및 암호를 가져옵니다. 여기에 이 정보를 입력합니다. Facebook 인증을 설정하려면 Facebook 개발자 계정으로 이동하여 Facebook의 응용 프로그램 ID 및 암호를 가져옵니다. 여기에 이 정보를 입력합니다.

Google 개발자 콘솔에서 Google 클라이언트 ID를 검색하려면 다음과 같이 해야 합니다.

  1. 새 프로젝트를 만듭니다.
  2. Oauth 동의 화면으로 이동하여 응용 프로그램 이름을 입력합니다. 이 필드에는 아무 내용이나 입력할 수 있습니다. 그런 다음 권한 있는 도메인(“myapsophos.com”이어야 함)을 입력합니다.
  3. 자격 증명 > 자격 증명 생성 > OAuth 클라이언트 ID로 이동합니다.
  4. 응용 프로그램 유형을 웹 응용 프로그램으로 선택합니다.
  5. 제한 사항 아래에서 아래와 같이 권한 있는 javascript 원본 및 권한 있는 리디렉션 URI를 입력합니다.

    권한 있는 JavaScript 원본: https://www.myapsophos.com:8443

    권한 있는 리디렉션 URI: https://www.myapsophos.com:8443/hotspot.cgi

참고

사용자가 소셜 미디어 계정으로 로그인할 경우 인증서를 수락하고 계속하라는 메시지가 표시됩니다. 이렇게 하려면 Google 버튼을 클릭해야 합니다.

참고

사용자가 소셜 미디어 계정으로 인증할 경우 해당 계정의 개인 정보는 저장되지 않습니다.

세션 시간 제한

사용자의 인터넷 액세스 시간을 제한합니다.

다시 로그인 시간 제한

이를 활성화하면 소셜 로그인에 최초로 연결한 시점을 기준으로 24시간 동안 사용자가 네트워크에 다시 로그인하지 못합니다.

참고

최대 8대의 장치가 동일한 이메일 ID를 사용하여 연결할 수 있습니다.

리디렉션 URL

사용자가 방문 페이지에서 리디렉션되는 URL을 정의할 수 있습니다. 사용자는 모바일 장치의 기본 웹 사이트 또는 원하는 특정 웹 사이트로 리디렉션될 수 있습니다. 예를 들어, 회사 페이지가 있습니다.