주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

SSID 고급 설정

보안, 백엔드 인증, 클라이언트 연결, QoS(Quality of Service), 네트워크 가용성 및 종속 포털을 구성합니다.

나의 제품 >Wireless > SSID으로 이동하여 고급 설정을 클릭합니다.

보안

네트워크를 보다 안전하게 만드는 설정을 정의합니다.

Synchronized Security

제한

APX 320, APX 530 및 APX 740에서만 사용할 수 있습니다.

동기화된 보안을 켜서 Sophos Endpoint Protection 및 Sophos Mobile Protection을 보유한 클라이언트가 Sophos Central Wireless 액세스 지점과 통신할 수 있도록 합니다. Sophos Firewall 및 Sophos Central Wireless 모두에서 동기화된 보안이 활성화되어 있는 경우, Sophos Firewall의 설정이 우선합니다.

동기화된 보안은 장치를 보안 상태 기준으로 분류합니다. 필요에 따라 Sophos Endpoint Protection 또는 Sophos Mobile로 장치를 보호해야 합니다. 관리자는 장치를 관리하기 위한 규칙을 설정할 수 있습니다. 장치가 이러한 규칙을 위반하면 소프트웨어가 위협을 보고하고 장치의 Security Heartbeat 상태가 이를 반영합니다. Security Heartbeat는 다음 중 하나로 장치를 분류합니다.

  • 보호됨(녹색): 장치가 정상이며 모든 트래픽이 허용됩니다.
  • 클라이언트가 위험 상황에 있을 수 있음(노란색): 장치에 사용자 동의 없이 설치된 응용 프로그램(PUA) 또는 비활성 맬웨어가 있습니다. 모든 트래픽이 허용됩니다.
  • 위험 상황의 클라이언트(빨간색): 장치에 활성 맬웨어 또는 랜섬웨어가 있습니다. 모든 인터넷 트래픽이 차단됩니다. 보안 브라우징 환경(폐쇄형 네트워크 서비스(Walled Garden) 또는 안전한 URL 목록)의 트래픽만 허용됩니다.
  • Security Heartbeat 없음: 이것은 엔드포인트 컴퓨터에만 적용됩니다. 장치가 연결되었지만 엔드포인트가 90초 동안 Security Heartbeat를 보내지 않고 있음을 나타냅니다.
  • 사용할 수 없음: 나열된 장치에 Sophos Endpoint 또는 Sophos Mobile Control이 설치되어 있지 않습니다.

장치에 대해 다음과 같은 동기화된 보안 옵션을 선택할 수 있습니다.

  • Sophos Mobile(UEM): 기본적으로 켜져 있습니다. Sophos 관리 모바일 장치에서 하트비트 정보를 전송할 수 있습니다. 또한 Sophos Central에서 이러한 장치에 대한 정책을 관리할 수 있습니다.

    참고

    빨간색 상태인 장치가 네트워크에 액세스하지 못하게 하려면 모바일 장치의 네트워크 액세스 제어를 Sophos Wireless로 설정해야 합니다. 모바일 > 설정 > Sophos 설정 > 네트워크 액세스 제어로 이동하여 Sophos Wireless를 선택합니다.

  • Sophos Central Endpoint Protection: Sophos Central에서 엔드포인트 정책을 관리하려면 켭니다. 또는 Sophos Firewall에서 엔드포인트 정책을 관리할 수도 있습니다.

  • Sophos 관리형 장치로만 SSID를 제한: 비관리형 장치가 SSID에 연결되면, 인증 후 장치가 관리되지 않는 것으로 판단하고 장치를 폐쇄형 네트워크 서비스(Walled Garden) 뒤에 놓은 다음, 사용자가 구성해야 할 랜딩 페이지를 표시합니다. 이 장치의 동작은 보안 하트비트 상태가 빨간색인 것과 비슷합니다. 장치는 허용 목록에 등록된 Sophos 웹 사이트 또는 해당 URL 및 IP에만 액세스할 수 있습니다.

관리형 장치는 Sophos에 의해 보호되는 모바일 또는 엔드포인트 장치입니다.

이 옵션을 켜면 랜딩 페이지 구성을 볼 수 있습니다. 다음 정보를 입력합니다.

  • 페이지 제목
  • 시작 텍스트
  • 표시할 메시지

숨겨진 SSID

네트워크 스캔에 SSID를 숨깁니다. SSID는 숨겨져 있어도 계속 사용할 수 있지만 직접 연결하려면 SSID 이름을 알고 있어야 합니다. SSID를 숨기더라도 액세스 지점에 이 SSID를 할당할 수 있습니다.

참고

SSID를 숨기는 것은 보안 기능이 아닙니다. 숨겨진 SSID를 계속 보호해야 합니다.

클라이언트 격리

동일한 무선 주파수 내에서 클라이언트 간의 통신을 차단합니다. 이는 게스트 또는 핫스팟 네트워크에서 유용합니다.

MAC 필터링

MAC(Media Access Control) 주소 연결을 제한하여 최소한의 보안을 제공합니다.

  • 없음: MAC 주소에 대한 제한이 없습니다.
  • 차단된 목록: 여기에 입력하는 모든 MAC 주소는 차단됩니다.
  • 허용된 목록: 여기에 입력하는 모든 MAC 주소는 허용됩니다.

폐쇄형 네트워크 서비스(Walled garden)

클라이언트가 빨간색 동기화된 보안 상태인 경우 .sophos.com 도메인과 함께 클라이언트가 계속 액세스할 수 있는 도메인을 여기에 입력하십시오. Sophos 관리형 장치로만 SSID를 제한을 설정한 경우 비관리형 장치에서도 이러한 도메인에 액세스할 수 있습니다. IP 주소와 도메인 이름이 모두 지원됩니다.

클라이언트 연결

LAN

무선 네트워크 트래픽을 LAN에 브리지합니다. 무선 장치가 동일한 IP 주소 범위를 공유합니다.

VLAN

무선 장치에서 특정 VLAN으로 트래픽을 전달합니다. VLAN 패킷을 허용하도록 다운스트림 네트워크 장치를 구성해야 합니다.

RADIUS VLAN 지정

다중 SSID가 없는 상태에서 사용자를 분리합니다. 엔터프라이즈 암호화 모드에서 사용할 수 있습니다.

액세스 지점은 RADIUS 서버에서 제공하는 VLAN에 사용자를 태그합니다. RADIUS 서버가 VLAN을 제공하지 않는 경우 트래픽은 태그가 지정되지 않은 상태가 됩니다.

참고

SSID에 대해 동적 VLAN을 켜면 IPv6가 차단됩니다. IPv6가 차단되지 않으면 무선 장치가 여러 VLAN의 여러 IPv6 주소 및 게이트웨이를 얻을 수 있습니다.

게스트 네트워크 사용

제한

AP 및 APX 시리즈 액세스 지점에만 사용할 수 있습니다.

게스트 네트워크를 활성화합니다. 게스트 네트워크는 몇 가지 트래픽 제한이 있는 무선 장치에 격리된 네트워크를 제공합니다. 액세스 지점은 지정된 시간에 하나의 게스트 네트워크를 가질 수 있습니다. 다음 모드를 사용할 수 있습니다.

브리지 모드

동일한 서브넷에서 DHCP 서버를 사용합니다.

이는 모든 트래픽을 필터링하고 게이트웨이, DNS 서버 및 외부 네트워크에 대한 통신만 허용합니다. VLAN이 없는 환경에 게스트 네트워크를 추가하고 계속 클라이언트를 격리할 수 있습니다. DHCP 서버가 여전히 네트워크에 있으므로 액세스 지점 간의 로밍이 작동합니다.

참고

게스트 네트워크에 VLAN을 사용하여 별도의 게스트 네트워크를 만들 수 있습니다.

NAT 모드

액세스 지점에서 온보드 DHCP 서버를 사용합니다. 그러면 게스트 네트워크의 무선 장치에 로컬 격리된 IP가 제공됩니다. 장치가 내부 IP 체계를 인식하지 못합니다.

NAT 모드에서는 무선 장치가 IP 주소를 얻기 위해 DNS 서버를 선택적으로 사용할 수 있습니다. DNS 서버가 무선 장치에 주소를 할당하지 않으면 액세스 지점과 동일한 DNS 주소가 할당됩니다.

브리지 모드는 처리 속도가 더 높은 반면, NAT 모드는 격리 성능이 더 좋습니다.

네트워크 가용성

특정 시간 또는 특정 요일에만 사용할 수 있는 SSID를 정의합니다. 그동안에 SSID는 표시되지 않습니다.

  • 항상: SSID를 항상 사용할 수 있게 하려면 선택합니다.
  • 예약됨: 네트워크를 사용할 수 있는 요일과 시간을 선택합니다.

서비스 품질

설정을 구성하여 네트워크를 최적화합니다.

멀티캐스트에서 유니캐스트로 변환

멀티캐스트 패킷을 유니캐스트 패킷에 최적화합니다. 액세스 지점은 IGMP를 기반으로 각 무선 장치에 대해 멀티캐스트 패킷을 유니캐스트 패킷으로 개별적으로 변환합니다.

이것은 하나의 액세스 지점에 연결되는 무선 장치의 수가 적을 때 가장 잘 작동합니다.

유니캐스트로 변환하는 것은 미디어 스트리밍에 적합합니다. 더 높은 처리량 속도로 작동할 수 있기 때문입니다.

프록시 ARP

액세스 지점을 활성화하여 연결된 무선 장치에 대한 ARP(Address Resolution Protocol) 요청에 응답합니다.

빠른 로밍

서로 다른 액세스 지점 간에 전환할 때 로밍 시간을 최적화합니다. WPA2 암호화를 사용하는 SSID는 로밍 시간을 줄이기 위해 IEEE 802.11r 표준을 사용합니다(엔터프라이즈 인증 포함). 이것은 사용자가 다른 액세스 지점에 동일한 SSID를 할당할 때 적용됩니다. 무선 장치 역시 IEEE 802.11r 표준을 지원해야 합니다.

브로드캐스트 유지

액세스 지점이 Sophos Central에 연결할 수 없으면 다시 시작될 때 구성된 SSID 브로드캐스트를 중지합니다. 액세스 지점이 Sophos Central에 연결할 수 없는 경우에도 다시 시작한 후 구성된 SSID를 계속 브로드캐스팅할 수 있도록 하려면 브로드캐스트 유지를 선택합니다. 액세스 지점은 Sophos Central에 대한 연결을 복원할 때까지 마지막으로 알려진 구성으로 작동합니다. 무선 장치는 여전히 구성된 모든 내부 및 외부 리소스에 연결하고 액세스할 수 있습니다.

참고

이 기능은 AP6 시리즈 액세스 지점의 경우 항상 켜져 있습니다. 이를 끌 수 없습니다.

대역 조종

대역 조종은 5GHz 작동이 가능한 무선 장치를 감지하고 해당 주파수에 연결합니다. 따라서 혼잡도가 높은 2.4GHz 주파수 대역은 이 대역에만 연결 가능한 무선 장치에 사용할 수 있습니다. 액세스 지점이 2.4GHz 대역에서 전송된 초기 연결 요청을 거부합니다. 그러면 이중 대역 무선 장치가 5GHz로 협상을 시도합니다. 5GHz 대역에서 연결되지 않으면 액세스 지점은 이것을 "조종에 비우호적"으로 표시하고 다시 라우팅하지 않습니다. 무선 장치가 너무 멀리 있으면 액세스 지점이 대역 조종을 시도하지 않습니다. 이렇게 하면 무선 장치가 범위 내에 있지 않을 때 5GHz로 라우팅되지 않습니다. 대역 조종은 액세스 지점 수준에서 수행되며 해당 액세스 지점의 모든 SSID에 영향을 미칩니다.

참고

밴드 스티어링을 사용하려면 2.4GHz 및 5GHz 주파수 대역을 구성해야 합니다.

종속 포털

종속 포털은 장치가 인터넷에 액세스하기 전에 인증을 받도록 강제합니다.

핫스팟 사용

SSID에 대한 종속 포털을 켜려면 핫스팟 활성화를 선택하십시오.

경고

많은 국가에서 공공 핫스팟 운영에는 법적으로 문제가 될 만한 콘텐츠의 웹 사이트(예: 파일 공유 사이트, 극단주의 웹 사이트)에 대한 액세스를 제한하는 특정한 국내법이 적용됩니다. 법규에 따라 핫스팟을 국가 규제 기관에 등록해야 할 수 있습니다.

종속 포털을 켜면 다음 종속 포털 옵션을 구성할 수 있습니다.

방문 페이지

핫스팟 활성화가 선택된 액세스 지점은 HTTP 트래픽을 가로채고 사용자를 미리 정의된 페이지인 종속 포털로 리디렉션합니다. 사용자는 허용된 네트워크(예: 인터넷)에 액세스하기 전에 구성된 인증 방법을 사용해야 합니다. 랜딩 페이지는 핫스팟에 연결한 후 사용자에게 표시되는 첫 번째 페이지입니다.

제목 및 시작 텍스트로 랜딩 페이지를 사용자 지정할 수 있습니다. 또한 사용자가 네트워크에 액세스하기 전에 동의해야 하는 사용자 지정 서비스 약관을 만들 수도 있습니다.

인증 유형

무선 장치는 인터넷에 액세스하기 전에 종속 포털에서 인증해야 합니다. 다음 인증 옵션 중에서 선택하십시오.

  • 없음: 인증 없음.
  • 백엔드 인증: 암호 인증 프로토콜(PAP)을 사용하여 RADIUS 서버를 통해 인증을 허용합니다.

    참고

    백엔드 인증을 위해서는 RADIUS 서버에 PAP(암호 인증 프로토콜) 정책이 있어야 합니다. 액세스 지점은 HTTPS를 사용하여 RADIUS 서버로 전송된 모든 사용자 자격 증명을 암호화합니다.

  • 암호 일정: 매일, 매주 또는 매월 일정에 따라 자동으로 새 암호를 생성합니다. 암호가 만료되면 액세스 지점은 현재 세션을 모두 종료하며 사용자는 새 암호로 인증해야 합니다. 모든 관리자에게 알림을 선택하면 Sophos Central에서 새 암호를 알림을 통해 모든 Sophos Central 관리자 및 다른 사용자에 지정된 모든 이메일 주소로 보냅니다.

  • 소셜 로그인: 소셜 미디어 계정을 통한 인증을 허용합니다. 당사는 계정의 어떠한 정보도 저장하지 않습니다. 다음 공급자 중에서 선택할 수 있습니다.

    • Google: 활성화를 선택하면 사용자가 Google 자격 증명으로 로그인할 수 있습니다.

      조직의 Google 클라이언트 ID클라이언트 암호가 필요합니다. 정보를 얻으려면 다음과 같이 하십시오.

      1. Google 관리 콘솔에 로그인합니다.
      2. 자격 증명을 클릭하고 새 프로젝트를 생성합니다.
      3. OAuth 동의 화면 을클릭하고 사용자 유형 을 선택한 다음 생성을 클릭합니다.
      4. OAuth 동의 화면에서 필수 필드를 입력하고 도메인 추가 를 클릭한 다음 myapsophos.com 권한 있는 도메인 으로 입력합니다.
      5. 사용자 변경 사항을 저장하십시오.
      6. 자격 증명을 클릭하고 자격 증명 생성을 클릭한 다음 OAuth 클라이언트 ID를 클릭합니다.
      7. **** 응용 프로그램 유형으로 웹 응용 프로그램을 선택하고 이름을 입력한 다음 사용 중인 일련의 액세스 포인트에 대해 다음 정보를 입력합니다.
      • 승인된 JavaScript 출처: https://www.myapsophos.com:8443
      • 승인된 리디렉션 URI: https://www.myapsophos.com:8443/hotspot.cgi
      • 승인된 JavaScript 출처: https://www.myapsophos.com
      • 승인된 리디렉션 URI: https://www.myapsophos.com

      변경 사항을 저장하면 * OAuth 클라이언트 생성* 창에 클라이언트 ID 및 클라이언트 암호가 표시됩니다.

    • Facebook: 사용자가 Facebook 자격 증명으로 로그인할 수 있도록 허용하려면 활성화를 선택합니다.

      Facebook 개발자 계정의 Facebook 앱 ID앱 암호가 필요합니다. 정보를 얻으려면 다음과 같이 하십시오.

      1. Facebook 개발자 사이트에 로그인합니다.
      2. 내 앱 을 클릭하고 새 앱 추가를 클릭합니다.
      3. 작업 유형을 선택하고 다음을 클릭합니다.
      4. 필요한 세부 정보를 입력하고 앱 만들기 를 클릭합니다.
      5. 설정 을 클릭하고 기본 을 클릭합니다. 앱 ID를 볼 수 있습니다.
      6. * *앱 비밀을 보려면 표시 를 클릭합니다.
    • 승인된 도메인: Google 및 Facebook에 대해 인증된 도메인을 설정할 수 있습니다.

    • 세션 시간 제한: 세션 시간 제한을 1~24시간 사이로 설정할 수 있습니다.
    • 재로그인 시간 제한: 사용자가 처음 인증한 후 24시간 동안 네트워크에 로그인하지 못하게 하려면 활성화를 선택합니다.

    참고

    사용자가 소셜 미디어 계정으로 로그인할 경우 인증서를 수락하고 계속하라는 메시지가 표시됩니다. 이렇게 하려면 Google 버튼을 클릭해야 합니다.

  • 바우처: 인증에 대한 시간 제한이 있는 인쇄 가능한 바우처를 사용합니다. 바우처 만들기를 클릭하여 새 바우처를 만듭니다.

리디렉션 URL

사용자 인증 후 종속 포털의 동작을 설정할 수 있습니다. 인증된 사용자를 처음에 요청한 페이지 또는 사용자 지정 URL로 보낼 수 있습니다. 옵션은 다음과 같습니다.

  • 리디렉션 URL: 다음 옵션 중에서 선택하십시오.

    • 원래 URL로 리디렉션: 인증 후 원래 도달하고 싶었던 웹 사이트로 사용자를 리디렉션합니다.
    • 사용자 지정 URL: 인증 후 특정 웹 사이트로 사용자를 리디렉션합니다. 사용자 지정 URL 필드에 URL을 입력합니다.

추가 정보