분산 방화벽을 사용하면 가상 시스템 이름과 특성을 기반으로 가상 시스템과 같은 조직 가상 데이터 센터 엔티티를 세분화할 수 있습니다.
VMware Cloud Director는 NSX Data Center for vSphere에서 지원되는 조직 가상 데이터 센터에서 분산 방화벽 서비스를 지원합니다. NSX Data Center for vSphere 설명서에 설명된 대로, 이 분산 방화벽은 가상 워크로드와 네트워크에 대한 가시성 및 제어 기능을 제공하는 방화벽으로, 하이퍼바이저 커널이 내장되어 있습니다. 가상 시스템 이름과 같은 개체, IP 주소 또는 IP 집합 주소와 같은 네트워크 구성체를 기반으로 액세스 제어 정책을 생성할 수 있습니다. 방화벽 규칙은 각 가상 시스템의 vNIC 수준에서 적용되므로 가상 시스템이 vSphere vMotion에 의해 새 ESXi 호스트로 이동하더라도 일관된 액세스 제어를 제공합니다. 이 분산 방화벽은 회선에 가까운 속도 처리 시 동-서 트래픽을 검사할 수 있는 미세-세분화 보안 모델을 지원합니다.
NSX Data Center for vSphere 설명서에 설명된 대로, 계층 2(L2) 패킷의 경우 분산 방화벽은 성능 향상을 위해 캐시를 생성합니다. 계층 3(L3) 패킷은 다음 순서로 처리됩니다.
- 모든 패킷은 기존 상태에 대해 검사됩니다.
- 상태 일치 항목이 있으면 패킷이 처리됩니다.
- 상태 일치 항목이 없으면 일치 항목을 찾을 때까지 규칙을 통해 패킷이 처리됩니다.
- TCP 패킷의 경우 SYN 플래그가 있는 패킷에 대해서만 상태가 설정됩니다. 하지만 프로토콜(서비스 ANY)을 지정하지 않는 규칙은 임의의 플래그 조합을 사용하여 TCP 패킷을 일치시킬 수 있습니다.
- UDP 패킷의 경우 패킷에서 5-튜플 세부 정보가 추출됩니다. 상태 테이블에 상태가 없는 경우 추출된 5-튜플 세부 정보를 사용하여 새 상태가 생성됩니다. 이후 수신된 패킷은 방금 생성된 상태에 대해 일치됩니다.
-
ICMP 패킷의 경우 ICMP 유형, 코드 및 패킷 방향을 사용하여 상태를 생성합니다.
분산 방화벽은 ID 기반 규칙을 생성할 때에도 유용할 수 있습니다. 관리자는 엔터프라이즈 AD(Active Directory)에 정의된 대로 사용자의 그룹 멤버 자격을 기반으로 액세스 제어를 적용할 수 있습니다. ID 기반 방화벽 규칙을 사용할 수 있는 경우에 대한 몇 가지 사용 사례는 다음과 같습니다.
- 사용자 인증에 AD가 사용되는 환경에서 사용자가 랩톱 또는 모바일 디바이스를 사용하여 가상 애플리케이션에 액세스
- Microsoft Windows 기반 가상 시스템 환경에서 사용자가 VDI 인프라를 사용하여 가상 애플리케이션에 액세스
분산 방화벽이 제공하는 기능에 대한 자세한 내용은 NSX Data Center for vSphere 설명서를 참조하십시오.
