VMware Cloud Director 10.5.1부터는 VMware Cloud Director 환경 내에서 NSX Advanced Load Balancer의 웹 애플리케이션 방화벽 기능을 사용하여 가상 서비스를 공격으로부터 보호하고 위협을 사전에 예방할 수 있습니다.

VMware Cloud Director에서 가상 서비스에 대해 WAF를 사용하도록 설정하면 가상 서비스에 연결할 WAF 정책, WAF 프로파일 및 WAF 서명이 생성됩니다.

사전 요구 사항

  • NSX Advanced Load Balancer WAF 가이드를 숙지합니다. VMware NSX Advanced Load Balancer 설명서를 참조하십시오.
  • 시스템 관리자가 프리미엄 기능이 설정된 서비스 엔진 그룹을 NSX Edge Gateway에 할당했는지 확인합니다.
  • 조직 관리자로 로그인되었는지 확인합니다.

프로시저

  1. 기본 왼쪽 탐색 패널에서 네트워킹을 선택하고 페이지 상단 탐색 모음에서 Edge 게이트웨이를 선택합니다.
  2. 가상 서비스가 구성된 NSX Edge 게이트웨이를 클릭합니다.
  3. 가상 서비스를 클릭하고 WAF를 클릭합니다.
  4. [일반]에서 편집을 클릭합니다.
  5. WAF 상태 옵션을 설정합니다.
  6. WAF 모드를 선택합니다.
    옵션 설명
    감지 WAF 정책은 수신 요청을 평가하고 처리하지만 차단 작업은 수행하지 않습니다. 요청에 플래그가 지정되면 로그 항목이 생성됩니다.
    적용 WAF 정책은 요청을 평가하고 지정된 규칙을 기반으로 요청을 차단합니다. 해당 로그 항목은 REJECTED로 표시됩니다.
  7. 저장을 클릭합니다.

다음에 수행할 작업

필요한 경우 나중에 가상 서비스에 대한 WAF 모드를 변경하거나 웹 애플리케이션 방화벽을 비활성화할 수 있습니다.

가상 서비스에 대해 WAF를 사용하도록 설정한 후 허용 목록 규칙을 생성하거나 필요에 따라 WAF 서명을 편집할 수 있습니다.

가상 서비스에 대한 허용 목록 규칙 구성

허용 목록 기능을 사용하여 요청을 처리할 때 WAF가 수행할 일치 조건 및 연결된 작업을 정의할 수 있습니다.

WAF 허용 목록 규칙을 생성할 때 특정 경우(예: 요청이 특정 IP 주소 또는 범위에서 오거나 요청이 HTTP 메서드 일치 유형을 사용하여 지정된 URL 패턴과 일치하는 경우)에 WAF 정책을 적용하지 않도록 WAF에 지시합니다. 허용 목록 규칙을 구성하면 가양성 WAF 위반으로 로그가 플러딩되는 것을 방지하고 WAF 서명 검사에서 생성되는 지연 시간을 줄일 수 있습니다.

프로시저

  1. 기본 왼쪽 탐색 패널에서 네트워킹을 선택하고 페이지 상단 탐색 모음에서 Edge 게이트웨이를 선택합니다.
  2. 가상 서비스가 구성된 NSX Edge 게이트웨이를 클릭합니다.
  3. 가상 서비스를 클릭하고 WAF를 클릭합니다.
  4. [허용 목록 규칙] 아래에서 새로 만들기를 클릭합니다.
  5. 규칙의 이름을 입력합니다.
  6. 생성 시 규칙을 활성화하려면 활성 토글을 설정합니다.
  7. 일치 조건을 선택합니다.
    옵션 설명
    클라이언트 IP 주소
    1. Is 또는 Is Not을 선택하여 클라이언트 IP가 입력한 값과 일치하거나 일치하지 않을 경우 작업을 수행할지 여부를 나타냅니다.
    2. IPv4 주소 또는 IPv6 주소 또는 범위 또는 CIDR 표기법을 입력합니다.
    3. (선택 사항) IP 주소를 더 추가하려면 IP 추가를 클릭합니다.
    HTTP 메서드
    1. Is 또는 Is Not을 선택하여 HTTP 메서드가 입력한 값과 일치하거나 일치하지 않을 경우 작업을 수행할지 여부를 나타냅니다.
    2. 드롭다운 메뉴에서 하나 이상의 HTTP 메서드를 선택합니다.
    경로
    1. 경로에 대한 조건을 선택합니다.
    2. 경로 문자열을 입력합니다.
      참고: 경로는 슬래시(/)로 시작할 필요가 없습니다.
    3. (선택 사항) 경로를 더 추가하려면 경로 추가를 클릭합니다.
    호스트 헤더
    1. 호스트 헤더에 대한 조건을 선택합니다.
    2. 헤더의 값을 입력합니다.
    각 유형에 대해 하나의 조건을 추가할 수 있습니다.
  8. 일치 시 적용할 작업을 선택합니다.
    옵션 설명
    우회 WAF는 추가 규칙을 실행하지 않으며 요청이 허용됩니다.
    계속(C) 허용 목록 실행을 중지하고 WAF 서명 평가를 진행합니다.
    감지 모드 WAF는 수신 요청을 평가하고 처리하지만 차단 작업은 수행하지 않습니다. 요청에 플래그가 지정되면 로그 항목이 생성됩니다.
  9. 추가를 클릭합니다.

가상 서비스에 대한 WAF 서명 편집

가상 서비스에 대한 WAF 서명을 편집할 수 있습니다. 서명 모드를 감지에서 적용으로 또는 그 반대로 변경하거나 필요한 경우 서명 또는 서명 그룹을 비활성화할 수 있습니다.

프로시저

  1. 기본 왼쪽 탐색 패널에서 네트워킹을 선택하고 페이지 상단 탐색 모음에서 Edge 게이트웨이를 선택합니다.
  2. 가상 서비스가 구성된 NSX Edge 게이트웨이를 클릭합니다.
  3. 가상 서비스를 클릭하고 WAF를 클릭합니다.
    [서명 그룹] 섹션에서 WAF 정책에 포함된 서명 그룹을 볼 수 있으며, 현재 활성화되어 사용 중인지 여부를 확인할 수 있습니다. 활성 상태인 각 그룹의 수 또는 규칙과 수동으로 재정의된 규칙 수를 볼 수도 있습니다.
  4. [서명 그룹] 아래에서 편집할 서명 그룹의 왼쪽에 있는 확장 버튼을 클릭합니다.
  5. 그룹의 서명을 편집하려면 서명 편집을 클릭합니다.
  6. 서명 이름 왼쪽에 있는 확장 버튼을 클릭하고 작업을 선택합니다.
  7. 저장을 클릭합니다.
  8. 서명 그룹을 사용하지 않도록 설정하려면 서명 그룹 왼쪽에 있는 확장 버튼을 클릭하고 비활성화를 클릭합니다.