분산 방화벽 규칙은 VM(vNIC) 수준에서 적용되며 SDDC 내에서 East-West 트래픽을 제어합니다.
분산 방화벽을 통과하려는 모든 트래픽에는 규칙 테이블에 표시된 순서대로(상단에서 시작) 규칙이 적용됩니다. 첫 번째 규칙에서 허용하는 패킷은 두 번째 규칙으로 전달되고 패킷이 삭제, 거부되거나 기본 규칙에 도달할 때까지 후속 규칙으로 계속 진행하여 모든 트래픽이 허용됩니다.
주의:
SDDC 버전 1.20, 1.20v2 또는 1.20v3에서 FQDN 특성이 있는 컨텍스트 프로파일이 있는 분산 방화벽 규칙은 DNS 서버의 응답에서 CNAME 레코드를 수신하는 경우 PSOD 실패를 트리거할 수 있습니다. 자세한 내용은 VMware 기술 자료 문서 91654를 참조하십시오.
분산 방화벽 규칙은 정책으로 그룹화됩니다. 정책은 범주별로 구성됩니다. 각 범주에는 평가 우선 순위가 있습니다. 우선 순위가 높은 범주의 규칙은 우선 순위가 낮은 범주의 규칙보다 먼저 평가됩니다.
표 1.
분산 방화벽 규칙 범주
범주 평가 우선 순위 |
범주 이름 |
설명 |
1 |
이더넷 |
모든 계층 2 SDDC 네트워크 트래픽에 적용됩니다.
참고: 이 범주의 규칙에는 소스 및 대상으로 MAC 주소가 필요합니다. IP 주소는 허용되지만 무시됩니다.
|
2 |
긴급 |
격리 및 허용 규칙에 사용됩니다. |
3 |
인프라 |
공유 서비스에 대한 액세스를 정의함. 글로벌 규칙, AD, DNS, NTP, DHCP, 백업, 관리 서버입니다. |
4 |
환경 |
운영 영역, 개발 영역 또는 특정 비즈니스 목적 전용의 영역과 같은 보안 영역 간의 규칙입니다. |
5 |
애플리케이션 |
애플리케이션, 애플리케이션 계층 또는 마이크로 서비스 간의 규칙입니다. |
분산 방화벽 용어에 대한 자세한 내용은 "
NSX Data Center 관리 가이드" 에서
보안 용어를 참조하십시오.
사전 요구 사항
분산 방화벽 규칙은 소스 및 대상으로 사용할 인벤토리 그룹을 필요로 하며, 서비스(SDDC에 대해 정의하는 사전 정의된 서비스 또는 사용자 지정 서비스)에 적용해야 합니다. 이러한 그룹과 서비스는 규칙을 생성할 때 생성할 수 있지만 이 중 일부를 미리 처리하면 프로세스 속도를 높일 수 있습니다. 인벤토리 그룹 사용의 내용을 참조하십시오.
프로시저
- https://vmc.vmware.com에서 VMware Cloud Services에 로그인합니다.
- 를 클릭한 다음 SDDC 카드를 선택하고 세부 정보 보기를 클릭합니다.
- NSX Manager 열기를 클릭하고 SDDC 설정 페이지에 표시된 NSX Manager 관리자 계정으로 로그인합니다. NSX Manager를 사용하여 SDDC 네트워크 관리를 참조하십시오.
이 워크플로에 대해
VMware Cloud 콘솔
네트워킹 및 보안 탭을 사용할 수도 있습니다.
- 분산 방화벽 페이지를 엽니다.
범주별 규칙을 클릭하고 범주를 선택하여 해당 범주의 정책 및 규칙을 보고 수정하거나,
모든 규칙을 클릭하여 모든 정책 및 범주의 규칙을 봅니다(수정 안 함).
- (선택 사항) 기본 연결 전략을 변경합니다.
분산 방화벽에는 모든 계층 2 및 계층 3 트래픽에 적용되는 기본 규칙이 포함되어 있습니다. 이러한 규칙은 해당 범주의 다른 모든 규칙 이후에 평가되고 이전 규칙과 일치하지 않는 트래픽이 방화벽을 통과하도록 허용합니다. 이러한 규칙 중 하나 또는 둘 다 더 제한적으로 변경할 수 있지만 어떤 규칙도 사용하지 않도록 설정할 수는 없습니다.
- 기본 계층 2 규칙을 변경하려면 이더넷 범주에서 기본 계층 2 섹션을 확장하고 해당 규칙에 대한 작업을 삭제로 변경합니다.
- 기본 계층 3 규칙을 변경하려면 애플리케이션 범주에서 기본 계층 3 섹션을 확장하고 해당 규칙에 대한 작업을 삭제 또는 거부로 변경합니다.
게시를 클릭하여 규칙을 업데이트합니다.
- 정책을 추가하려면 적절한 범주를 열고 정책 추가를 클릭한 다음 새 정책에 대해 이름을 지정합니다.
새 정책이 해당 범주의 정책 목록 맨 위에 추가됩니다. 기존 정책 이전 또는 이후에 정책을 추가하려면 정책 행의 시작 부분에 있는 말줄임표 버튼을 클릭하여 정책 설정 메뉴를 연 다음 위에 정책 추가 또는 아래에 정책 추가를 클릭합니다.
기본적으로 적용 대상 열이 DFW로 설정되고 규칙은 모든 워크로드에 적용됩니다. 선택한 그룹에 규칙 또는 정책을 적용할 수도 있습니다. 적용 대상은 규칙당 적용 범위를 정의하며 주로 호스트 리소스 사용 최적화에 사용됩니다. 이것은 다른 테넌트 및 영역에 대해 정의된 다른 정책을 방해하지 않고 특정 영역 및 테넌트에 대한 대상 정책을 정의하는 데 도움이 됩니다.
참고: IP 주소, MAC 주소 또는 Active Directory 그룹만으로 구성된 그룹은
적용 대상 텍스트 상자에 사용할 수 없습니다.
- 규칙을 추가하려면 정책을 선택하고 규칙 추가를 클릭한 후 규칙의 이름을 지정합니다.
- 새 규칙에 대한 매개 변수를 입력합니다.
매개 변수는 기본값으로 초기화됩니다(예:
소스 및
대상의 경우
모두). 매개 변수를 편집하려면 매개 변수 값 위로 마우스 커서를 이동하고 연필 아이콘(
)을 클릭하여 매개 변수별 편집기를 엽니다.
옵션 |
설명 |
소스 |
소스 열에서 모두를 클릭하고 소스 네트워크 트래픽에 대한 인벤토리 그룹을 선택하거나, 그룹 추가를 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을 생성합니다. 저장을 클릭합니다. |
대상 |
대상 열에서 모두를 클릭하고 대상 네트워크 트래픽에 대한 인벤토리 그룹을 선택하거나, 그룹 추가를 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을 생성합니다. 저장을 클릭합니다. |
서비스 |
서비스 열에서 모두를 클릭하고 목록에서 서비스를 선택합니다. 저장을 클릭합니다. |
적용 대상 |
규칙은 포함하는 정책의 적용 대상 값을 상속합니다. |
작업 |
- 모든 L2 및 L3 트래픽이 방화벽을 통과하도록 허용하려면 허용을 선택합니다.
- 지정된 소스, 대상 및 서비스와 일치하는 모든 패킷을 삭제하려면 삭제를 선택합니다. 이것은 소스나 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.
- 지정된 소스, 대상 및 서비스와 일치하는 모든 패킷을 거부하려면 거부를 선택합니다. 이 작업은 보낸 사람에게 "대상에 접속할 수 없음 메시지"를 반환합니다. TCP 패킷의 경우 응답에 TCP
RST 메시지가 포함됩니다. UDP, ICMP 및 기타 프로토콜의 경우 응답에 "관리 목적으로 금지됨" 코드(9 또는 10)가 포함됩니다. 연결을 설정할 수 없을 때 다시 시도 없이 보낸 사람에게 즉시 알림이 표시됩니다.
|
새 규칙은 기본적으로 사용되도록 설정됩니다. 토글을 왼쪽으로 밀어 사용하지 않도록 설정합니다.
- (선택 사항) 고급 설정을 구성합니다.
방향성을 변경하거나 규칙의 동작을 로깅하려면 기어 아이콘
을 클릭하여
설정 페이지를 엽니다.
-
방향
-
기본적으로 이 값은
입력/출력이며, 모든 소스 및 대상에 규칙을 적용합니다. 이 값을
입력으로 변경하여 소스에서 들어오는 트래픽에만 규칙을 적용하거나
출력으로 변경하여 대상으로 나가는 트래픽에만 규칙을 적용할 수 있습니다. 이 값을 변경하면 비대칭 라우팅 및 기타 트래픽 이상 징후를 유발할 수 있으므로
방향에 대한 기본값을 변경하기 전에 모든 소스 및 대상에 대한 예상 결과를 이해해야 합니다.
-
로깅
-
새 규칙에 대한 로깅은 기본적으로 사용되지 않도록 설정됩니다. 토글을 오른쪽으로 밀어서 규칙 작업의 로깅을 사용하도록 설정합니다.
- 게시를 클릭하여 규칙을 생성합니다.
시스템은 생성되는 로그 항목에서 규칙을 식별하는 데 사용되는 정수 ID 값을 새 규칙에 제공합니다.
다음에 수행할 작업
기존 방화벽 규칙에 대해 이러한 선택적 작업 전체 또는 일부를 수행할 수 있습니다.
-
기어 아이콘 을 클릭하여 규칙 로깅 설정을 보거나 수정합니다. 로그 항목은 VMware VMware Aria Operations for Logs 서비스로 전송됩니다. "VMware Cloud on AWS 운영 가이드" 에서 VMware Aria Operations for Logs 사용 항목을 참조하십시오.
-
그래프 아이콘
을 클릭하여 규칙에 대한 규칙 적중 및 흐름 통계를 확인합니다.
표 2.
규칙 적중 통계
인기도 인덱스 |
지난 24시간 동안 규칙이 트리거된 횟수 |
적중 수 |
규칙이 생성된 이후 트리거된 횟수 |
표 3.
흐름 통계
패킷 수 |
이 규칙을 통과하는 총 패킷 흐름입니다. |
바이트 수 |
이 규칙을 통과하는 총 바이트 흐름입니다. |
통계는 규칙을 사용하도록 설정하는 즉시 누적되기 시작합니다.
- 방화벽 규칙의 순서를 변경합니다.
새 규칙 추가 버튼을 통해 생성된 규칙은 정책의 규칙 목록 맨 위에 배치됩니다. 각 정책의 방화벽 규칙은 위에서 아래로 적용됩니다. 목록에서 규칙의 위치를 변경하려면 규칙을 선택한 후 새 위치로 끌어옵니다. 게시를 클릭하여 변경 내용을 게시합니다.