기본적으로 계산 게이트웨이는 모든 업링크에 대한 트래픽을 차단합니다. 계산 게이트웨이 방화벽 규칙을 추가하면 필요에 따라 트래픽을 허용할 수 있습니다.

계산 게이트웨이 방화벽 규칙은 지정된 소스에서 지정된 대상으로의 네트워크 트래픽에 대해 수행할 작업을 지정합니다. 작업은 허용(트래픽 허용) 또는 삭제(지정된 소스 및 대상과 일치하는 모든 패킷 삭제)일 수 있습니다. 소스와 대상은 물리적 네트워크 인터페이스 목록에서 선택하거나 게이트웨이에서 VPC 인터페이스, 인터넷 인터페이스 또는 Direct Connect 인터페이스로 이동하는 모든 트래픽에 적용되는 모든 업링크의 일반 규격에서 선택할 수 있습니다.
참고: 모든 업링크에 적용하는 방화벽 규칙은 물리적 인터페이스가 아니라 가상 인터페이스인 VTI(VPN 터널 인터페이스)에는 적용되지 않습니다. VPN 터널 인터페이스는 경로 기반 VPN을 통해 워크로드 VM 통신을 관리하는 모든 방화벽 규칙의 적용 대상 매개 변수에 명확하게 지정해야 합니다.
계산 게이트웨이에는 VTI로 전송되는 모든 트래픽을 삭제하는 기본 VTI 규칙모든 업링크로 전송되는 트래픽을 삭제하는 기본 업링크 규칙이 포함되어 있습니다. 워크로드 VM이 VTI를 통해 통신할 수 있게 하려면 이 규칙을 수정하거나, 규칙 계층에서 더 낮은 순위로, 즉 허용 범위가 더 넓은 규칙 다음에 오도록 이동합니다.

방화벽을 통과하려는 모든 트래픽에는 규칙 테이블에 표시된 순서대로(상단에서 시작) 규칙이 적용됩니다. 첫 번째 규칙에서 허용하는 패킷은 두 번째 규칙으로 전달되고 패킷이 삭제, 거부되거나 기본 규칙에 도달할 때까지 후속 규칙으로 계속 진행됩니다.

사전 요구 사항

계산 게이트웨이 방화벽 규칙에는 소스 및 대상 값에 대해 명명된 인벤토리 그룹이 필요합니다. 계산 그룹 추가 또는 수정의 내용을 참조하십시오.

프로시저

  1. https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.
  2. 네트워킹 및 보안 탭에서 게이트웨이 방화벽을 클릭합니다.
  3. 게이트웨이 방화벽 페이지에서 계산 게이트웨이를 클릭합니다.
  4. 규칙을 추가하려면 규칙 추가를 클릭한 후 새 규칙의 이름 지정합니다.
  5. 새 규칙에 대한 매개 변수를 입력합니다.
    매개 변수는 기본값으로 초기화됩니다(예: 소스대상의 경우 모두). 매개 변수를 편집하려면 매개 변수 값 위로 마우스 커서를 이동하고 연필 아이콘( )을 클릭하여 매개 변수 관련 편집기를 엽니다.
    옵션 설명
    소스 소스 열에서 모두를 클릭하고 소스 네트워크 트래픽에 대한 인벤토리 그룹을 선택하거나, 그룹 추가를 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을 생성합니다. 저장을 클릭합니다.
    대상 대상 열에서 모두를 클릭하고 대상 네트워크 트래픽에 대한 인벤토리 그룹을 선택하거나, 새 그룹 생성을 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을 생성합니다. 저장을 클릭합니다.
    서비스 서비스 열에서 모두를 클릭하고 목록에서 서비스를 선택합니다. 저장을 클릭합니다.
    적용 대상 규칙이 적용되는 트래픽 유형을 정의합니다.
    • 경로 기반 VPN을 통해 트래픽에 규칙을 적용하려면 VPN 터널 인터페이스를 선택합니다.
    • 연결된 AWS VPC 연결을 통해 트래픽에 규칙을 적용하려면 VPC 인터페이스를 선택합니다.
    • 공용 IP를 사용하는 정책 기반 VPN을 포함하여 인터넷을 통한 트래픽에 규칙을 적용하려면인터넷 인터페이스를 선택합니다.
    • 개인 IP를 사용하는 정책 기반 VPN을 포함하여 AWS Direct Connect(전용 VIF)를 통한 트래픽을 규칙에서 허용하려면 Direct Connect 인터페이스를 선택합니다.
    • VPC 인터페이스, 인터넷 인터페이스Direct Connect 인터페이스에 규칙을 적용하지만 VPN 터널 인터페이스에는 적용하지 않으려면 모든 업링크를 선택합니다.
      참고: VPN 터널 인터페이스는 업링크로 분류되지 않습니다.
    작업
    • 모든 L2 및 L3 트래픽이 방화벽을 통과하도록 허용하려면 허용을 선택합니다.
    • 지정된 소스, 대상서비스와 일치하는 모든 패킷을 삭제하려면 삭제를 선택합니다. 이것은 소스나 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.
    • 지정된 소스, 대상서비스와 일치하는 모든 패킷을 거부하려면 거부를 선택합니다. 이 작업은 보낸 사람에게 "대상에 접속할 수 없음 메시지"를 반환합니다. TCP 패킷의 경우 응답에 TCP RST 메시지가 포함됩니다. UDP, ICMP 및 기타 프로토콜의 경우 응답에 "관리 목적으로 금지됨" 코드(9 또는 10)가 포함됩니다. 연결을 설정할 수 없을 때 다시 시도 없이 보낸 사람에게 즉시 알림이 표시됩니다.
    새 규칙은 기본적으로 사용되도록 설정됩니다. 토글을 왼쪽으로 밀어 사용하지 않도록 설정합니다.
  6. 게시를 클릭하여 규칙을 생성합니다.

    시스템은 규칙에 의해 생성된 로그 항목에 사용되는 정수 ID 값을 새 규칙에 제공합니다.

다음에 수행할 작업

기존 방화벽 규칙에 대해 이러한 선택적 작업 전체 또는 일부를 수행할 수 있습니다.

  • 기어 아이콘 을 클릭하여 규칙 로깅 설정을 보거나 수정합니다. 로그 항목은 VMwarevRealize Log Insight Cloud 서비스로 전송됩니다. "VMware Cloud on AWS 운영 가이드" 에서 vRealize Log Insight Cloud 사용 항목을 참조하십시오.

  • 그래프 아이콘 을 클릭하여 규칙에 대한 규칙 적중 및 흐름 통계를 확인합니다.
    표 1. 규칙 적중 통계
    인기도 인덱스 지난 24시간 동안 규칙이 트리거된 횟수
    적중 수 규칙이 생성된 이후 트리거된 횟수
    표 2. 흐름 통계
    패킷 수 이 규칙을 통과하는 총 패킷 흐름입니다.
    바이트 수 이 규칙을 통과하는 총 바이트 흐름입니다.
    통계는 규칙을 사용하도록 설정하는 즉시 누적되기 시작합니다.
  • 방화벽 규칙의 순서를 변경합니다.

    새 규칙 추가 버튼을 통해 생성된 규칙은 규칙 목록의 맨 위에 배치됩니다. 방화벽 규칙은 위에서 아래로 적용됩니다. 목록에서 규칙의 위치를 변경하려면 규칙을 선택한 후 새 위치로 끌어옵니다. 게시를 클릭하여 변경 내용을 게시합니다.