계층 7 서비스 개체를 정의하여 컨텍스트 인식 또는 애플리케이션 기반 방화벽 규칙을 구성할 수 있습니다. 계층 7 컨텍스트 인식 방화벽 규칙은 패킷 컨텐츠를 지능적으로 검사할 수 있습니다.

이 예제에서는 APP_HTTP 서비스 개체를 사용하여 계층 7 방화벽 규칙을 생성하는 프로세스를 설명합니다. 이 방화벽 규칙을 사용하면 가상 시스템에서 모든 대상으로의 HTTP 요청이 허용됩니다. 방화벽 규칙을 생성한 후 이 방화벽 규칙을 전달하는 소스 VM에서 일부 HTTP 세션을 시작하고 소스 VM의 특정 vNIC에서 Flow Monitoring을 설정합니다. 이 방화벽 규칙은 HTTP 애플리케이션 컨텍스트를 감지하고 소스 VM에서 규칙을 적용합니다.

사전 요구 사항

다음 NSX 역할 중 하나를 가진 계정을 사용하여 vSphere Web Client에 로그인해야 합니다.
  • 보안 관리자
  • NSX 관리자
  • 보안 엔지니어
  • 엔터프라이즈 관리자
참고: NSX Data Center for vSphere 6.4 이상이 설치되어 있는지 확인합니다.

프로시저

  1. vSphere Web Client에서 네트워킹 및 보안(Networking & Security) > 보안(Security) > 방화벽(Firewall)으로 이동합니다.
  2. (선택 사항) 컨텍스트 인식 방화벽 규칙을 그룹화하는 방화벽 규칙 섹션을 추가합니다.
  3. 규칙 추가 (Add Rule)를 클릭합니다.
  4. 컨텍스트 인식 방화벽 규칙을 생성합니다.
    1. 이 규칙을 식별하는 규칙 이름을 입력합니다. 예를 들어 L7_Rule_HTTP_Service를 입력합니다.
    2. 소스 열에서 편집 (Edit)(HTML5의 편집 아이콘.) 아이콘을 클릭합니다.
      [소스 지정] 페이지가 열립니다.
    3. 개체 유형 (Object Type) 드롭다운 메뉴에서 가상 시스템 (Virtual Machine)을 선택합니다.
    4. 사용 가능한 개체 (Available Objects) 목록에서 가상 시스템을 선택합니다. 이 개체를 선택한 개체 (Selected Objects) 목록으로 이동하고 저장 (Save)을 클릭합니다.
    5. 대상 열에서 기본값인 임의를 유지합니다.
    6. 서비스 열에서 편집 (Edit)(HTML5의 편집 아이콘.) 아이콘을 클릭합니다.
      [서비스 지정] 페이지가 열립니다.
    7. 개체 유형 (Object Type) 드롭다운 메뉴에서 서비스 (Services)를 선택합니다.
    8. 사용 가능한 개체 (Available Objects) 목록에서 App_HTTP 서비스를 선택합니다. 이 서비스를 선택한 개체 (Selected Objects) 목록으로 이동하고 저장 (Save)을 클릭합니다.
    9. 방화벽 규칙이 사용하도록 설정되어 있고 규칙 작업이 허용 (Allow)으로 설정되어 있는지 확인합니다.
    10. 게시 (Publish)를 클릭하여 방화벽 규칙 구성을 게시합니다.
    다음 그림은 생성한 방화벽 규칙을 보여 줍니다.
    그림 1. 컨텍스트 인식 방화벽 규칙 정의
    그림은 컨텍스트 인식 방화벽 규칙 정의를 보여 줍니다.
  5. 소스 VM의 콘솔에 로그인하여 wget Linux 명령을 시작하고 HTTP를 사용하여 웹에서 파일을 다운로드합니다.
  6. 소스 VM의 vNIC에서 라이브 Flow Monitoring을 설정하여 소스 VM의 트래픽 흐름을 모니터링합니다.
    1. 도구 (Tools) > Flow Monitoring으로 이동합니다.
    2. 소스 VM의 특정 vNIC를 선택합니다. 예를 들어 l2vpn-client-vm-Network adapter 1을 선택합니다.
    3. 시작 (Start)을 클릭하여 Flow Monitoring 데이터를 봅니다.
  7. 다음 그림에서 Flow Monitoring 데이터는 방화벽 규칙이 애플리케이션(HTTP) 컨텍스트를 감지했음을 보여 줍니다. 규칙 1005는 소스 VM(10.161.117.238) 및 대상 IP 주소 151.101.129.67 및 151.101.53.67로의 트래픽 흐름에 적용됩니다.
    그림 2. 소스 VM의 트래픽 흐름
    그림은 규칙 작업이 허용으로 설정된 경우 소스 VM의 vNIC에 대한 트래픽 흐름을 보여 줍니다.
  8. [방화벽] 페이지로 돌아가 규칙 작업을 차단 (Block)으로 변경합니다.
  9. 소스 VM의 콘솔로 이동한 후 wget 명령을 다시 실행합니다.
    이제 소스 VM에서 HTTP 요청이 차단됩니다. 다음과 같은 오류가 VM 콘솔에 표시되어야 합니다. 
    HTTP request sent, awaiting response ... Read error (Connection reset by peer) in headers
Retrying.
    다음 그림은 소스 VM(10.161.117.238)의 vNIC에서 애플리케이션(HTTP) 컨텍스트가 감지 및 차단된 흐름을 보여 줍니다.
    그림 3. 소스 VM의 트래픽 흐름
    컨텍스트 구분 규칙 작업이 차단으로 설정된 경우 소스 VM의 vNIC에 대한 트래픽 흐름.

다음에 수행할 작업

컨텍스트 인식 방화벽 규칙을 사용할 수 있는 다른 시나리오에 대해 알아보려면 컨텍스트 인식 방화벽 시나리오를 참조하십시오.