방화벽 규칙은 NSX Manager 범위에서 추가합니다. [적용 대상] 필드를 사용하면 규칙을 적용할 범위를 좁힐 수 있습니다. 각 규칙에 대해 소스 및 대상 수준에서 여러 개체를 추가할 수 있어 추가해야 할 총 방화벽 규칙 수가 줄어듭니다.

사전 요구 사항

VMware vCenter 개체 기반의 규칙을 추가할 경우 가상 시스템에 VMware Tools가 설치되어 있는지 확인하십시오. "NSX 설치 가이드" 를 참조하십시오.

6.1.5에서 6.2.3으로 마이그레이션된 VM은 TFTP ALG를 지원하지 않습니다. 마이그레이션 후에 TFTP ALG 지원을 사용하도록 설정하려면 예외 목록에서 VM을 추가했다가 제거하거나 VM을 다시 시작하십시오. TFTP ALG가 지원되는 새 6.2.3 필터가 생성됩니다.

참고: ID 기반 방화벽 규칙 사전 요구 사항:
  • 하나 이상의 도메인이 NSX Manager에 등록되어 있습니다. NSX Manager는 등록된 각 도메인에서 그룹 및 사용자 정보와 서로 간의 관계를 가져옵니다. NSX Manager에 Windows 도메인 등록를 참조하십시오.
  • Active Directory 개체를 기반으로 보안 그룹이 생성되고 이는 규칙의 소스 또는 대상으로 사용될 수 있습니다. 보안 그룹 생성를 참조하십시오.
  • Active Directory 서버가 NSX Manager와 통합되어야 합니다.
  • 호스트는 DFW가 사용되도록 설정되어야 하며 NSX 6.4.0으로 업그레이드해야 합니다.
  • 게스트 시스템은 업데이트된 VMware Tools를 실행해야 합니다.
  • GI SVM의 버전은 6.4 이상이어야 합니다.
  • 규칙은 방화벽 규칙의 새 섹션에서 생성되어야 합니다.
  • 규칙에는 소스에서 사용자 ID 사용이 선택되어야 있어야 합니다.
  • 원격 데스크톱 액세스에 대한 규칙의 경우 적용 대상 필드가 지원되지 않습니다.
  • ICMP는 RDSH에 대한 IDFW에서 지원되지 않습니다.
참고: 범용 방화벽 규칙 사전 요구 사항:

크로스 vCenter NSX 환경에서 범용 규칙은 범용 규칙 섹션의 기본 NSX Manager에 정의된 분산 방화벽 규칙을 참조합니다. 사용자 환경의 모든 보조 NSX Manager에서 이 규칙이 복제되므로 vCenter 경계에서 일관된 방화벽 정책을 유지할 수 있습니다. 기본 NSX Manager에는 범용 L2 규칙에 대한 여러 범용 섹션과 범용 L3 규칙에 대한 여러 범용 섹션이 포함될 수 있습니다. 범용 섹션은 모든 로컬 및 Service Composer 섹션 위쪽에 있습니다. 보조 NSX Manager에서 범용 섹션 및 범용 규칙을 볼 수 있지만 편집은 할 수 없습니다. 로컬 섹션에 따라 범용 섹션을 배치해도 규칙 우선 순위를 방해하지 않습니다.

여러 vCenter Server 사이의 vMotion에 대해 Edge 방화벽 규칙이 지원되지 않습니다.

표 1. 범용 방화벽 규칙에 지원되는 개체
소스 및 대상 적용 대상 서비스
  • 범용 MAC 집합
  • 범용 IP 집합
  • 범용 보안 그룹(범용 보안 태그, IP 집합, MAC 집합 또는 범용 보안 그룹을 포함할 수 있음)
  • 범용 보안 그룹(범용 보안 태그, IP 집합, MAC 집합 또는 범용 보안 그룹을 포함할 수 있음)
  • 범용 논리적 스위치
  • 분산 방화벽 - 이 규칙을 분산 방화벽이 설치된 모든 클러스터에 적용합니다.
  • 사전 생성된 범용 서비스 및 서비스 그룹
  • 사용자가 생성한 범용 서비스 및 서비스 그룹
다른 vCenter 개체는 범용 규칙에 지원되지 않습니다.

NSX 분산 방화벽의 상태가 이전 버전과 호환되는 모드가 아닌지 확인하십시오. 현재 상태를 확인하려면 REST API 호출 GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state를 사용하십시오. 현재 상태가 이전 버전과 호환되는 모드이면 REST API 호출 PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state를 사용하여 상태를 이후 버전과 호환되는 모드로 변경할 수 있습니다. 분산 방화벽이 이전 버전과 호환되는 모드에 있을 때는 분산 방화벽 규칙을 게시하지 마십시오.

프로시저

  1. vSphere Web Client에서 네트워킹 및 보안(Networking & Security) > 보안(Security) > 방화벽(Firewall)으로 이동합니다.
  2. L3, L4, 또는 L7 규칙을 추가 하려면 구성(Configuration) > 일반(General) 탭으로 이동합니다. L2 규칙을 추가하려면 이더넷(Ethernet) 탭을 클릭합니다.
    범용 방화벽 규칙을 생성하는 경우 범용 규칙 섹션에서 규칙을 생성합니다.
  3. 새 규칙의 이름(Name) 셀을 가리키고 편집을 클릭합니다.
  4. 새 규칙의 이름을 입력합니다.