컨텍스트 인식 방화벽은 애플리케이션 수준의 가시성을 높이며 애플리케이션 투과율의 문제를 재정의하는 데 도움이 됩니다. 애플리케이션 계층에서 가시성이 보장되면 리소스, 규정 준수 및 보안 관점에서 워크로드를 보다 잘 모니터링할 수 있습니다.

방화벽 규칙은 애플리케이션 ID를 사용할 수 없습니다. 컨텍스트 인식 방화벽은 애플리케이션을 식별하고 애플리케이션이 사용하는 포트와는 별도로 동-서 트래픽에 대해 마이크로 세분화가 적용됩니다. 계층 7 서비스 개체를 정의하여 컨텍스트 인식 또는 애플리케이션 기반 방화벽 규칙을 정의할 수 있습니다. 규칙의 계층 7 서비스 개체를 정의한 후 특정 프로토콜, 포트 및 해당 애플리케이션으로 정의된 규칙을 정의할 수 있습니다. 규칙 정의는 5-튜플 이상을 기준으로 할 수 있습니다. 애플리케이션 규칙 관리자를 사용하여 컨텍스트 인식 방화벽 규칙을 생성할 수도 있습니다.

컨텍스트 인식 방화벽은 NSX Data Center for vSphere 6.4부터 지원됩니다.

NSX Data Center for vSphere에서 관리되는 기존 인프라의 모든 호스트 클러스터는 NSX Data Center for vSphere 6.4.0 이상으로 업그레이드해야 합니다.

방화벽의 유형

방화벽은 TCP/IP 모델의 각 계층을 통해 이동될 때 데이터에 추가되는 다른 L2, L3, L4 및 L7 패킷 헤더의 조합에 따라 작업을 수행합니다.

계층 3 또는 계층 4 방화벽에서 작업은 소스/대상 IP, 포트 및 프로토콜에 따라서만 수행됩니다. 네트워크 연결의 작동도 추적됩니다. 이러한 유형의 방화벽은 상태 저장 방화벽이라고 합니다.

계층 7 또는 컨텍스트 인식 방화벽은 계층 3 및 계층 4 방화벽이 수행하는 모든 작업을 수행할 수 있습니다. 또한 패킷 내용을 지능적으로 검사할 수 있습니다. 예를 들어, 특정 IP 주소에서 모든 HTTP 요청을 거부하도록 계층 7 방화벽 규칙을 작성할 수 있습니다.

규칙 정의 및 패킷 캡처

컨텍스트 인식 방화벽에 대해 5-튜플 이상의 규칙을 생성할 수 있습니다. 올바른 규칙을 생성하는 데 필요한 수만큼 튜플을 계속 추가할 수 있습니다. 지원되는 유일한 특성은 프로토콜 및 사용자이며, 규칙마다 사용자 또는 프로토콜이 있을 수 있습니다. 이러한 항목은 표준 소스/대상 필드에 있을 수도 있고, 추가 특성의 끝에 추가할 수도 있습니다.

다음 규칙에는 7-튜플이 있습니다.

소스 대상 서비스 방향 작업 특성
location-set-1 Iport-set-1 HTTPS INOUT 허용 TLS-V10
그림 1. 컨텍스트 인식 방화벽의 패킷 처리

가상 시스템에 대해 컨텍스트 인식 방화벽이 구성되면 DPI(분산 상세 패킷 검사) 특성이 5-튜플과도 일치해야 합니다. 여기에서 규칙이 처리되고 다시 검증되며 올바른 규칙을 찾을 수 있습니다. 작업에 따라 흐름이 생성되거나 삭제됩니다.

수신되는 패킷에 대해 규칙이 처리되는 방식은 다음과 같습니다.

  1. DFW 필터를 입력하면 5-튜플 기준의 흐름 테이블에서 패킷이 조회됩니다.
  2. 흐름/상태가 없는 경우 5-튜플 기준의 규칙 테이블에서 일치하는 흐름이 있는지 검색되고, 흐름 테이블에 항목이 생성됩니다.
  3. 흐름이 계층 7 서비스 개체가 있는 규칙과 일치하는 경우 흐름 테이블 상태는 "DPI 진행 중"으로 표시됩니다.
  4. 그런 후 트래픽이 DPI 엔진에 펀트됩니다. DPI 엔진은 APP_ID를 확인합니다.
  5. APP_ID가 확인되면 DPI 엔진은 이 흐름에 대한 컨텍스트 테이블에 삽입되는 특성을 전송합니다. "DPI 진행 중" 플래그가 제거되고 트래픽은 더 이상 DPI 엔진에 펀트되지 않습니다.
  6. 흐름(이제 APP-ID 포함)은 5-튜플에 따라 일치하는 원래 규칙부터 시작하고, 일치하는 L4 규칙이 먼저 적용되지 않도록 APP_ID와 일치하는 모든 규칙을 기준으로 다시 평가됩니다. 적절한 작업(허용/거부)이 수행되고, 그에 따라 흐름 테이블 항목이 업데이트됩니다.

실제로 컨텍스트를 정의하지 않고도, L3 또는 L4 규칙과 정확히 동일한 컨텍스트 인식 방화벽 규칙이 있을 수도 있습니다. 이러한 경우 더 많은 특성이 있을 수 있는 컨텍스트를 적용하기 위해 유효성 검사 단계가 수행될 수 있습니다.

컨텍스트 인식 방화벽 워크플로