Service Composer를 통해 생성된 모든 방화벽 규칙에 대한 적용 대상 설정을 [분산 방화벽] 또는 [정책의 보안 그룹]으로 설정할 수 있습니다. 기본적으로 적용 대상은 [분산 방화벽]으로 설정되어 있습니다.

Service Composer 방화벽 규칙의 적용 대상이 [분산 방화벽]으로 설정되어 있으면 [분산 방화벽]이 설치된 모든 클러스터에 규칙이 적용됩니다. 방화벽 규칙의 적용 대상이 [정책의 보안 그룹]으로 설정되어 있으면 방화벽 규칙을 보다 미세하게 제어할 수 있지만 원하는 결과를 얻기 위해 여러 보안 정책 또는 방화벽 규칙이 필요할 수 있습니다.

프로시저

  1. vSphere Web Client에서 네트워킹 및 보안(Networking & Security) > 보안(Security) > Service Composer로 이동합니다.
  2. 보안 정책(Security Policies) 탭을 클릭합니다.
  3. 글로벌 방화벽 설정을 편집하려면:
    • NSX 6.4.1 이상에서는 [글로벌 방화벽 설정] 옆에 있는 편집() 아이콘을 클릭합니다.
    • NSX 6.4.0에서는 [글로벌 설정]의 방화벽 규칙 [적용 대상] 옆에 있는 편집(Edit)을 클릭합니다.
  4. 적용 대상에 대해 기본 설정을 선택하고 확인(OK)을 클릭합니다. 이 값은 방화벽 규칙을 적용할 vNIC를 결정합니다.
    옵션 설명
    분산 방화벽 방화벽 규칙이 [분산 방화벽]이 설치된 모든 클러스터에 적용됩니다.
    정책의 보안 그룹 방화벽 규칙이 보안 정책이 적용된 보안 그룹에 적용됩니다.
    API를 통해 기본 적용 대상 설정을 보고 변경할 수도 있습니다. " NSX API 가이드" 를 참조하십시오.

    RDSH 방화벽 규칙을 사용할 경우 적용 대상 설정은 분산 방화벽(Distributed Firewall)입니다. RDSH 규칙에 대한 적용 대상 설정에서 정책의 보안 그룹(Policy's Security Groups)은 지원되지 않습니다.

예: 적용 대상 동작

이 예제 시나리오에서 서비스가 있는 기본 방화벽 규칙 작업은 [차단]으로 설정되어 있습니다. 두 가지 보안 그룹인 web-servers 및 app-servers가 있습니다(VM 포함). 다음 방화벽 규칙을 포함하는 보안 정책, allow-ssh-from-web을 생성한 후 보안 그룹 app-servers에 적용합니다.
  • 이름: allow-ssh-from-web
  • 소스: web-servers
  • 대상: 정책의 보안 그룹
  • 서비스: ssh
  • 작업: 허용

방화벽 규칙이 [분산 방화벽]에 적용되는 경우 보안 그룹 web-servers의 VM에서 보안 그룹 app-servers의 VM으로 ssh를 수행할 수 있습니다.

방화벽 규칙이 [정책의 보안 그룹]에 적용되는 경우 트래픽이 애플리케이션 서버에 도달될 수 없게 차단되므로 ssh가 가능하지 않게 됩니다. 애플리케이션 서버에 대한 ssh를 허용하기 위한 추가 보안 정책을 생성하고 이 정책을 보안 그룹 web-servers에 적용해야 합니다.

  • 이름: allow-ssh-to-app
  • 소스: 정책의 보안 그룹
  • 대상: app-servers
  • 서비스: ssh
  • 작업: 허용