보안 정책은 보안 그룹에 적용할 수 있는 Guest Introspection, 방화벽 및 네트워크 검사 서비스의 집합입니다. 보안 정책이 표시되는 순서는 정책과 연결된 가중치에 의해 결정됩니다. 기본적으로 새 정책은 테이블의 맨 위에 나타나도록 가장 높은 가중치가 할당됩니다. 하지만 기본 제안 가중치를 수정하여 새 정책에 할당된 순서를 변경할 수 있습니다.

사전 요구 사항

다음 사항을 충족하는지 확인하십시오.
  • 분산 방화벽 및 Guest Introspection과 같은 필수 VMware 기본 제공 서비스가 설치되어 있습니다.
  • 필수 파트너 서비스가 NSX Manager에 등록되어 있습니다.
  • Service Composer 방화벽 규칙에 대해 원하는 기본값이 설정되어 있습니다. Service Composer 방화벽 적용 대상 설정 편집를 참조하십시오.

RDSH에 대한 ID 방화벽의 보안 정책 프레임워크를 생성하는 경우:

  • Active Directory 서버가 NSX Manager와 통합되어야 합니다.
  • 호스트는 DFW가 사용되도록 설정되어야 하며 NSX 6.4.0으로 업그레이드해야 합니다.
  • 게스트 시스템은 업데이트된 VMware Tools를 실행해야 합니다.
  • GI SVM의 버전은 6.4 이상이어야 합니다.
  • 규칙은 방화벽 규칙의 새 섹션에서 생성되어야 합니다.
  • 규칙에는 소스에서 사용자 ID 사용이 선택되어야 있어야 합니다.
  • 원격 데스크톱 액세스에 대한 규칙의 경우 적용 대상 필드가 지원되지 않습니다.
  • ICMP는 RDSH에 대한 IDFW에서 지원되지 않습니다.

프로시저

  1. vSphere Web Client에서 네트워킹 및 보안(Networking & Security) > 보안(Security) > Service Composer로 이동합니다.
  2. 보안 정책(Security Policies) 탭을 클릭합니다.
  3. 새 보안 정책을 생성하려면:
    • NSX 6.4.1 이상에서 추가 (Add)를 클릭합니다.
    • NSX 6.4.0에서 보안 정책 생성 (Create Security Policy) (추가) 아이콘을 클릭합니다.
  4. [보안 정책 생성] 또는 [새 보안 정책] 대화상자에서 보안 정책의 이름을 입력합니다.
  5. 보안 정책에 대한 설명을 입력합니다. 설명은 255자를 초과할 수 없습니다.
    NSX는 정책에 기본 가중치(가장 높은 가중치 + 1000)를 할당합니다. 예를 들어 기존 정책 중 가장 높은 가중치가 1200이면 새 정책에는 2200의 가중치가 할당됩니다.

    보안 정책은 해당 가중치에 따라 적용됩니다. 즉, 가중치가 높은 정책이 가중치가 낮은 정책보다 우선 적용됩니다.

  6. 생성 중인 정책이 다른 보안 정책에서 서비스를 받도록 하려면 보안 정책 상속 (Inherit security policy)을 선택합니다. 상위 정책을 선택합니다.
    상위 정책의 모든 서비스가 새 정책에 상속됩니다.
  7. 다음 (Next)을 클릭합니다.
  8. [Guest Introspection 서비스] 페이지에서 추가 (Add) 또는 Guest Introspection 서비스 추가 (Add Guest Introspection Service)(추가 아이콘) 아이콘을 클릭합니다.
    1. [Guest Introspection 서비스 추가] 대화상자에서 서비스의 이름과 설명을 입력합니다.
    2. 서비스를 적용할지 또는 차단할지 여부를 지정합니다.
      보안 정책을 상속할 때는 상위 정책의 서비스를 차단하도록 선택할 수 있습니다.

      서비스를 적용할 경우 서비스 및 서비스 프로파일을 선택해야 합니다. 서비스를 차단할 경우 차단할 서비스 유형을 선택해야 합니다.

    3. 서비스 차단을 선택한 경우 서비스 유형을 선택합니다.
    4. Guest Introspection 서비스 적용을 선택한 경우 에서 서비스 이름을 선택합니다.
      선택한 서비스의 기본 서비스 프로파일이 표시되고, 여기에는 연결된 벤더 템플릿에서 지원하는 서비스 기능 유형에 대한 정보가 포함됩니다.
    5. 상태 (State)에서는 선택한 Guest Introspection서비스를 사용하도록 설정할지 여부를 지정합니다.

      Guest Introspection 서비스를 나중에 사용하도록 설정할 서비스에 대한 자리 표시자로 추가할 수 있습니다. 이 방법은 필요에 따라 서비스를 적용해야 하는 경우(예: 새 애플리케이션)에 특히 유용합니다.

    6. Guest Introspection 서비스를 강제 적용(즉, 재정의할 수 없음)할지 여부를 선택합니다. 선택한 서비스 프로파일에서 여러 서비스 기능 유형을 지원할 경우 기본적으로 강제 적용 (Enforce)으로 설정되어 있고 변경할 수 없습니다.

      보안 정책에서 Guest Introspection 서비스를 강제 적용하는 경우 이 보안 정책을 상속하는 다른 정책에서는 나머지 하위 정책보다 먼저 이 정책을 적용해야 합니다. 이 서비스를 강제 적용하지 않으면 상속 선택에서 하위 정책이 적용된 후에 상위 정책이 추가됩니다.

    7. 확인 (OK)을 클릭합니다.
    위의 단계를 수행하여 다른 Guest Introspection 서비스를 추가할 수 있습니다. 서비스 테이블 위의 아이콘을 통해 Guest Introspection 서비스를 관리할 수 있습니다.

    NSX 6.4.0에서 [Guest Introspection 서비스] 페이지의 오른쪽 아래에 있는 내보내기 아이콘을 클릭하여 이 페이지의 서비스를 내보내거나 복사할 수 있습니다.

  9. 다음 (Next)을 클릭합니다.
  10. [방화벽] 페이지에서 이 보안 정책이 적용될 보안 그룹에 대한 방화벽 규칙을 정의합니다.

    RDSH에 대한 ID 방화벽의 보안 정책을 생성할 경우 소스에서 사용자 ID 사용을 선택해야 합니다. 컨텍스트를 식별하기 위해 TCP 연결 상태가 추적되므로 이 옵션을 선택하면 상태 비저장 방화벽 옵션이 사용되지 않도록 설정됩니다. 정책을 업데이트하는 동안 이 플래그를 변경할 수 없습니다. 보안 정책이 소스에서 사용자 ID 사용으로 생성되면 상속이 지원되지 않습니다.

    1. 다음 선택적 매개 변수를 사용하도록 설정하려면 이 확인란을 클릭합니다.
      옵션 설명
      소스에서 사용자 ID 사용

      RDSH에 대한 ID 방화벽을 사용할 경우 소스에서 사용자 ID 사용을 선택해야 합니다. 컨텍스트를 식별하기 위해 TCP 연결 상태가 추적되므로 이 옵션을 선택하면 상태 비저장 방화벽 옵션이 사용되지 않도록 설정됩니다.

      TCP 엄격 사용 각 방화벽 섹션에 대해 TCP 엄격을 설정할 수 있습니다.
      상태 비저장 방화벽 사용 각 방화벽 섹션에 대해 상태 비저장 방화벽을 사용하도록 설정합니다.
    2. 추가 (Add) 또는 방화벽 규칙 추가 (Add Firewall Rule)(추가 아이콘) 아이콘을 클릭합니다.
    3. 추가 중인 방화벽 규칙에 대한 이름과 설명을 입력합니다.
    4. 허용 (Allow), 차단 (Block) 또는 거부 (Reject)를 선택하여 규칙이 선택된 대상으로의 트래픽을 허용할지, 차단할지 또는 거부할지를 지정합니다.
    5. 규칙의 소스를 선택합니다. 기본적으로 규칙은 이 정책이 적용되는 보안 그룹에서 오는 트래픽에 적용됩니다. 기본 소스를 변경하려면 선택 (Select) 또는 변경 (Change)을 클릭하고 적절한 보안 그룹을 선택합니다.
    6. 규칙의 대상을 선택합니다.
      참고: 소스 또는 대상(또는 둘 모두)은 이 정책이 적용되는 보안 그룹이어야 합니다.
      기본 소스가 있는 규칙을 생성하고 대상을 Payroll로 지정하고 대상 부정 (Negate Destination)을 선택했다고 가정하겠습니다. 그런 다음 이 보안 정책을 보안 그룹 Engineering에 적용합니다. 이렇게 하면 Engineering은 Payroll 서버를 제외한 모든 항목에 액세스할 수 있습니다.
    7. 규칙이 적용될 서비스 및/또는 서비스 그룹을 선택합니다.
    8. 사용 (Enabled) 또는 사용 안 함 (Disabled)을 선택하여 규칙 상태를 지정합니다.
    9. 이 규칙과 일치하는 세션을 로깅하려면 로그 (Log)를 선택합니다.
      로깅을 사용하도록 설정하면 성능에 영향을 줄 수 있습니다.
    10. 방화벽 규칙을 추가 또는 편집하는 동안 태그 (Tag) 텍스트 상자에 추가하려는 텍스트를 입력합니다.
    11. 확인 (OK)을 클릭합니다.
    위의 단계를 수행하여 다른 방화벽 규칙을 추가할 수 있습니다. 방화벽 테이블 위의 아이콘을 통해 방화벽 규칙을 관리할 수 있습니다.

    NSX 6.4.0에서 [방화벽] 페이지의 오른쪽 아래에 있는 내보내기 아이콘을 클릭하여 이 페이지의 규칙을 내보내거나 복사할 수 있습니다.

    여기에서 추가하는 방화벽 규칙은 방화벽 테이블에 표시됩니다. 방화벽 테이블에서 Service Composer 규칙은 편집하지 않는 것이 좋습니다. 긴급 문제 해결을 위해 편집을 꼭 해야 한다면 다음과 같이 Service Composer 규칙을 방화벽 규칙과 함께 다시 동기화해야 합니다.
    • NSX 6.4.1 이상에서는 [보안 정책] 탭에서 동기화 (Synchronize)를 선택합니다.
    • NSX 6.4.0에서는 [보안 정책] 탭의 작업 (Actions) 메뉴에서 방화벽 규칙 동기화 (Synchronize Firewall Rules)를 선택합니다.
  11. 다음 (Next)을 클릭합니다.
    [네트워크 검사 서비스] 페이지에는 VMware 가상 환경에 통합된 NetX 서비스가 표시됩니다.
  12. 다음 선택적 매개 변수를 사용하도록 설정하려면 이 확인란을 클릭합니다.
    옵션 설명
    TCP 엄격 사용 각 방화벽 섹션에 대해 TCP 엄격을 설정할 수 있습니다.
    상태 비저장 방화벽 사용 각 방화벽 섹션에 대해 상태 비저장 방화벽을 사용하도록 설정합니다.
  13. 추가 (Add) 또는 네트워크 검사 서비스 추가 (Add Network Introspection Service)(추가 아이콘) 아이콘을 클릭합니다.
    1. 추가 중인 서비스에 대한 이름과 설명을 입력합니다.
    2. 서비스로 리디렉션할지 여부를 선택합니다.
    3. 서비스 이름과 프로파일을 선택합니다.
    4. 소스와 대상을 선택합니다.
    5. 추가할 네트워크 서비스를 선택합니다.
      선택한 서비스를 기반으로 추가 항목을 선택할 수 있습니다.
    6. 서비스를 사용하도록 설정할지 여부를 선택합니다.
    7. 이 규칙과 일치하는 세션을 로깅하려면 로그를 선택합니다.
    8. 태그 (Tag) 텍스트 상자에 추가하려는 텍스트를 입력합니다.
    9. 확인 (OK)을 클릭합니다.
    위의 단계를 수행하여 다른 네트워크 검사 서비스를 추가할 수 있습니다. 서비스 테이블 위의 아이콘을 통해 네트워크 검사 서비스를 관리할 수 있습니다.

    NSX 6.4.0에서 [네트워크 검사 서비스] 페이지의 오른쪽 아래에 있는 내보내기 아이콘을 클릭하여 이 페이지의 서비스를 내보내거나 복사할 수 있습니다.

    참고: Service Composer 정책에서 사용된 서비스 프로파일에 대해 수동으로 생성된 바인딩을 덮어씁니다.
  14. 완료 (Finish)를 클릭합니다.
    보안 정책이 정책 테이블에 추가됩니다. 정책 이름을 클릭하고 적절한 탭을 선택하면 정책과 연결된 서비스의 요약을 보거나 서비스 오류를 보거나 서비스를 편집할 수 있습니다.

다음에 수행할 작업

보안 정책을 보안 그룹에 매핑합니다.