DFW(분산 방화벽)는 NSX용으로 준비한 모든 ESXi 호스트 클러스터의 VIB 패키지로 커널에서 실행됩니다. 호스트 준비 과정에서 ESXi 호스트 클러스터에서 DFW가 자동으로 활성화됩니다.

기존 경계 중심 보안 아키텍처의 기본 제약 조건은 최신 데이터 센터의 보안 상태 및 애플리케이션 확장성 둘 다에 영향을 줍니다. 예를 들어, 네트워크의 경계에서 물리적 방화벽을 통해 트래픽을 고정하면 특정 애플리케이션에 대한 추가 지연 시간이 생성됩니다.

DFW는 물리적 방화벽에서 불필요한 고정을 제거하고 네트워크의 트래픽 양을 줄여 물리적 보안을 보완하고 향상시킵니다. 거부된 트래픽은 ESXi 호스트를 나가기 전에 차단됩니다. 트래픽이 네트워크를 통과할 필요 없이 물리적 방화벽을 통해 주변 장치에서 중지됩니다. 동일한 호스트나 다른 호스트의 다른 VM으로 향하는 트래픽은 네트워크를 통과하지 않아도 물리적 방화벽을 지난 다음, 대상 VM으로 돌아갑니다. ESXi 수준에서 트래픽이 검사되고 대상 VM으로 전달됩니다.


그림은 DFW를 사용하거나 사용하지 않은 네트워크의 트래픽 흐름을 보여 줍니다.

NSX DFW는 상태 저장 방화벽입니다. 즉, 활성 연결의 상태를 모니터링하며, 이 정보를 사용하여 방화벽을 통과하도록 허용할 네트워크 패킷을 결정합니다. DFW는 하이퍼바이저에서 구현되고 vNIC 기준으로 가상 시스템에 적용됩니다. 즉, 방화벽 규칙이 각 가상 시스템의 vNIC에서 적용됩니다. 트래픽이 VM을 나간 후 가상 스위치(송신)에 들어가려고 할 때 VM의 vNIC에서 트래픽 검사가 발생합니다. 또한 트래픽이 스위치를 떠난 후 VM(수신)에 들어가기 전에도 vNIC에서 검사가 발생합니다.

NSX Manager 가상 장치, NSX Controller VM 및 NSX Edge Service Gateway는 DFW에서 자동으로 제외됩니다. VM에 DFW 서비스가 필요하지 않은 경우 제외 목록에 수동으로 추가할 수 있습니다.

DFW가 모든 ESXi 호스트의 커널에 분산되어 있으므로 클러스터에 호스트를 추가할 때 방화벽 용량이 수평으로 확장됩니다. 호스트를 더 추가하면 DFW 용량이 증가합니다. 인프라가 확장되고 점점 증가하는 VM을 관리하기 위해 더 많은 서버를 구입하면 DFW 용량이 증가합니다.

DFW 정책 규칙

DFW 정책 규칙은 vSphere Web Client를 사용하여 생성되며 규칙은 NSX Manager 데이터베이스에 저장됩니다. DFW를 사용하면 이더넷 규칙(L2 규칙) 및 일반 규칙(L3-L7 규칙)을 생성할 수 있습니다. 규칙은 NSX Manager에서 ESXi 클러스터로 게시된 다음, ESXi 호스트에서 VM 수준으로 내려갑니다. 동일한 클러스터에 있는 모든 ESXi 호스트의 DFW 정책 규칙이 동일합니다.

ESXi 호스트의 분산 방화벽 인스턴스에는 다음 두 테이블이 포함됩니다.
  • 모든 보안 정책 규칙을 저장하기 위한 규칙 테이블
  • "허용" 작업을 포함하는 규칙에 대한 흐름 항목을 캐시하는 연결 추적기 테이블

DFW 규칙은 "하향식"으로 실행됩니다. 방화벽을 통과해야 하는 트래픽은 먼저 방화벽 규칙 목록과 일치하는지 확인됩니다. 각 패킷은 규칙 테이블의 맨 위에 있는 규칙에 대하여 확인된 후 테이블의 다음 규칙 순서에 따라 확인됩니다. 테이블에서 트래픽 매개 변수와 일치하는 첫 번째 규칙이 적용됩니다. 테이블의 마지막 규칙은 DFW 기본 규칙입니다. 어떤 규칙과도 일치하지 않는 패킷에는 기본 규칙이 적용됩니다.

각 VM에는 고유한 방화벽 정책 규칙 및 컨텍스트가 있습니다. vMotion 중에 VM이 한 ESXi 호스트에서 다른 호스트로 이동하면 DFW 컨텍스트(규칙 테이블, 연결 추적기 테이블)가 VM과 함께 이동합니다. 또한 vMotion 동안 모든 활성 연결은 그대로 유지됩니다. 즉, DFW 보안 정책은 VM 위치와는 별개입니다.

DFW를 사용한 마이크로 세분화

마이크로 세분화를 사용하면 각 관련 가상 시스템 그룹을 고유한 논리적 네트워크 세그먼트로 분리하여 데이터 센터 네트워크를 보다 안전하게 보호할 수 있습니다. 마이크로 세분화를 통해 관리자는 데이터 센터의 한 논리적 세그먼트에서 다른 논리적 세그먼트(동-서 트래픽)로 방화벽 트래픽을 이동할 수 있습니다. 따라서 동-서 트래픽을 방화벽으로 차단하면 공격자가 데이터 센터에서 좌우로 이동하는 능력이 제한됩니다.

마이크로 세분화는 NSX의 DFW(분산 방화벽) 구성 요소를 통해 작동됩니다. DFW가 작동한다는 것은 네트워크 토폴로지가 더 이상 보안 적용을 가로막지 못한다는 것을 의미합니다. 유형과 관계없이 모든 네트워크 토폴로지로 동일한 수준의 트래픽 액세스 제어를 구현할 수 있습니다.

마이크로 세분화 사용 사례의 자세한 예제를 보려면 https://communities.vmware.com/docs/DOC-27683의 "NSX 네트워크 가상화 설계 설명서" 에서 "NSX DFW를 사용한 마이그로 세분화 및 구현" 섹션을 참조하십시오.

사용자 ID를 기준으로 하는 DFW 정책 규칙

분산 방화벽을 사용하면 ID 기반 규칙을 생성할 때도 유용합니다. 보안 관리자는 엔터프라이즈 Active Directory에 정의된 사용자 ID 및 사용자의 그룹 멤버 자격을 기반으로 액세스 제어를 적용할 수 있습니다. 예를 들어, ID 기반 분산 방화벽 규칙은 다음과 같은 시나리오에서 사용할 수 있습니다.
  • 사용자가 사용자 인증에 Active Directory가 사용되는 랩톱 또는 모바일 디바이스를 사용하는 가상 애플리케이션에 액세스하려고 합니다.
  • 사용자가 가상 시스템이 Microsoft Windows 운영 체제를 실행하는 VDI 인프라를 사용하여 가상 애플리케이션에 액세스하려고 합니다.

Active Directory 사용자 기반 DFW 규칙에 대한 자세한 내용은 ID 방화벽 개요를 참조하십시오.