NSX Edge 서비스 게이트웨이에서 사용자 정의 Edge 방화벽 규칙을 추가하여 특정 유형의 트래픽을 수락, 거절 또는 거부할 수 있습니다. 그러나 논리적 분산 라우터에는 사용자 정의 방화벽 규칙을 추가할 수 없습니다.

Edge 방화벽 인터페이스는 Edge 방화벽 규칙을 추가하는 다음과 같은 방법을 제공합니다.
  • 방화벽 테이블에서 기존 규칙 위나 아래에 규칙을 추가합니다.
  • 기존 규칙을 복사하여 규칙을 추가합니다.
  • 추가 아이콘을 클릭하여 규칙을 추가합니다.
기억할 사항: 분산 방화벽 규칙을 생성하여 Edge에 적용한 경우 이러한 방화벽 규칙은 Edge 방화벽 사용자 인터페이스에서 읽기 전용 모드로 표시됩니다. 그러나 Edge 방화벽 사용자 인터페이스를 사용하여 생성하는 Edge 방화벽 규칙은 분산 방화벽 규칙( 네트워킹 및 보안 > 보안 > 방화벽)을 생성하는 데 사용한 방화벽 인터페이스에 표시되지 않습니다.

프로시저

  1. vSphere Web Client에 로그인합니다.
  2. 네트워킹 및 보안(Networking & Security) > NSX Edge(NSX Edges)를 클릭합니다.
  3. NSX Edge를 두 번 클릭합니다.
  4. 관리 > 방화벽을 클릭합니다.
  5. 다음 세 가지 방법 중 하나를 사용하여 Edge 방화벽 규칙을 추가하는 프로세스를 시작합니다.
    방법 #1: 방화벽 테이블에서 기존 규칙 위나 아래에 규칙을 추가합니다.

    NSX는 새로 추가된 규칙의 소스, 대상 및 서비스 열을 "임의"로 설정합니다. 방화벽 테이블에 시스템 생성 기본 규칙만 있을 경우 새 규칙은 기본 규칙 위에 추가됩니다. 새 규칙은 기본적으로 사용하도록 설정됩니다.

    NSX 버전 단계
    6.4.6 이상
    1. 규칙을 선택합니다.
    2. 작업 메뉴를 클릭하고 위에 추가(Add Above) 또는 아래에 추가(Add Below)를 선택합니다.
    6.4.5 및 이전 버전
    1. 규칙을 선택합니다.
    2. 번호 열에서 추가를 클릭한 후 위에 추가 또는 아래에 추가를 선택합니다.
    방법 #2: 기존 규칙을 복사하여 규칙을 추가합니다.

    NSX 6.4.5 및 이전 버전에서는 한 번에 하나의 규칙만 복사하여 규칙을 생성할 수 있습니다. NSX 6.4.6부터 여러 규칙을 선택하여 동시에 복사할 수 있습니다. 복사된 규칙은 기본적으로 사용하도록 설정되며 필요한 경우 규칙 속성을 편집할 수 있습니다.

    참고: 시스템 생성 "내부" 규칙 및 "기본" 규칙을 복사하고 붙여 넣으면 새로 생성된 규칙에 자동으로 규칙 유형 "사용자"가 할당됩니다.
    NSX 버전 단계
    6.4.6 이상
    1. 복사할 규칙 옆의 확인란을 선택합니다.
    2. 더 보기 > 선택한 규칙 복사를 클릭합니다.
    3. 복사된 규칙을 붙여 넣을 규칙을 선택합니다.
    4. 작업 메뉴를 클릭하고 위에 규칙 붙여넣기 또는 아래에 규칙 붙여넣기를 선택합니다.
    6.4.5 및 이전 버전
    1. 규칙을 선택합니다.
    2. 복사(복사) 아이콘 또는 추가를 클릭하고 복사를 선택합니다.
    3. 복사된 규칙을 붙여 넣을 규칙을 선택합니다.
    4. 번호 열에서 추가를 클릭한 후 위에 붙여넣기 또는 아래에 붙여넣기를 선택합니다.
    방법 #3: 추가( 추가 또는 추가) 아이콘을 클릭하여 규칙을 추가합니다.

    새 행이 방화벽 테이블에 추가됩니다. NSX는 새로 추가된 규칙의 소스, 대상 및 서비스 열을 "임의"로 설정합니다. 방화벽 테이블에 시스템 생성 기본 규칙만 있을 경우 새 규칙은 기본 규칙 위에 추가됩니다. 새 규칙은 기본적으로 사용하도록 설정됩니다.

  6. (선택 사항) 규칙 이름을 지정합니다.
    • NSX 6.4.6 이상에서 새 규칙의 이름 열을 클릭하고 규칙 이름을 입력합니다.
    • NSX 6.4.5 및 이전 버전에서 새 규칙의 이름(Name) 열을 가리키고 편집을 클릭합니다. 규칙 이름을 입력하고 확인을 클릭합니다.
  7. (선택 사항) 방화벽 규칙의 소스를 지정합니다.
    IP 주소, vCenter 개체 및 그룹화 개체를 소스로 추가할 수 있습니다. 소스를 추가하지 않으면 소스가 "임의"로 설정됩니다. 방화벽 규칙의 소스로 여러 개의 NSX Edge 인터페이스 및 IP 주소 그룹을 추가할 수 있습니다.

    새 IP 집합 또는 새 보안 그룹을 생성하도록 선택할 수 있습니다. IP 집합 또는 보안 그룹이 생성되면 규칙의 소스 열에 자동으로 추가됩니다.

    1. 방화벽 규칙에서 소스로 사용할 하나 이상의 개체를 선택합니다.
      NSX 버전 단계
      6.4.6 이상
      개체를 선택하려면:
      1. 규칙의 소스 열을 가리키고 편집을 클릭합니다.
      2. 개체 탭의 개체 유형 드롭다운 메뉴에서 개체 유형을 선택합니다.
      3. 사용 가능한 개체 목록에서 개체를 선택하고 선택한 개체 목록으로 이동합니다.
      6.4.5 및 이전 버전
      개체를 선택하려면:
      1. 규칙의 소스(Source) 열을 가리키고 편집을 클릭합니다.
      2. 개체 유형 드롭다운 메뉴에서 개체 유형을 선택합니다.
      3. 사용 가능한 개체 목록에서 개체를 선택하고 선택한 개체 목록으로 이동합니다.
      예를 들어 다음 두 경우에는 "vNIC 그룹" 개체 유형을 소스로 사용할 수 있습니다.
      NSX Edge에서 생성된 모든 트래픽을 선택합니다.
      이 경우 개체 유형 드롭다운 메뉴에서 vNIC 그룹을 선택하고 사용 가능한 개체 목록에서 vse를 선택합니다.
      선택한 NSX Edge의 내부 또는 업링크(외부) 인터페이스에서 시작된 모든 트래픽을 선택합니다.
      이 경우 개체 유형 드롭다운 메뉴에서 vNIC 그룹을 선택하고 사용 가능한 개체 목록에서 내부 또는 외부를 선택합니다.

      Edge에서 추가 인터페이스를 구성하는 경우 규칙이 자동으로 업데이트됩니다.

      기억할 사항: 내부 인터페이스에 정의된 방화벽 규칙은 논리적 분산 라우터에 대해 작동하지 않습니다.
    2. 방화벽 규칙의 소스로 사용할 IP 주소를 입력합니다.
      쉼표로 구분된 목록을 사용하거나 IP 주소 범위를 입력하여 여러 IP 주소를 입력할 수 있습니다. IPv4 및 IPv6 주소가 모두 지원됩니다.
      • NSX 6.4.6 이상에서 편집을 클릭합니다. IP 주소 탭을 클릭한 다음, 추가를 클릭하여 IP 주소를 입력합니다.
      • NSX 6.4.5 및 이전 버전에서 IP 주소를 클릭하고 IP 주소를 입력합니다.
    3. (선택 사항) 방화벽 규칙에 정의된 소스를 부정합니다.
      • 소스 부정 옵션을 켜거나 선택하는 경우 이 규칙에 대해 정의된 소스를 제외한 모든 소스에서 들어오는 트래픽에 규칙이 적용됩니다.
      • 소스 부정 옵션을 끄거나 선택하지 않는 경우 이 규칙의 소스에서 들어오는 트래픽에 규칙이 적용됩니다.
  8. (선택 사항) 방화벽 규칙의 대상을 지정합니다.
    IP 주소, vCenter 개체 및 그룹화 개체를 대상으로 추가할 수 있습니다. 대상을 추가하지 않으면 대상이 "임의"로 설정됩니다. 방화벽 규칙의 대상으로 여러 개의 NSX Edge 인터페이스 및 IP 주소 그룹을 추가할 수 있습니다.

    규칙 대상에 개체 및 IP 주소를 추가하는 절차는 규칙 소스를 추가하기 위한 하위 단계에 설명된 것과 동일하게 유지됩니다.

    팁: NSX 6.4.6부터 소스 열에 있는 개체 및 IP 주소를 대상 열로 끌어오거나 그 반대의 경우를 수행할 수 있습니다. 또한 한 규칙에서 다른 규칙으로 개체 및 IP 주소를 끌어올 수 있습니다.
  9. (선택 사항) 방화벽 규칙에 사용할 서비스를 지정합니다.
    1. 방화벽 규칙에서 하나 이상의 서비스 또는 서비스 그룹을 추가합니다.
      규칙에 미리 정의된 서비스 또는 서비스 그룹을 추가하거나, 규칙에서 사용할 새 서비스 또는 서비스 그룹을 생성할 수 있습니다. NSX Edge는 L3 프로토콜로만 정의된 서비스를 지원합니다.
      NSX 버전 단계
      6.4.6 이상
      1. 새 규칙의 서비스 열을 가리키고 편집을 클릭합니다.
      2. 서비스/서비스 그룹 탭의 개체 유형 드롭다운 메뉴에서 서비스 또는 서비스 그룹을 선택합니다.
      3. 사용 가능한 개체 목록에서 개체를 선택하고 선택한 개체 목록으로 이동합니다.
      6.4.5 및 이전 버전
      1. 새 규칙의 서비스 열을 가리키고 편집을 클릭합니다.
      2. 개체 유형 드롭다운 메뉴에서 서비스 또는 서비스 그룹을 선택합니다.
      3. 사용 가능한 개체 목록에서 개체를 선택하고 선택한 개체 목록으로 이동합니다.
      팁: NSX 6.4.6 이상에서는 사용자 정의 규칙의 서비스 및 서비스 그룹 개체를 다른 사용자 정의 규칙으로 끌어올 수 있습니다.
    2. 방화벽 규칙의 하나 이상의 서비스를 포트-프로토콜 조합으로 추가합니다.
      제한 사항: SCTP(Stream Control Transmission Protocol) 프로토콜은 Edge 방화벽에서 지원되지 않습니다.
      NSX 버전 단계
      6.4.6 이상
      1. 새 규칙의 서비스 열을 가리키고 편집을 클릭합니다.
      2. 원시 포트-프로토콜 탭을 클릭하고 추가를 클릭합니다.
      3. 프로토콜을 선택합니다.
      4. 소스 포트 열에서 포트 번호를 입력합니다.
      6.4.5 및 이전 버전
      1. 새 규칙의 서비스 열을 가리키고 편집을 클릭합니다.
      2. 프로토콜을 선택합니다.
      3. 고급 옵션을 확장하고 소스 포트 번호를 입력합니다.
  10. 규칙 작업을 지정합니다.
    • NSX 6.4.6 이상에서 드롭다운 메뉴의 작업을 선택합니다.
    • NSX 6.4.5 및 이전 버전에서 새 규칙의 작업(Action) 열을 가리키고 편집을 클릭합니다. 작업을 선택하고 확인을 클릭합니다.
    다음 표에서는 규칙 작업에 대해 설명합니다.
    작업 설명
    수락 또는 허용 지정된 소스, 대상 및 서비스의 송신 또는 수신 트래픽을 허용합니다. 기본적으로 작업은 트래픽을 수락하도록 설정됩니다.
    거부 또는 차단 지정된 소스, 대상 및 서비스의 송신 또는 수신 트래픽을 차단합니다.
    거부 허용되지 않는 패킷에 대해 거부 메시지를 전송합니다.
    • TCP 연결에 대해 RST 패킷이 전송됩니다.
    • UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다.
  11. (선택 사항) 이 새 방화벽 규칙과 일치하는 세션을 기록할지 여부를 지정합니다.
    기본적으로 규칙에 대해 로깅이 사용되지 않도록 설정됩니다. 로깅을 사용하도록 설정하면 성능에 영향을 줄 수 있습니다.
    • NSX 6.4.6 이상에서 로그 열의 토글 스위치를 클릭하여 로깅을 사용하도록 설정합니다.
    • NSX 6.4.5 및 이전 버전에서 새 규칙의 작업 열을 가리키고 편집을 클릭합니다. 로그 또는 로깅 안 함을 선택합니다.
  12. (선택 사항) 방화벽 규칙의 고급 설정을 지정합니다.
    • NSX 6.4.6 이상에서 고급 설정(고급 설정) 아이콘을 클릭합니다.
    • NSX 6.4.5 및 이전 버전에서 새 규칙의 작업 열을 가리키고 편집을 클릭합니다. 고급 옵션을 확장합니다.
    다음 표에서는 고급 옵션에 대해 설명합니다.
    옵션 설명
    방향 들어오는 트래픽이나 나가는 트래픽에 규칙을 적용할지 또는 둘 다에 규칙을 적용할지를 선택합니다. 기본값은 "In/Out"으로, 규칙이 소스와 대상 모두에서 대칭적으로 적용됨을 의미합니다.

    "in” 또는 "out" 방향으로 인해 규칙이 비대칭이 될 수 있으므로, 방화벽 규칙의 방향을 지정하지 않는 것이 좋습니다.

    예를 들어, 소스 A에서 대상 B로의 트래픽을 "허용"하는 방화벽 규칙을 생성했으며 규칙 방향을 "out"으로 설정했다고 가정합니다.
    • A가 B로 패킷을 전송하면 A에서 트래픽 방향이 "out"이기 때문에 이 규칙을 기준으로 상태가 생성됩니다.
    • 패킷이 B에서 수신되면 실제 트래픽 방향은 "in"입니다. 규칙 방향은 "나가는 트래픽"만 수락하도록 설정되기 때문에 이 규칙은 B에서 이 패킷을 찾지 못합니다.
    이 예에서는 규칙에서 "out" 방향을 설정하기 때문에 규칙이 비대칭이 되는 것을 보여 줍니다.
    일치 기준 방화벽 규칙을 적용해야 하는 경우를 지정하려면 이 옵션을 사용합니다.
    • NAT(네트워크 주소 변환)를 수행하기 전에 규칙을 원래 IP 주소 및 서비스에 적용하려면 원본을 선택합니다.
    • NAT(네트워크 주소 변환)를 수행한 후에 규칙을 변환된 IP 주소 및 서비스에 적용하려면 변환 결과를 선택합니다.
  13. 변경 내용 게시(Publish Changes)를 클릭하여 새 규칙을 NSX Edge로 푸시합니다.

예: 샘플 방화벽 규칙

그림 1. NSX Edge 인터페이스에서 HTTP 서버로 전송되는 트래픽에 대한 방화벽 규칙
규칙 소스는 NSX Edge의 vNIC 인터페이스입니다. 규칙 대상이 HTTP 서버 그룹입니다. 서비스는 TCP 포트 8080입니다.
그림 2. NSX Edge의 모든 내부 인터페이스(내부 인터페이스에 연결된 포트 그룹의 서브넷)에서 HTTP 서버로 전송되는 트래픽에 대한 방화벽 규칙
규칙 소스는 NSX Edge의 모든 내부 인터페이스입니다. 규칙 대상이 HTTP 서버 그룹입니다. 서비스는 TCP 포트 8080입니다.
그림 3. 내부 네트워크의 시스템에 대한 SSH를 허용하는 트래픽의 방화벽 규칙
규칙 소스는 임의입니다. 규칙 대상이 내부 네트워크의 VM입니다. 서비스는 TCP 포트 22입니다.

다음에 수행할 작업

Edge 방화벽 규칙을 사용하는 경우 방화벽 테이블에서 몇 가지 추가 작업을 수행할 수 있습니다. 예:
  • 시스템에서 생성된 기본 및 내부 규칙을 숨기거나 Edge에 적용된 미리 정의된 분산 방화벽 규칙을 숨겨 테이블의 규칙 목록을 필터링합니다.
  • 검색 텍스트 상자를 사용하여 특정 문자열과 일치하는 규칙을 검색합니다. 예를 들어 문자열 "133"이 포함된 모든 규칙을 검색하려는 경우 검색 텍스트 상자에 133을 입력합니다.
  • 게시된 규칙의 통계를 봅니다.
    • NSX 6.4.6 이상에서 통계(규칙 통계) 아이콘을 클릭합니다.
    • NSX 6.4.5 이하 버전에서 방화벽 테이블에 통계 열이 표시되는지 확인합니다. 통계 열이 표시되지 않으면 열 선택을 클릭하고 통계 열을 선택합니다. 규칙 통계를 보려면 규칙 통계를 클릭합니다.
  • 위로 이동(규칙 위로 이동 또는 규칙 위로 이동) 또는 아래로 이동(규칙 아래로 이동 또는 규칙 아래로 이동) 아이콘을 클릭하여 사용자 정의 규칙의 순서를 변경합니다. NSX 6.4.6 이상에서 사용자 정의 규칙을 끌어서 순서를 변경할 수 있습니다. 끌려는 사용자 정의 규칙을 가리킵니다. 규칙 왼쪽에 끌기 핸들(규칙 끌기) 아이콘이 나타납니다. 이 핸들을 클릭하고 끌어서 방화벽 테이블의 유효한 위치로 규칙을 이동합니다.
    중요: 자동 생성된 내부 규칙 또는 기본 규칙의 순위는 변경할 수 없습니다.
  • 규칙을 사용하지 않도록 설정합니다.
    • NSX 6.4.6 이상에서 규칙 이름 왼쪽에 있는 토글 스위치를 클릭합니다.
    • NSX 6.4.5 및 이전 버전에서 사용 안 함(번호(No.) 열)을 클릭합니다.
  • 규칙이 게시될 때까지 규칙 변경을 실행 취소했다가 다시 실행합니다. 이 기능은 NSX 6.4.6 이상에서 사용할 수 있습니다. 규칙이 게시된 후에는 규칙 변경 기록이 손실되고 변경 내용을 실행 취소하거나 다시 실행할 수 없습니다.