글로벌 관리자에서 특정 위치에 대해 여러 위치 또는 선택한 인터페이스에 적용할 게이트웨이 방화벽 정책 및 규칙을 생성할 수 있습니다.

글로벌 관리자에서 생성된 Tier-0 또는 Tier-1 게이트웨이가 모든 위치 또는 위치 일부에 걸쳐 있습니다. 글로벌 관리자에서 생성된 게이트웨이 방화벽 규칙을 적용할 때 몇 가지 옵션이 사용할 수 있습니다. 즉, 게이트웨이 방화벽 규칙을 게이트웨이의 범위에 포함된 모든 위치, 특정 위치의 모든 인터페이스 또는 하나 이상의 위치에 있는 특정 인터페이스에 적용할 수 있습니다.

로컬 관리자에서는 규칙이 다음 순서로 적용됩니다.
  1. 글로벌 관리자에서 생성되었으며 로컬 관리자에서 성공적으로 구현된 규칙이 먼저 적용됩니다.
  2. 로컬 관리자에서 생성한 모든 규칙은 그다음에 적용됩니다.
  3. 마지막으로 적용된 규칙이 기본 게이트웨이 방화벽 규칙입니다. 이 규칙은 모든 위치 및 모든 워크로드에 적용되는 모두 허용 또는 모두 거부 규칙입니다. 글로벌 관리자에서 이 기본 규칙의 동작을 편집할 수 있습니다.

프로시저

  1. 브라우저에서 엔터프라이즈 관리자 또는 보안 관리자 권한을 사용하여 https://<global-manager-ip-address>의 글로벌 관리자에 로그인합니다.
  2. 보안 > 게이트웨이 방화벽을 선택합니다.
  3. 사용자가 미리 정의된 올바른 범주에 속하는지 확인합니다. 글로벌 관리자에서는 사전 규칙, 로컬 게이트웨이기본 범주만 지원됩니다. 로컬 게이트웨이 범주 아래에서 정책을 정의하려면 모든 공유 규칙 탭에서 범주 이름을 클릭하거나 게이트웨이별 규칙 탭을 직접 클릭합니다.

    게이트웨이 옆에 있는 드롭다운 메뉴에서 Tier-0 또는 Tier-1 게이트웨이를 선택합니다. 선택한 Tier-0 또는 Tier-1 게이트웨이의 범위는 게이트웨이 방화벽 정책 및 규칙의 기본 범위가 됩니다. 범위를 축소할 수 있지만 확장할 수는 없습니다.

  4. 정책 추가를 클릭합니다.
  5. 새 정책 섹션에 대한 이름을 입력합니다.
  6. (선택 사항) 톱니 바퀴 아이콘을 클릭하여 다음과 같은 정책 설정을 구성합니다.
    설정 설명
    TCP Strict TCP 연결은 3방향 핸드셰이크(SYN, SYN-ACK, ACK)로 시작되고, 일반적으로 2방향 교환(FIN, ACK)으로 끝납니다. 특정 상황에서 방화벽에 특정 흐름에 대한 3방향 핸드셰이크가 표시되지 않을 수 있습니다(예: 비대칭 트래픽으로 인해). 기본적으로 방화벽은 3방향 핸드셰이크를 확인해야 한다는 요구를 적용하지 않으며 이미 설정된 세션을 선택합니다. 섹션별로 TCP Strict를 사용하도록 설정하여 중간 세션 선택을 해제하고 3방향 핸드셰이크에 대한 요구 사항을 적용할 수 있습니다. 특정 방화벽 정책에 대해 TCP Strict 모드를 사용하도록 설정하고 기본 임의-임의 차단 규칙을 사용할 경우, 3방향 핸드셰이크 연결 요구 사항을 완료하지 못하고 이 정책 섹션의 TCP 기반 규칙과 일치하는 패킷은 삭제됩니다. Strict는 상태 저장 TCP 규칙에만 적용되며 게이트웨이 방화벽 정책 수준에서 사용하도록 설정됩니다. TCP Strict는 TCP 서비스가 지정되지 않은 기본 임의-임의 허용과 일치하는 패킷에는 적용되지 않습니다.
    상태 저장 상태 저장 방화벽은 활성 연결 상태를 모니터링하고 이 정보를 사용하여 방화벽을 통해 보낼 패킷을 결정합니다.
    잠김 여러 사용자가 동일한 섹션을 변경하지 못하도록 정책을 잠글 수 있습니다. 섹션을 잠글 때는 주석을 포함해야 합니다.
  7. 게시를 클릭합니다. 한 번에 여러 정책을 추가하고 함께 게시할 수 있습니다.
    새 정책이 화면에 표시됩니다.
  8. 정책 섹션을 선택하고 규칙 추가를 클릭합니다.
  9. 규칙의 이름을 입력합니다.
  10. 소스 열에서 편집 아이콘을 클릭하고 규칙의 소스를 선택합니다. 소스 그룹에는 동일한 게이트웨이 범위 또는 범위 일부가 있어야 합니다.
  11. 대상 열에서 편집 아이콘을 클릭하고 규칙의 대상을 선택합니다. 정의되지 않은 경우 대상은 임의와 일치합니다. 대상 그룹에는 동일한 게이트웨이 범위 또는 범위 일부가 있어야 합니다.
  12. 서비스 열에서 연필 아이콘을 클릭하고 서비스를 선택합니다. 정의되지 않은 경우 서비스는 임의와 일치합니다. 적용을 클릭하여 저장합니다.
  13. 프로파일 열에서 편집 아이콘을 클릭하고 컨텍스트 프로파일을 선택하거나 새 컨텍스트 프로파일 추가를 클릭합니다. 컨텍스트 프로파일 추가의 내용을 참조하십시오.
    참고: Tier-0 게이트웨이에 대해 컨텍스트 프로파일이 지원되지 않습니다. L7 컨텍스트 프로파일을 Tier-1 게이트웨이에 적용할 수 있습니다.
  14. 적용 대상 열에서 연필 아이콘을 클릭합니다. 적용 대상 대화상자에서 다음을 수행합니다.
    "적용 대상" 선택 결과
    게이트웨이에 규칙 적용을 선택합니다. 게이트웨이 방화벽 규칙은 게이트웨이 범위에 적용되는 모든 위치에 적용됩니다. 게이트웨이에 다른 위치를 추가하면 이 게이트웨이 방화벽 규칙이 해당 위치에 자동으로 적용됩니다.
    위치를 선택한 다음, 모든 엔티티에 규칙 적용을 선택합니다. 선택한 위치의 모든 인터페이스에 이 규칙을 적용합니다.
    위치를 선택한 다음, 해당 위치에 대한 인터페이스를 선택합니다. 하나 이상의 위치에서 선택한 인터페이스에만 규칙을 적용합니다.
    참고: 적용 대상에 대한 기본 선택 옵션은 없습니다. 이 규칙을 게시할 수 있는 옵션을 선택해야 합니다.
  15. 작업 열에서 작업을 선택합니다.
    옵션 설명
    허용 지정된 소스, 대상 및 프로토콜을 가진 모든 트래픽이 현재 방화벽 컨텍스트를 통과하도록 허용합니다. 규칙과 일치하고 허용된 패킷은 방화벽이 존재하지 않을 때와 동일하게 시스템을 이동합니다.
    삭제 지정된 소스, 대상 및 프로토콜을 가진 패킷을 삭제합니다. 패킷 삭제는 소스 또는 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.
    거절

    지정된 소스, 대상 및 프로토콜을 가진 패킷을 거절합니다. 패킷을 거부하면 연결할 수 없는 대상 메시지가 보낸 사람에게 전송됩니다. 프로토콜이 TCP인 경우 TCP RST 메시지가 전송됩니다. UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다. 1번 시도된 후에 전송하는 애플리케이션에 연결을 설정할 수 없다는 알림이 제공됩니다.

  16. 상태 전환 버튼을 클릭하여 규칙을 사용하거나 사용하지 않도록 설정합니다.
  17. 톱니 바퀴 아이콘을 클릭하여 로깅, 방향, IP 프로토콜, 태그 및 메모를 설정합니다.
    옵션 설명
    로깅 로깅은 끄거나 켤 수 있습니다. NSX Edge에서 다음 NSX CLI 명령을 사용하여 로그에 액세스할 수 있습니다.
    get log-file syslog | find datapathd.firewallpkt
    로그를 외부 syslog 서버로 보낼 수도 있습니다.
    방향 옵션은 수신, 송신수신/송신입니다. 기본값은 수신/송신입니다. 이 필드는 대상 개체의 관점에서 트래픽 방향을 나타냅니다. 수신은 개체로 들어오는 트래픽만 확인하고, 송신은 개체에서 나가는 트래픽만 확인하며, 수신/송신은 양쪽 방향 트래픽 모두 확인함을 의미합니다.
    IP 프로토콜 옵션은 IPv4, IPv6IPv4_IPv6입니다. 기본값은 IPv4_IPv6입니다.
    로그 레이블 규칙에 추가된 로그 레이블입니다.
    참고: 방화벽 규칙의 흐름 통계를 보려면 그래프 아이콘을 클릭합니다. 바이트, 패킷 수 및 세션과 같은 정보를 볼 수 있습니다.
  18. 게시를 클릭합니다. 한 번에 여러 규칙을 추가하고 함께 게시할 수 있습니다.
  19. 상태 확인을 클릭하여 다른 위치의 Edge 노드를 통해 게이트웨이에 적용되는 정책의 인식 상태를 확인합니다. 성공 또는 실패를 클릭하여 정책 상태 창을 열 수 있습니다.