방화벽 규칙 섹션은 독립적으로 편집 및 저장되며 별도의 방화벽 구성을 테넌트에 적용시키는 데 사용됩니다.
프로시저
- 를 선택합니다.
- 계층 3(L3) 규칙에 대해 일반 탭을 클릭하거나 계층 2(L2) 규칙에 대해 이더넷 탭을 클릭합니다.
- 기존 섹션이나 규칙을 클릭합니다.
- 메뉴 모음에서 섹션 아이콘을 클릭하고 위에 섹션 추가 또는 아래에 섹션 추가를 선택합니다.
참고: 방화벽을 통과하려는 모든 트래픽의 경우 패킷 정보는 규칙이 [규칙] 테이블에 표시된 순서에 따라(맨 위에서 시작하여 맨 아래의 기본 규칙으로 내려감) 달라집니다. 일부 경우 두 개 이상의 규칙 우선 순위는 패킷의 배치를 결정하는 데 중요할 수 있습니다.
- 섹션 이름을 입력합니다.
- 방화벽에 상태 비저장을 사용하려면 상태 비저장 방화벽 사용을 선택합니다. 이 옵션은 L3에만 적용됩니다.
상태 비저장 방화벽은 네트워크 트래픽을 관찰하며 소스 및 대상 주소 또는 기타 정적 값에 따라 패킷을 제한하거나 차단합니다. TCP 및 UDP 흐름의 경우 첫 번째 패킷 이후에 방화벽 결과가 [허용]인 경우 트래픽 튜플에 대해 캐시가 생성 및 유지 관리됩니다. 즉, 방화벽 규칙에 따라 트래픽을 더 이상 확인할 필요가 없으므로 지연 시간이 줄어듭니다. 따라서 상태 비저장 방화벽은 트래픽 부하가 심한 경우에 일반적으로 더 빠르고 성능이 더 좋습니다.
상태 저장 방화벽은 트래픽 스트림을 처음부터 끝까지 관찰할 수 있습니다. 상태 및 시퀀스 번호를 검증하기 위해 방화벽은 모든 패킷에 대해 항상 확인됩니다. 상태 저장 방화벽은 승인되지 않았으며 위조된 통신을 더 잘 식별합니다.
한 번 정의된 이후에는 상태 저장과 상태 비저장 간에 전환할 수 없습니다.
- 섹션을 적용할 개체를 하나 이상 선택합니다.
개체 유형은 논리적 포트, 논리적 스위치 및 NSGroup입니다. NSGroup을 선택할 경우, 개체에 논리적 스위치나 논리적 포트가 하나 이상 포함되어 있어야 합니다. NSGroup에 IP 집합 또는 MAC 집합만 포함되어 있으면 해당 개체는 무시됩니다.
참고: 섹션의
적용 대상은 해당 섹션에 있는 규칙의 모든
적용 대상 설정을 재정의합니다.
- 확인을 클릭합니다.
다음에 수행할 작업
섹션에 방화벽 규칙을 추가합니다.