글로벌, 지역 또는 로컬 범위를 포함하는 글로벌 관리자에서 분산 및 게이트웨이 방화벽 규칙을 생성할 수 있습니다.
NSX 페더레이션 보안을 사용하면 다음과 같은 이점을 얻을 수 있습니다.
- NSX 페더레이션을 사용하여 관리되는 배포 전반에서 일관된 보안 정책.
- 효과적인 재해 복구를 통해 설정된 보안 프레임워크의 연속성 보장.
- 한 위치의 계산 리소스가 부족한 경우 네트워크 및 보안 프레임워크를 다른 위치로 확장.
글로벌 관리자에서 생성된 분산 및 게이트웨이 방화벽 정책 및 규칙은 로컬 관리자와 동기화되고 아이콘이 있는 로컬 관리자에 나타납니다. 글로벌 관리자에서 생성한 규칙은 글로벌 관리자에서만 편집할 수 있습니다. 로컬 관리자에서는 편집할 수 없습니다.
DFW(분산 방화벽) 정책 및 규칙의 NSX 페더레이션
다음 예를 사용하여 지원되는 방화벽 워크플로를 이해하십시오.
- 이 예제에서 글로벌 관리자에는 위치 1, 위치 2 및 위치 3의 세 개의 로컬 관리자가 등록되어 있습니다.
- 글로벌 관리자는 다음 영역을 자동으로 생성합니다.
- 글로벌
- 위치 1
- 위치 2
- 위치 3
- 로컬 관리자 위치 2 및 위치 3을 포함하는 지역 1이라는 이름의 사용자 지정된 영역을 생성합니다.
- 다음 그룹을 생성합니다.
- 그룹 1: 글로벌 지역.
- 그룹 2: 위치 1 지역.
- 그룹 3: 위치 2 지역.
- 그룹 4: 위치 3 지역.
- 그룹 5: 지역 1 지역.
DFW 정책 및 규칙
다음과 같은 사용 사례가 지원됩니다.
- 그룹 범위: 글로벌, 로컬 또는 지역 범위를 갖는 그룹을 글로벌 관리자에서 생성할 수 있습니다. 글로벌 관리자에서 그룹 생성 항목을 참조하십시오.
- 동적 그룹: 태그와 같은 동적 조건을 기준으로 그룹을 생성할 수 있습니다.
- DFW 정책 범위: DFW 정책을 글로벌, 지역 또는 로컬 범위에 적용할 수 있습니다.
- DFW 규칙의 소스 및 대상 그룹: 소스 필드의 모든 그룹 또는 대상 필드의 모든 그룹이 DFW 정책의 범위와 일치해야 합니다. 시스템은 정책 범위 밖에 있는 위치에 그룹을 자동으로 생성합니다.DFW 규칙에서 유효한 소스 및 대상 그룹과 잘못된 소스 및 대상 그룹의 예를 보려면 표를 참조하십시오.
표 1. DFW 정책 범위에 따른 DFW 규칙의 유효 소스 및 대상 DFW 정책 범위(적용 대상) DFW 규칙에서 지원되는 시나리오 글로벌이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다. - 그룹 1
글로벌 지역 범위를 포함하는 DFW 정책의 경우 모든 그룹이 DFW 규칙의 소스 및 대상에서 허용됩니다. 다음은 예제를 사용하여 지원되는 몇 가지 일반적인 시나리오입니다. - 소스: 그룹 2; 대상 그룹 3
- 소스: 그룹 3; 대상 그룹 4
- 소스: 그룹 4; 대상: 임의
- 소스: 그룹 1; 대상 그룹 2.
위치 1 : 위치 1의 로컬 관리자에 대해 자동 생성된 지역. 이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다. - 그룹 2
이 예에서 하나의 위치 범위 위치 1을 포함하는 DFW 정책의 경우 DWF 규칙의 소스 또는 대상 그룹은 위치 1에 속해야 합니다.지원되는 시나리오는 다음과 같습니다. - 소스: 그룹 2; 대상 그룹 2
- 소스: 그룹 3; 대상 그룹 2.
- 소스: 그룹 2; 대상 그룹 4
- 소스: 그룹 1; 대상 그룹 2.
다음은 이 정책 범위에 대해 지원되지 않는 그룹 선택 항목의 예입니다. 소스 및 대상 그룹이 둘 다 정책의 범위를 벗어납니다.- 소스: 그룹 5; 대상 그룹 3
- 소스: 그룹 1; 대상 그룹 3
지역 1: 위치 2 및 위치 3에 걸쳐 있는 사용자 생성 지역. 이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다. - 그룹 5
이 예에서 사용자 생성 지역 지역 1을 포함하는 DFW 정책의 경우 DWF 규칙의 소스 또는 대상 그룹은 지역 1에 속하는 위치를 포함해야 합니다.
지원되는 시나리오는 다음과 같습니다.- 소스: 그룹 5; 대상 그룹 2.
- 소스: 그룹 2; 대상 그룹 5
- 소스: 그룹 2; 대상 그룹 3
- 소스: 그룹 3; 대상 그룹 4
- 소스: 임의;대상: 그룹 5
- 소스 그룹 4; 대상 임의
다음은 이 정책 범위에 대해 지원되지 않는 그룹 선택 항목의 예입니다. 소스 및 대상 그룹이 둘 다 정책의 범위를 벗어납니다.- 소스: 그룹 2; 대상 그룹 2
- 소스: 그룹 1; 대상 그룹 2.
- 소스: 그룹 1; 대상 그룹 1
- 그룹에 세그먼트가 포함된 경우 DFW 정책의 세그먼트의 범위보다 크거나 같아야 합니다. 예를 들어, 범위가 위치 1인 세그먼트가 포함된 그룹이 있는 경우 DFW 정책을 지역 지역 1에 적용할 수 없습니다. 위치 2 및 위치 3만 포함하기 때문입니다.
게이트웨이 방화벽 정책 및 규칙의 NSX 페더레이션
게이트웨이 방화벽 규칙은 게이트웨이의 범위에 포함된 모든 위치, 특정 위치의 모든 인터페이스 또는 하나 이상의 위치에 대한 특정 인터페이스에 적용될 수 있습니다.
참고: 게이트웨이 방화벽 규칙에 대한 소스 및 대상 그룹의 범위는 규칙을 생성하는 게이트웨이 범위보다 작거나 같아야 합니다.
게이트웨이 방화벽 규칙의 범위(적용 대상) | 적용 대상 |
---|---|
게이트웨이에 규칙 적용 | 규칙은 이 게이트웨이가 확장된 모든 위치에서 이 게이트웨이에 연결된 모든 인터페이스에 적용됩니다. |
위치를 선택한 다음, [모든 엔티티에 규칙 적용]을 선택합니다. | 규칙은 선택한 위치에만 적용됩니다. |
위치를 선택한 다음, 해당 위치에서 인터페이스를 선택합니다. 규칙을 적용할 각 위치에 대한 인터페이스를 선택하여 다른 위치에 대해서도 이 작업을 반복합니다. | 이 규칙은 선택한 인터페이스에만 적용됩니다. |