방화벽 규칙 섹션은 독립적으로 편집 및 저장되며 별도의 방화벽 구성을 테넌트에 적용시키는 데 사용됩니다.
프로시저
- 를 선택합니다.
- 계층 3(L3) 규칙에 대해 일반 탭을 클릭하거나 계층 2(L2) 규칙에 대해 이더넷 탭을 클릭합니다.
- 기존 섹션이나 규칙을 클릭합니다.
- 메뉴 모음에서 섹션 아이콘을 클릭하고 위에 섹션 추가 또는 아래에 섹션 추가를 선택합니다.
참고: 방화벽을 통과하려는 모든 트래픽의 경우 패킷 정보는 규칙이 [규칙] 테이블에 표시된 순서에 따라(맨 위에서 시작하여 맨 아래의 기본 규칙으로 내려감) 달라집니다. 일부 경우 두 개 이상의 규칙 우선 순위는 패킷의 배치를 결정하는 데 중요할 수 있습니다.
- 섹션 이름을 입력합니다.
참고: 기본적으로 방화벽 규칙 섹션(및 해당 규칙)은 상태 저장으로 구성됩니다. 상태 저장 방화벽에서는 작업이 [허용]인 방화벽 규칙과 일치하는 트래픽 흐름에 대해 캐시가 생성되고 유지됩니다. 새 흐름의 첫 번째 패킷이 방화벽 규칙 집합에 대해 검증된 후에는 해당 흐름에 속하는 후속 네트워크 패킷을 더 이상 확인할 필요가 없습니다. 따라서 트래픽 로드가 과도하게 발생할 때도 흐름 지연 시간이 줄어들고 전반적인 방화벽 성능이 향상됩니다. 또한 상태 저장 방화벽은 승인되지 않았거나 위조된 네트워크 트래픽을 더 잘 식별합니다.
일부 애플리케이션의 경우 상태 비저장 방화벽이 필요할 수 있습니다. 상태 비저장 방화벽에서 흐름의 각 패킷은 규칙 집합에 대해 검증됩니다. 상태 비정상 흐름의 경우 캐시가 유지 관리되지 않습니다. 상태 비저장 규칙만 포함하도록 방화벽 규칙 섹션을 변경하려면 6단계를 참조하고, 그렇지 않으면 7단계를 계속 진행합니다.
- (선택 사항) 방화벽에 상태 비저장을 사용하려면 상태 비저장 방화벽 사용 버튼을 선택합니다. 이 옵션은 L3에만 적용됩니다.
한 번 정의된 이후에는 상태 저장과 상태 비저장 간에 전환할 수 없습니다.
- 섹션을 적용할 개체를 하나 이상 선택합니다.
개체 유형은 논리적 포트, 논리적 스위치 및 NSGroup입니다. NSGroup을 선택할 경우, 개체에 논리적 스위치나 논리적 포트가 하나 이상 포함되어 있어야 합니다. NSGroup에 IP 집합 또는 MAC 집합만 포함되어 있으면 해당 개체는 무시됩니다.
참고: 섹션과 내부 규칙 둘 다
적용 대상이 NSGroup으로 설정된 경우 섹션의
적용 대상은 해당 섹션의 규칙에 있는 모든
적용 대상 설정을 재정의합니다. 방화벽 섹션 수준
적용 대상이 규칙 수준의
적용 대상보다 우선하기 때문입니다.
- 확인을 클릭합니다.
다음에 수행할 작업
섹션에 방화벽 규칙을 추가합니다.