방화벽 규칙 섹션은 독립적으로 편집 및 저장되며 별도의 방화벽 구성을 테넌트에 적용시키는 데 사용됩니다.

사전 요구 사항

NSX Manager 사용자 인터페이스에서 관리자 모드가 선택되어 있는지 확인합니다. NSX Manager를 참조하십시오. 정책관리자 모드 버튼이 표시되지 않으면 사용자 인터페이스 설정 구성을 참조하십시오.

프로시저

  1. 보안 > 분산 방화벽를 선택합니다.
  2. 계층 3(L3) 규칙에 대해 일반 탭을 클릭하거나 계층 2(L2) 규칙에 대해 이더넷 탭을 클릭합니다.
  3. 기존 섹션이나 규칙을 클릭합니다.
  4. 메뉴 모음에서 섹션 아이콘을 클릭하고 위에 섹션 추가 또는 아래에 섹션 추가를 선택합니다.
    참고: 방화벽을 통과하려는 모든 트래픽의 경우 패킷 정보는 규칙이 [규칙] 테이블에 표시된 순서에 따라(맨 위에서 시작하여 맨 아래의 기본 규칙으로 내려감) 달라집니다. 일부 경우 두 개 이상의 규칙 우선 순위는 패킷의 배치를 결정하는 데 중요할 수 있습니다.
  5. 섹션 이름을 입력합니다.
    참고: 기본적으로 방화벽 규칙 섹션(및 해당 규칙)은 상태 저장으로 구성됩니다. 상태 저장 방화벽에서는 작업이 [허용]인 방화벽 규칙과 일치하는 트래픽 흐름에 대해 캐시가 생성되고 유지됩니다. 새 흐름의 첫 번째 패킷이 방화벽 규칙 집합에 대해 검증된 후에는 해당 흐름에 속하는 후속 네트워크 패킷을 더 이상 확인할 필요가 없습니다. 따라서 트래픽 로드가 과도하게 발생할 때도 흐름 지연 시간이 줄어들고 전반적인 방화벽 성능이 향상됩니다. 또한 상태 저장 방화벽은 승인되지 않았거나 위조된 네트워크 트래픽을 더 잘 식별합니다.

    일부 애플리케이션의 경우 상태 비저장 방화벽이 필요할 수 있습니다. 상태 비저장 방화벽에서 흐름의 각 패킷은 규칙 집합에 대해 검증됩니다. 상태 비정상 흐름의 경우 캐시가 유지 관리되지 않습니다. 상태 비저장 규칙만 포함하도록 방화벽 규칙 섹션을 변경하려면 6단계를 참조하고, 그렇지 않으면 7단계를 계속 진행합니다.

  6. (선택 사항) 방화벽에 상태 비저장을 사용하려면 상태 비저장 방화벽 사용 버튼을 선택합니다. 이 옵션은 L3에만 적용됩니다.
    한 번 정의된 이후에는 상태 저장과 상태 비저장 간에 전환할 수 없습니다.
  7. 섹션을 적용할 개체를 하나 이상 선택합니다.
    개체 유형은 논리적 포트, 논리적 스위치 및 NSGroup입니다. NSGroup을 선택할 경우, 개체에 논리적 스위치나 논리적 포트가 하나 이상 포함되어 있어야 합니다. NSGroup에 IP 집합 또는 MAC 집합만 포함되어 있으면 해당 개체는 무시됩니다.
    참고: 섹션과 내부 규칙 둘 다 적용 대상이 NSGroup으로 설정된 경우 섹션의 적용 대상은 해당 섹션의 규칙에 있는 모든 적용 대상 설정을 재정의합니다. 방화벽 섹션 수준 적용 대상이 규칙 수준의 적용 대상보다 우선하기 때문입니다.
  8. 확인을 클릭합니다.

다음에 수행할 작업

섹션에 방화벽 규칙을 추가합니다.