이 예에서 목표는 NSX-T Data Center의 NSX Edge를 통과하는 North-South 트래픽에서 악성 파일을 감지하는 게이트웨이 방화벽 규칙을 사용하여 보안 정책을 생성하는 것입니다.

이 예에서는 네트워크 토폴로지를 다음 그림에 표시된 것처럼 고려합니다. 게이트웨이 맬웨어 차단 규칙을 추가하여 Tier-1 게이트웨이 T1-GW1 및 T1-GW2에서 맬웨어를 감지합니다. 두 Tier-1 게이트웨이에는 오버레이 세그먼트가 연결되어 있습니다. 워크로드 VM은 오버레이 세그먼트에 연결됩니다. 두 Tier-1 게이트웨이는 단일 Tier-0 게이트웨이에 연결되며, 이 단일 게이트웨이는 물리적 랙 상단 스위치에 연결되어 외부 공용 네트워크와의 연결이 사용하도록 설정됩니다.


2개의 Tier-1 게이트웨이가 단일 Tier-0 게이트웨이에 연결된 네트워크 토폴로지

가정:

  • 다음 그룹이 NSX-T 인벤토리에 추가됩니다.
    그룹 이름 그룹 유형 참고

    North

    IP 주소 전용

    이 그룹에는 공용 IP 범위가 포함되어 있습니다. 예: 12.1.1.10-12.1.1.100

    South

    일반

    이 그룹에는 T1-GW1에 고정 멤버로 연결되는 오버레이 세그먼트(Segment1)가 포함되어 있습니다.
  • 이름이 Profile_T1-GW인 맬웨어 차단 프로파일이 다음 구성으로 추가됩니다.
    • 모든 파일 범주 옵션이 선택됩니다.
    • 클라우드 파일 분석 옵션이 선택됩니다.

    이 맬웨어 차단 프로파일은 두 Tier-1 게이트웨이의 게이트웨이 방화벽 규칙에서 사용합니다.

사전 요구 사항

  • 초대형 폼 팩터가 있는 NSX Edge가 데이터 센터에 배포되고 Edge 전송 노드로 구성됩니다.

  • NSX 맬웨어 차단 기능은 Tier-1 게이트웨이 T1-GW1 및 T1-GW2에서 설정되거나 활성화됩니다.

프로시저

  1. 브라우저의 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
  2. 보안 > IDS/IPS 및 맬웨어 차단 > 게이트웨이 규칙로 이동합니다.
  3. 게이트웨이별 규칙 페이지의 게이트웨이 드롭다운 메뉴에서 T1-GW1을 선택합니다.
  4. 정책 추가를 클릭하여 섹션을 생성하고 정책의 이름을 입력합니다.
    예를 들어 Policy_T1-GW1을 입력합니다.
  5. 규칙 추가를 클릭하고 다음 구성으로 두 개의 규칙을 구성합니다.
    이름 ID 소스 대상 서비스 보안 프로파일 적용 대상 모드
    N_to_S 1011 North South HTTP Profile_T1-GW T1-GW1 감지만
    S_to_N 1010 South North HTTP Profile_T1-GW T1-GW1 감지만

    이 테이블의 규칙 ID는 참조용으로만 사용됩니다. NSX-T 환경에서는 다를 수 있습니다.

    다음 규칙의 의미를 이해해 주십시오.
    • 규칙 1011: 이 규칙은 HTTP 연결이 공용 IP 범위(12.1.1.10-12.1.1.100)의 시스템에 의해 시작되고 이러한 연결이 Segment1에 연결된 워크로드 VM에서 수락될 때 T1-GW1에 적용됩니다. HTTP 연결에서 파일이 감지되면 파일 이벤트가 생성되고 파일이 악의적인 동작으로 분석됩니다.
    • 규칙 1010: 이 규칙은 Segment1의 워크로드 VM에 의해 HTTP 연결이 시작되고 이러한 연결이 공용 IP 범위(12.1.1.10-12.1.1.100)의 시스템에서 수락될 때 T1-GW1에 적용됩니다. HTTP 트래픽에서 파일이 감지되면 파일 이벤트가 생성되고 파일이 악의적인 동작으로 분석됩니다.
  6. 규칙을 게시합니다.
  7. 게이트웨이별 규칙 페이지의 게이트웨이 드롭다운 메뉴에서 T1-GW2를 선택합니다.
  8. 정책 추가를 클릭하여 섹션을 생성하고 정책의 이름을 입력합니다.
    예를 들어 Policy_T1-GW2를 입력합니다.
  9. 규칙 추가를 클릭하고 다음과 같이 임의-임의 규칙을 구성합니다.
    이름 ID 소스 대상 서비스 보안 프로파일 적용 대상 모드
    Any_Traffic 1006 임의 임의 임의 Profile_T1-GW T1-GW2 감지만

    이 규칙은 임의 유형의 트래픽이 임의 소스에서 시작되고 임의 대상에서 수락되는 경우 T1-GW2에 적용됩니다. 트래픽에서 파일이 감지되면 파일 이벤트가 생성되고 파일이 악의적인 동작으로 분석됩니다.

  10. 규칙을 게시합니다.

시나리오: 이전과 동일한 토폴로지에서 Segment1의 VM이 Segment2의 VM으로 파일을 전송하려고 하는 경우를 가정합니다. 이 경우 파일은 T1-GW1 및 T1-GW2의 Tier-1 게이트웨이를 통과합니다. 맬웨어 차단 프로파일이 두 Tier-1 게이트웨이에서 구성되면 파일이 두 번 검사되고 두 개의 파일 이벤트가 생성됩니다. 이는 예상된 동작입니다.