분산 방화벽은 가상 시스템의 모든 East-West 트래픽을 모니터링합니다.
이 항목의 절차에서는 NSX 분산 방화벽 또는 NSX 관리 개체가 있는 특정 그룹에 적용되는 방화벽 정책을 추가하는 워크플로를 설명합니다.
NSX-T Data Center 환경에
Antrea 컨테이너가 등록되어 있는 경우 분산 방화벽 정책을 생성하여
Antrea 컨테이너 클러스터에 적용할 수 있습니다. 자세한 내용은 다음을 참조하십시오.
참고:
NSX-T Data Center는 동일한 분산 방화벽 정책에서 NSX 관리 개체 및
Antrea 컨테이너 클러스터 개체로 생성된 규칙의 혼합을 지원하지 않습니다. 즉, NSX 분산 방화벽 및
Antrea 컨테이너 클러스터에 적용하는 방화벽 규칙은 별도의 정책에 있어야 합니다.
사전 요구 사항
NSX-T Data Center 3.2 이하의 VM을 DFW로 보호하려면 vNIC가 NSX 오버레이 또는 VLAN 세그먼트에 연결되어야 합니다. NSX-T Data Center 3.2에서 분산 방화벽은 DVPG(VDS 분산 포트 그룹)에 기본적으로 연결된 워크로드를 보호합니다. 자세한 내용은 vSphere Distributed Switch용 분산 보안의 내용을 참조하십시오.
ID 방화벽에 대한 규칙을 생성하는 경우 먼저 Active Directory 멤버로 그룹을 생성합니다. IDFW에 대해 지원되는 프로토콜을 보려면
ID 방화벽 지원 구성 항목을 참조하십시오. Guest Introspection을 사용하여 DFW 규칙을 생성하는 경우
적용 대상 필드가 대상 그룹에 적용되는지 확인합니다.
참고: ID 방화벽 규칙 적용의 경우 Active Directory를 사용하는 모든 VM에 대해 Windows 시간 서비스를
설정해야 합니다. 이렇게 하면 Active Directory와 VM 간에 날짜와 시간이 동기화됩니다. 사용자를 사용하도록 설정하거나 삭제하는 경우를 비롯한 AD 그룹 멤버 자격 변경 시 로그인한 사용자에게 즉시 영향을 주지 않습니다. 변경 사항을 적용하려면 로그아웃했다가 다시 로그인해야 합니다. 그룹 멤버 자격이 수정된 경우 AD 관리자가 강제로 로그아웃해야 합니다. 이 동작은 Active Directory의 제한 사항입니다.
계층 7과 ICMP 또는 다른 프로토콜의 조합을 사용하는 경우 계층 7 방화벽 규칙을 마지막에 배치해야 합니다. 계층 7 위의 모든 규칙은 실행되지 않습니다.
분산 방화벽 정책 및 규칙 생성에 대한 페더레이션 관련 세부 정보는 글로벌 관리자에서 DFW 정책 및 규칙 생성 항목을 참조하십시오.