분산 방화벽은 가상 시스템의 모든 East-West 트래픽을 모니터링합니다.

이 항목의 절차에서는 NSX 분산 방화벽 또는 NSX 관리 개체가 있는 특정 그룹에 적용되는 방화벽 정책을 추가하는 워크플로를 설명합니다.

NSX-T Data Center 환경에 Antrea 컨테이너가 등록되어 있는 경우 분산 방화벽 정책을 생성하여 Antrea 컨테이너 클러스터에 적용할 수 있습니다. 자세한 내용은 다음을 참조하십시오.
참고: NSX-T Data Center는 동일한 분산 방화벽 정책에서 NSX 관리 개체 및 Antrea 컨테이너 클러스터 개체로 생성된 규칙의 혼합을 지원하지 않습니다. 즉, NSX 분산 방화벽 및 Antrea 컨테이너 클러스터에 적용하는 방화벽 규칙은 별도의 정책에 있어야 합니다.

사전 요구 사항

NSX-T Data Center 3.2 이하의 VM을 DFW로 보호하려면 vNIC가 NSX 오버레이 또는 VLAN 세그먼트에 연결되어야 합니다. NSX-T Data Center 3.2에서 분산 방화벽은 DVPG(VDS 분산 포트 그룹)에 기본적으로 연결된 워크로드를 보호합니다. 자세한 내용은 vSphere Distributed Switch용 분산 보안의 내용을 참조하십시오.

ID 방화벽에 대한 규칙을 생성하는 경우 먼저 Active Directory 멤버로 그룹을 생성합니다. IDFW에 대해 지원되는 프로토콜을 보려면 ID 방화벽 지원 구성 항목을 참조하십시오. Guest Introspection을 사용하여 DFW 규칙을 생성하는 경우 적용 대상 필드가 대상 그룹에 적용되는지 확인합니다.
참고: ID 방화벽 규칙 적용의 경우 Active Directory를 사용하는 모든 VM에 대해 Windows 시간 서비스를 설정해야 합니다. 이렇게 하면 Active Directory와 VM 간에 날짜와 시간이 동기화됩니다. 사용자를 사용하도록 설정하거나 삭제하는 경우를 비롯한 AD 그룹 멤버 자격 변경 시 로그인한 사용자에게 즉시 영향을 주지 않습니다. 변경 사항을 적용하려면 로그아웃했다가 다시 로그인해야 합니다. 그룹 멤버 자격이 수정된 경우 AD 관리자가 강제로 로그아웃해야 합니다. 이 동작은 Active Directory의 제한 사항입니다.

계층 7과 ICMP 또는 다른 프로토콜의 조합을 사용하는 경우 계층 7 방화벽 규칙을 마지막에 배치해야 합니다. 계층 7 위의 모든 규칙은 실행되지 않습니다.

분산 방화벽 정책 및 규칙 생성에 대한 페더레이션 관련 세부 정보는 글로벌 관리자에서 DFW 정책 및 규칙 생성 항목을 참조하십시오.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 탐색 패널에서 보안 > 분산 방화벽을 선택합니다.
  3. 올바른 미리 정의된 범주에 있는지 확인하고 정책 추가를 클릭합니다.
    범주에 대한 자세한 내용은 분산 방화벽을 참조하십시오.
  4. 새 정책 섹션에 대한 이름을 입력합니다.
  5. (선택 사항) 적용 대상을 사용하여 정책 내의 규칙을 선택한 그룹에 적용합니다. 기본적으로 정책 적용 대상 필드는 DFW로 설정되고 정책 규칙은 모든 워크로드에 적용됩니다. 기본값을 변경하는 경우 정책 수준 및 내부의 규칙 모두 적용 대상이 그룹으로 설정되면 정책 수준 적용 대상이 규칙 수준의 적용 대상보다 우선합니다.
    참고: IP 주소, MAC 주소 또는 Active Directory 그룹만 구성된 그룹은 적용 대상 텍스트 상자에서 사용할 수 없습니다.

    적용 대상은 정책별 적용 범위를 정의하며 주로 ESXi 및 KVM 호스트의 최적화 또는 리소스에 사용됩니다. 다른 애플리케이션, 테넌트 및 영역에 대해 정의된 다른 정책을 방해하지 않으면서 특정 영역, 테넌트 또는 애플리케이션으로 대상이 지정된 정책을 정의하는 데 도움이 됩니다.

  6. (선택 사항) 다음 정책 설정을 구성하려면 톱니 바퀴 아이콘을 클릭합니다.
    옵션 설명
    TCP Strict TCP 연결은 3방향 핸드셰이크(SYN, SYN-ACK, ACK)로 시작되고, 일반적으로 2방향 교환(FIN, ACK)으로 끝납니다. 특정 상황에서 DFW(분산 방화벽)가 특정 흐름의 3방향 핸드셰이크를 확인하지 못할 수 있습니다(예: 흐름이 존재하는 동안 비대칭 트래픽 또는 사용하도록 설정된 분산 방화벽으로 인해). 기본적으로 분산 방화벽은 3방향 핸드셰이크를 확인해야 한다는 요구를 적용하지 않으며 이미 설정된 세션을 선택합니다. 섹션별로 TCP Strict를 사용하도록 설정하여 중간 세션 선택을 해제하고 3방향 핸드셰이크에 대한 요구 사항을 적용할 수 있습니다.

    특정 DFW 정책에 대해 TCP Strict 모드를 사용하도록 설정하고 기본 임의-임의 차단 규칙을 사용할 경우, 3방향 핸드셰이크 연결 요구 사항을 완료하지 못하고 이 섹션의 TCP 기반 규칙과 일치하는 패킷은 삭제됩니다. Strict는 상태 저장 TCP 규칙에만 적용되며 분산 방화벽 정책 수준에서 사용하도록 설정됩니다. TCP Strict는 TCP 서비스가 지정되지 않은 기본 임의-임의 허용과 일치하는 패킷에는 적용되지 않습니다.

    상태 저장 상태 저장 방화벽은 활성 연결 상태를 모니터링하고 이 정보를 사용하여 방화벽을 통해 보낼 패킷을 결정합니다.
    잠김 여러 사용자가 동일한 섹션을 편집하지 못하도록 정책을 잠글 수 있습니다. 섹션을 잠글 때는 주석을 포함해야 합니다.

    엔터프라이즈 관리자와 같은 일부 역할은 전체 액세스 자격 증명을 가지며 잠글 수 없습니다. 역할 기반 액세스 제어 항목을 참조하십시오.

  7. 게시를 클릭합니다. 한 번에 여러 정책을 추가하고 함께 게시할 수 있습니다.
    새 정책이 화면에 표시됩니다.
  8. 정책 섹션을 선택하고 규칙 추가를 클릭한 후 규칙 이름을 입력합니다.
  9. 소스 열에서 편집 아이콘을 클릭하고 규칙의 소스를 선택합니다. Active Directory 멤버가 포함된 그룹을 IDFW 규칙의 소스 텍스트 상자로 사용할 수 있습니다.
    자세한 내용은 그룹 추가 항목을 참조하십시오.

    IPv4, IPv6 및 멀티캐스트 주소가 지원됩니다.

    참고: IPv6 방화벽에는 연결된 세그먼트에서 IPv6용 IP 검색을 사용하도록 설정해야 합니다. 자세한 내용은 IP 검색 세그먼트 프로파일 이해 항목을 참조하십시오.

  10. (선택 사항) 선택 항목 무효화를 선택하는 경우 이 규칙에 대해 정의된 소스를 제외한 모든 소스에서 들어오는 트래픽에 규칙이 적용됩니다. 선택 항목 무효화는 하나 이상의 소스 또는 대상을 정의한 경우에만 선택할 수 있습니다. 무효화된 선택 항목은 텍스트에 취소선이 그어집니다.
  11. 대상 열에서 편집 아이콘을 클릭하고 규칙의 대상을 선택합니다. 정의되지 않은 경우 대상은 임의와 일치합니다.
    자세한 내용은 그룹 추가 항목을 참조하십시오.

    IPv4, IPv6 및 멀티캐스트 주소가 지원됩니다.

  12. (선택 사항) 선택 항목 무효화를 선택하면 선택한 대상을 제외한 모든 대상으로 이동하는 트래픽에 규칙이 적용됩니다. 선택 항목 무효화는 하나 이상의 소스 또는 대상을 정의한 경우에만 선택할 수 있습니다. 무효화된 선택 항목은 텍스트에 취소선이 그어집니다.
  13. 서비스 열에서 편집 아이콘을 클릭하고 서비스를 선택합니다. 정의되지 않은 경우 서비스는 임의와 일치합니다. 자세한 내용은 서비스 추가 항목을 참조하십시오.
  14. 프로파일 열은 이더넷 범주에 규칙을 추가할 때 사용할 수 없습니다. 다른 모든 규칙 범주의 경우 프로파일 열에서 편집 아이콘을 클릭하고 컨텍스트 프로파일을 선택하거나 새 컨텍스트 프로파일 추가를 클릭합니다. 자세한 내용은 컨텍스트 프로파일 항목을 참조하십시오.

    컨텍스트 프로파일은 분산 방화벽 규칙에 사용할 특성 유형 애플리케이션 ID 및 도메인(FQDN) 이름을 가진 프로파일을 지원합니다. 서비스가 임의로 설정된 분산 방화벽 규칙에서 특성 유형이 애플리케이션 ID 또는 도메인(FQDN) 이름을 가진 여러 컨텍스트 프로파일을 사용할 수 있습니다.

    IDS 규칙을 생성할 때 컨텍스트 프로파일이 지원되지 않습니다.

  15. 적용을 클릭하여 규칙에 컨텍스트 프로파일을 적용합니다.
  16. 선택한 그룹에 규칙을 적용하려면 적용 대상을 사용합니다. Guest Introspection을 사용하여 DFW 규칙을 생성하는 경우 적용 대상 필드가 대상 그룹에 적용되는지 확인합니다. 기본적으로 적용 대상 열은 DFW로 설정되고 규칙은 모든 워크로드에 적용됩니다. 기본값을 변경하고 정책 수준과 내부의 규칙 모두 적용 대상그룹으로 설정되면 정책 수준 적용 대상이 규칙 수준의 적용 대상보다 우선합니다.
    참고: IP 주소, MAC 주소 또는 Active Directory 그룹만 구성된 그룹은 적용 대상 텍스트 상자에서 사용할 수 없습니다.
  17. 작업 열에서 작업을 선택합니다.
    옵션 설명
    허용 지정된 소스, 대상 및 프로토콜을 가진 모든 L3 또는 L2 트래픽이 현재 방화벽 컨텍스트를 통과하도록 허용합니다. 규칙과 일치하고 허용된 패킷은 방화벽이 존재하지 않을 때와 동일하게 시스템을 이동합니다.
    삭제 지정된 소스, 대상 및 프로토콜을 가진 패킷을 삭제합니다. 패킷 삭제는 소스 또는 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.
    거절 지정된 소스, 대상 및 프로토콜을 가진 패킷을 거절합니다. 패킷 거절은 보낸 사람에게 대상에 접속할 수 없다는 메시지를 보내는 패킷 거부 방식입니다. 프로토콜이 TCP인 경우 TCP RST 메시지가 전송됩니다. UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다. [거절] 기능의 장점 중 하나는 단 한 차례의 시도에서 연결이 설정되지 않으면 전송 애플리케이션에 알림이 보내진다는 점입니다.
    애플리케이션으로 이동
    참고: 이 작업은 환경 범주에만 사용할 수 있습니다.

    애플리케이션 범주 규칙을 적용하려면 환경 범주 규칙과 일치하는 트래픽이 계속 진행되도록 합니다. 트래픽이 환경 범주 규칙과 일치하고 종료되지만, 애플리케이션 범주 규칙을 적용하려는 경우 이 작업을 사용합니다.

    예를 들어 특정 소스에 대해 허용 작업이 있는 환경 범주 규칙이 있고 동일한 소스에 대해 삭제 작업이 있는 애플리케이션 범주 규칙이 있는 경우 환경 범주와 일치하는 패킷은 방화벽을 통과하도록 허용되며 추가 규칙은 더 이상 적용되지 않습니다. 애플리케이션으로 이동 작업을 사용하면 패킷이 환경 범주 규칙과 일치하지만 애플리케이션 범주 규칙에 대해 계속 진행되며 결과적으로 해당 패킷이 삭제됩니다.

  18. 상태 전환 버튼을 클릭하여 규칙을 사용하거나 사용하지 않도록 설정합니다.
  19. 톱니 바퀴 아이콘을 클릭하여 다음 규칙 옵션을 구성합니다.
    옵션 설명
    로깅 로깅이 기본으로 꺼져 있습니다. 로그는 ESXi와 KVM 호스트의 /var/log/dfwpktlogs.log 파일에 저장됩니다.
    방향 대상 개체의 관점에서 트래픽 방향을 나타냅니다. [수신]은 개체로 들어오는 트래픽만 확인하고, [송신]은 개체에서 나가는 트래픽만 확인하며, [수신-송신]은 양쪽 방향 트래픽 모두를 확인합니다.
    IP 프로토콜 IPv4, IPv6 또는 IPv4-IPv6 둘 모두를 기반으로 규칙을 적용합니다.
    로그 레이블

    로그 레이블은 로깅이 사용하도록 설정된 경우 방화벽 로그에서 수행됩니다. 더 긴 레이블을 입력할 수 있지만 생성된 로그의 처음 31자만 지원됩니다.

  20. 게시를 클릭합니다. 한 번에 여러 규칙을 추가하고 함께 게시할 수 있습니다.
  21. 정책 테이블의 오른쪽에 표시되는 전송 노드 세부 정보가 포함된 정책의 데이터 경로 인식 상태입니다.