방화벽 규칙 섹션은 독립적으로 편집 및 저장되며 별도의 방화벽 구성을 테넌트에 적용시키는 데 사용됩니다.

사전 요구 사항

NSX Manager 사용자 인터페이스에서 관리자 모드가 선택되어 있는지 확인합니다. NSX Manager를 참조하십시오. 정책관리자 모드 버튼이 표시되지 않으면 사용자 인터페이스 설정 구성을 참조하십시오.

프로시저

  1. 보안 > 분산 방화벽를 선택합니다.
  2. 계층 3(L3) 규칙에 대해 일반 탭을 클릭하거나 계층 2(L2) 규칙에 대해 이더넷 탭을 클릭합니다.
  3. 기존 섹션이나 규칙을 클릭합니다.
  4. 메뉴 모음에서 섹션 아이콘을 클릭하고 위에 섹션 추가 또는 아래에 섹션 추가를 선택합니다.
    참고: 방화벽을 통과하려는 모든 트래픽의 경우 패킷 정보는 규칙이 [규칙] 테이블에 표시된 순서에 따라(맨 위에서 시작하여 맨 아래의 기본 규칙으로 내려감) 달라집니다. 일부 경우 두 개 이상의 규칙 우선 순위는 패킷의 배치를 결정하는 데 중요할 수 있습니다.
  5. 섹션 이름을 입력합니다.
  6. 방화벽에 상태 비저장을 사용하려면 상태 비저장 방화벽 사용을 선택합니다. 이 옵션은 L3에만 적용됩니다.
    상태 비저장 방화벽은 네트워크 트래픽을 관찰하며 소스 및 대상 주소 또는 기타 정적 값에 따라 패킷을 제한하거나 차단합니다. TCP 및 UDP 흐름의 경우 첫 번째 패킷 이후에 방화벽 결과가 [허용]인 경우 트래픽 튜플에 대해 캐시가 생성 및 유지 관리됩니다. 즉, 방화벽 규칙에 따라 트래픽을 더 이상 확인할 필요가 없으므로 지연 시간이 줄어듭니다. 따라서 상태 비저장 방화벽은 트래픽 부하가 심한 경우에 일반적으로 더 빠르고 성능이 더 좋습니다.

    상태 저장 방화벽은 트래픽 스트림을 처음부터 끝까지 관찰할 수 있습니다. 상태 및 시퀀스 번호를 검증하기 위해 방화벽은 모든 패킷에 대해 항상 확인됩니다. 상태 저장 방화벽은 승인되지 않았으며 위조된 통신을 더 잘 식별합니다.

    한 번 정의된 이후에는 상태 저장과 상태 비저장 간에 전환할 수 없습니다.
  7. 섹션을 적용할 개체를 하나 이상 선택합니다.
    개체 유형은 논리적 포트, 논리적 스위치 및 NSGroup입니다. NSGroup을 선택할 경우, 개체에 논리적 스위치나 논리적 포트가 하나 이상 포함되어 있어야 합니다. NSGroup에 IP 집합 또는 MAC 집합만 포함되어 있으면 해당 개체는 무시됩니다.
    참고: 섹션과 내부 규칙 둘 다 적용 대상이 NSGroup으로 설정된 경우 섹션의 적용 대상은 해당 섹션의 규칙에 있는 모든 적용 대상 설정을 재정의합니다. 방화벽 섹션 수준 적용 대상이 규칙 수준의 적용 대상보다 우선하기 때문입니다.
  8. 확인을 클릭합니다.

다음에 수행할 작업

섹션에 방화벽 규칙을 추가합니다.