보안 정책 구성

방화벽 규칙 테이블은 NSX Manager GUI 또는 REST API 프레임워크를 사용하여 생성할 수 있는 NSX 보안 정책을 구현합니다.

다음은 보안 정책 정의를 이해하고 준비하기 위한 개략적인 단계입니다.

VM Inventory Collection: NSX-T 전송 노드에서 호스팅되는 모든 가상화 워크로드 목록을 식별하고 구성할 수 있습니다. 인벤토리는 NSX Manager에서는 동적으로 수집하여 노드(NSX-T 전송 노드로 추가된 ESXi 또는 KVM)로 저장합니다. 인벤토리 > 가상 시스템 메뉴로 이동하여 인벤토리 목록을 볼 수 있습니다.
Tag: NSX-T에서는 가상 시스템, 세그먼트 및 세그먼트 포트에 태그를 지정할 수 있습니다. 이러한 각 개체에 태그를 지정하려면 관련 개체 페이지로 이동하거나 인벤토리 > 태그로 이동합니다. 개체는 하나 이상의 태그를 가질 수 있습니다. 예를 들어 VM에는 Tag = PROD, Tag = HR-APP 또는 Tag = WEB-Tier가 포함될 수 있습니다.
Group Workloads: VM 이름, 태그, 세그먼트, 세그먼트 포트, IP 또는 기타 특성을 기준으로 동적 또는 고정 멤버 자격 조건과 함께 NSX-T 논리적 그룹화 구성을 사용할 수 있습니다.
Define Security Policy: 보안 > 분산 방화벽에서 사용할 수 있는 분산 방화벽 규칙 테이블을 사용하여 보안 정책을 정의할 수 있습니다. 이더넷, 긴급, 인프라, 환경 및 애플리케이션과 같은 미리 정의된 범주를 기준으로 정책을 구성할 수 있습니다.

자세한 내용은 " NSX-T Data Center 관리 가이드" 을 참조하십시오.

태그 추가

인벤토리에서 사용할 수 있는 기존 태그를 선택하거나 개체에 추가할 새 태그를 생성할 수 있습니다.

프로시저

관리자 권한으로 NSX Manager에 로그인합니다.
태그에 대한 개체를 편집합니다. 개체는 가상 시스템, 세그먼트 또는 세그먼트 포트일 수 있습니다. 각 개체에 대한 인벤토리를 사용하여 개체에 태그를 지정하거나 인벤토리 > 태그로 이동하여 태그를 생성하고 할당할 수 있습니다.
개체(예: 가상 시스템)에 직접 태그를 지정하려면 인벤토리 > 가상 시스템을 클릭합니다. 편집하려는 가상 시스템 옆의 를 클릭하고 편집을 클릭합니다.
태그 드롭다운 메뉴에서 태그 이름을 입력합니다. 완료되면 항목 추가를 클릭합니다.
태그 이름의 최대 길이는 256자입니다.
태그가 인벤토리에 있는 경우 태그 드롭다운 메뉴에 사용 가능한 모든 태그와 해당 범위의 목록이 표시됩니다. 사용 가능한 태그 목록에는 사용자 정의 태그, 시스템 정의 태그 및 검색된 태그가 포함됩니다. 드롭다운 메뉴에서 기존 태그를 선택하여 가상 시스템에 추가할 수 있습니다.
(선택 사항) 태그 범위를 입력합니다.
예를 들어, 운영 체제(Windows, Mac, Linux)를 기준으로 가상 시스템에 태그를 지정하려는 경우를 가정해 보겠습니다. Windows, Linux 및 Mac과 같은 세 개의 태그를 생성하고 각 태그의 범위를 OS로 설정합니다.

범위의 최대 길이는 128자입니다.
인벤토리에서 기존 태그를 선택한 경우 선택한 태그의 범위가 자동으로 적용됩니다. 그렇지 않으면 생성 중인 새 태그에 대한 범위를 입력할 수 있습니다.
+ 아이콘을 클릭합니다.
태그가 가상 시스템에 추가됩니다.
(선택 사항) 3~5단계를 반복하여 가상 시스템에 더 많은 태그를 추가합니다.
저장을 클릭합니다.

그룹 추가

그룹은 정적으로 추가되고 동적으로 추가된 다른 개체를 포함하며 방화벽 규칙의 소스 및 대상으로 사용될 수 있습니다.

프로시저

탐색 패널에서 인벤토리 > 그룹을 선택합니다.
그룹 추가를 클릭하고 그룹 이름을 입력합니다.
설정을 클릭합니다.

멤버 설정 창에서 그룹 유형을 선택합니다.

표 1.
그룹 유형	설명
일반	이 그룹 유형은 기본 선택 항목입니다. 일반 그룹 정의는 멤버 자격 조건, 수동으로 추가한 멤버, IP 주소, MAC 주소 및 Active Directory 그룹의 조합으로 구성됩니다. 그룹에서 멤버 자격 조건을 정의하면 하나 이상의 조건에 따라 멤버가 그룹에 동적으로 추가됩니다. 수동으로 추가된 멤버에는 세그먼트 포트, 분산 포트, 분산 포트 그룹, VIF, 가상 시스템 등의 개체가 포함됩니다.
IP 주소만	이 그룹 유형에는 IP 주소(IPv4 또는 IPv6)만 포함됩니다. 수동으로 추가된 IP 주소 멤버만 있는 IP 주소 전용 그룹은 DFW 규칙의 적용 대상에서 사용할 수 없습니다. 규칙을 생성할 수 있지만 적용되지는 않습니다. IP 주소만 유형의 그룹이 NSX-T Data Center에서 인식되면 그룹 유형을 일반으로 편집할 수 없습니다. 그러나 그룹 유형이 일반이면 그룹 유형을 IP 주소만으로 편집할 수 있습니다. 이 경우 IP 주소만 그룹에서 유지됩니다. 모든 멤버 자격 조건 및 기타 그룹 정의는 손실됩니다.

멤버 자격 조건 페이지에서 조건 추가를 클릭하여 하나 이상의 멤버 자격 조건에 따라 동적으로 그룹에 멤버를 추가합니다.
멤버를 클릭하여 그룹에 고정 멤버를 추가합니다.
(선택 사항) IP/MAC 주소를 클릭하여 IP 및 MAC 주소를 그룹 멤버로 추가합니다. IPv4 주소, IPv6 주소 및 멀티캐스트 주소가 지원됩니다.
작업 > 가져오기를 클릭하여 TXT 파일 또는 쉼표로 구분된 IP/MAC 값을 포함하는 .CSV 파일에서 IP/MAC 주소를 가져옵니다.
AD 그룹을 클릭하여 Active Directory 그룹을 추가합니다. 이것은 ID 기반 방화벽에 사용됩니다. Active Directory 멤버가 포함된 그룹은 ID 방화벽용 분산 방화벽 규칙의 소스에 사용될 수 있습니다. 그룹에는 AD 및 계산 멤버가 둘 다 포함될 수 있습니다.
(선택 사항) 설명 및 태그를 입력합니다.
적용을 클릭합니다.
그룹이 멤버와 그룹이 사용되는 위치를 볼 수 있는 옵션과 함께 나열됩니다.

분산 방화벽 정책

분산 방화벽에는 방화벽 규칙에 대해 미리 정의된 범주가 포함됩니다. 범주를 사용하면 보안 정책을 구성할 수 있습니다.

범주는 왼쪽에서 오른쪽으로 평가되고(이더넷 > 긴급 > 인프라 > 환경 > 애플리케이션) 범주 내의 분산 방화벽 규칙이 위에서 아래로 평가됩니다.

표 2. 분산 방화벽 규칙 범주
이더넷 이 범주에 대해 계층 2 규칙을 포함하는 것이 좋습니다.	긴급 차단을 포함하고 이 범주에 대한 규칙을 허용하는 것이 좋습니다.	인프라 이 범주의 공유 서비스에 대한 액세스를 정의하는 규칙을 포함하는 것이 좋습니다. 예: AD DNS NTP DHCP 백업 관리 서버	환경 이 범주의 영역 사이에 규칙을 포함하는 것이 좋습니다. 예: 운영 및 개발 PCI 및 비 PCI 사업부 간 규칙	애플리케이션 다음 사이에 규칙을 포함하는 것이 좋습니다. 애플리케이션 애플리케이션 계층 마이크로 서비스

분산 방화벽 정책 추가

분산 방화벽은 가상 시스템의 모든 East-West 트래픽을 모니터링합니다.

프로시저

관리자 권한으로 NSX Manager에 로그인합니다.
탐색 패널에서 보안 > 분산 방화벽을 선택합니다.
올바른 미리 정의된 범주에 있는지 확인하고 정책 추가를 클릭합니다.
새 정책 섹션에 대한 이름을 입력합니다.
(선택 사항) 적용 대상을 사용하여 정책 내의 규칙을 선택한 그룹에 적용합니다. 기본적으로 정책 적용 대상 필드는 DFW로 설정되고 정책 규칙은 모든 워크로드에 적용됩니다. 기본값을 변경하는 경우 정책 수준 및 내부의 규칙 모두 적용 대상이 그룹으로 설정되면 정책 수준 적용 대상이 규칙 수준의 적용 대상보다 우선합니다.

참고: IP 주소, MAC 주소 또는 Active Directory 그룹만 구성된 그룹은 적용 대상 텍스트 상자에서 사용할 수 없습니다.

적용 대상은 정책별 적용 범위를 정의하며 주로 ESXi 및 KVM 호스트의 최적화 또는 리소스에 사용됩니다. 다른 애플리케이션, 테넌트 및 영역에 대해 정의된 다른 정책을 방해하지 않으면서 특정 영역, 테넌트 또는 애플리케이션으로 대상이 지정된 정책을 정의하는 데 도움이 됩니다.
다음 정책 설정을 구성하려면 톱니 바퀴 아이콘을 클릭합니다.
게시를 클릭합니다. 한 번에 여러 정책을 추가하고 함께 게시할 수 있습니다.
새 정책이 화면에 표시됩니다.
정책 섹션을 선택하고 규칙 추가를 클릭한 후 규칙 이름을 입력합니다.
소스 열에서 편집 아이콘을 클릭하고 규칙의 소스를 선택합니다. Active Directory 멤버가 포함된 그룹을 IDFW 규칙의 소스 텍스트 상자로 사용할 수 있습니다.
대상 열에서 편집 아이콘을 클릭하고 규칙의 대상을 선택합니다. 정의되지 않은 경우 대상은 임의와 일치합니다.
서비스 열에서 편집 아이콘을 클릭하고 서비스를 선택합니다. 정의되지 않은 경우 서비스는 임의와 일치합니다.
프로파일 열은 이더넷 범주에 규칙을 추가할 때 사용할 수 없습니다. 다른 모든 규칙 범주의 경우 프로파일 열에서 편집 아이콘을 클릭하고 컨텍스트 프로파일을 선택하거나 새 컨텍스트 프로파일 추가를 클릭합니다. 자세한 내용은 #GUID-654F5332-2978-49F8-BE83-297E5C69C22F
이 매개 변수는 L7 애플리케이션 ID 필터링 및 FQDN 필터링에 사용됩니다.
적용을 클릭하여 규칙에 컨텍스트 프로파일을 적용합니다.
선택한 그룹에 규칙을 적용하려면 적용 대상을 사용합니다. Guest Introspection을 사용하여 DFW 규칙을 생성하는 경우 적용 대상 필드가 대상 그룹에 적용되는지 확인합니다. 기본적으로 적용 대상 열은 DFW로 설정되고 규칙은 모든 워크로드에 적용됩니다. 기본값을 변경하고 정책 수준과 내부의 규칙 모두 적용 대상이 그룹으로 설정되면 정책 수준 적용 대상이 규칙 수준의 적용 대상보다 우선합니다.

참고: IP 주소, MAC 주소 또는 Active Directory 그룹만 구성된 그룹은 적용 대상 텍스트 상자에서 사용할 수 없습니다.

작업 열에서 작업을 선택합니다.

옵션	설명
허용	지정된 소스, 대상 및 프로토콜을 가진 모든 L3 또는 L2 트래픽이 현재 방화벽 컨텍스트를 통과하도록 허용합니다. 규칙과 일치하고 허용된 패킷은 방화벽이 존재하지 않을 때와 동일하게 시스템을 이동합니다.
삭제	지정된 소스, 대상 및 프로토콜을 가진 패킷을 삭제합니다. 패킷 삭제는 소스 또는 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.
거절	지정된 소스, 대상 및 프로토콜을 가진 패킷을 거절합니다. 패킷 거절은 보낸 사람에게 대상에 접속할 수 없다는 메시지를 보내는 패킷 거부 방식입니다. 프로토콜이 TCP인 경우 TCP RST 메시지가 전송됩니다. UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다. [거절] 기능의 장점 중 하나는 단 한 차례의 시도에서 연결이 설정되지 않으면 전송 애플리케이션에 알림이 보내진다는 점입니다.
애플리케이션으로 이동	NSX-T Data Center 3.1부터 이 작업은 환경 범주에만 사용할 수 있습니다. 애플리케이션 범주 규칙을 적용하려면 환경 범주 규칙과 일치하는 트래픽이 계속 진행되도록 합니다. 트래픽이 환경 범주 규칙과 일치하고 종료되지만, 애플리케이션 범주 규칙을 적용하려는 경우 이 작업을 사용합니다. 예를 들어 특정 소스에 대해 허용 작업이 있는 환경 범주 규칙이 있고 동일한 소스에 대해 삭제 작업이 있는 애플리케이션 범주 규칙이 있는 경우 환경 범주와 일치하는 패킷은 방화벽을 통과하도록 허용되며 추가 규칙은 더 이상 적용되지 않습니다. 애플리케이션으로 이동 작업을 사용하면 패킷이 환경 범주 규칙과 일치하지만 애플리케이션 범주 규칙에 대해 계속 진행되며 결과적으로 해당 패킷이 삭제됩니다.

상태 전환 버튼을 클릭하여 규칙을 사용하거나 사용하지 않도록 설정합니다.

톱니 바퀴 아이콘을 클릭하여 다음 규칙 옵션을 구성합니다.

옵션	설명
로깅	로깅이 기본으로 꺼져 있습니다. 로그는 ESXi와 KVM 호스트의 /var/log/dfwpktlogs.log 파일에 저장됩니다.
방향	대상 개체의 관점에서 트래픽 방향을 나타냅니다. [인]은 개체로 들어오는 트래픽만 확인하고, [아웃]은 개체에서 나가는 트래픽만 확인하며, [인/아웃]은 양쪽 방향 트래픽 모두를 확인합니다.
IP 프로토콜	IPv4, IPv6 또는 IPv4-IPv6 둘 모두를 기반으로 규칙을 적용합니다.
로그 레이블	로그 레이블은 로깅이 사용하도록 설정된 경우 방화벽 로그에서 수행됩니다. 더 긴 레이블을 입력할 수 있지만 생성된 로그의 처음 31자만 지원됩니다.

게시를 클릭합니다. 한 번에 여러 규칙을 추가하고 함께 게시할 수 있습니다.
정책 테이블의 오른쪽에 표시되는 전송 노드 세부 정보가 포함된 정책의 데이터 경로 인식 상태입니다.

분산 IDS/IPS 정책 추가

IDS/IPS 규칙은 DFW(분산 방화벽) 규칙과 동일한 방식으로 생성됩니다. 먼저 IDS 정책을 생성한 다음, 이 정책의 규칙을 생성합니다.

프로시저

보안 > IDS/IPS > 분산 FW 규칙으로 이동합니다.
정책 추가를 클릭하여 정책을 생성하고 정책 이름을 입력합니다.

톱니 바퀴 아이콘을 클릭하여 필요한 정책 설정을 구성합니다.

옵션	설명
상태 저장	상태 저장 방화벽은 활성 연결 상태를 모니터링하고 이 정보를 사용하여 방화벽을 통해 보낼 패킷을 결정합니다.
잠김	여러 사용자가 동일한 섹션을 편집하지 못하도록 정책을 잠글 수 있습니다. 섹션을 잠글 때는 주석을 포함해야 합니다. 엔터프라이즈 관리자와 같은 일부 역할은 전체 액세스 자격 증명을 가지며 잠글 수 없습니다.

규칙 추가를 클릭하여 규칙을 추가하고 규칙 이름을 입력합니다.
소스, 대상 및 서비스를 구성하여 ID 검사가 필요한 트래픽을 결정합니다. IDS는 소스 및 대상으로 모든 유형의 그룹을 지원합니다.
보안 프로파일 열에서 규칙에 필요한 프로파일을 선택합니다.
적용 대상 열에서 규칙의 범위를 제한하는 적절한 옵션을 선택합니다. 기본적으로 적용 대상 열은 DFW로 설정되고 규칙은 모든 워크로드에 적용됩니다. 선택한 그룹에 규칙 또는 정책을 적용할 수도 있습니다. IP 주소, MAC 주소 또는 Active Directory 그룹만 구성된 그룹은 적용 대상 텍스트 상자에서 사용할 수 없습니다.
다음 옵션에서 필요한 모드를 선택합니다.
- 감지만 - 서명에 대한 침입을 감지하고 작업을 수행하지는 않습니다.
- 감지 및 방지 - 서명에 대한 침입을 감지하고 프로파일 또는 글로벌 설정을 통해 서명에 지정된 대로 삭제 또는 거부하는 작업을 수행합니다.

톱니 바퀴 아이콘을 클릭하여 다음 규칙 옵션을 구성합니다.

옵션	설명
로깅	로깅이 기본으로 꺼져 있습니다. 로그는 ESXi 및 KVM 호스트의 /var/log/dfwpktlogs.log 파일에 저장됩니다.
방향	대상 개체의 관점에서 트래픽 방향을 나타냅니다. IN에서는 개체로 들어오는 트래픽만 검사합니다. OUT에서는 개체에서 나가는 트래픽만 검사합니다. In-Out에서는 양방향 트래픽을 모두 검사합니다.
IP 프로토콜	IPv4, IPv6 또는 IPv4-IPv6 둘 모두를 기반으로 규칙을 적용합니다.
로그 레이블	로그 레이블은 로깅이 사용하도록 설정된 경우 방화벽 로그에서 수행됩니다.

게시를 클릭합니다. 규칙이 호스트에 성공적으로 푸시되면 상태가 성공을 표시합니다.
그래프 아이콘을 클릭하여 다음을 확인합니다.
- 정책 상태 - 호스트에 규칙이 푸시되었습니다.
- 전송 노드 상태 및 오류
고급 정책 구성에 관한 자세한 내용은 " NSX-T Data Center 관리 가이드" 를 참조하십시오.

게이트웨이 방화벽 정책

미리 정의된 범주에 속하는 방화벽 정책 섹션 아래에 규칙을 추가하여 게이트웨이 방화벽 규칙을 구성할 수 있습니다.

프로시저

보안 > 게이트웨이 방화벽 > 게이트웨이별 규칙으로 이동합니다.
T0-Gateway를 선택하고 정책 추가를 클릭합니다.
규칙을 추가합니다.
규칙에 관한 서비스를 추가합니다.
소스, 대상, 서비스 및 게이트웨이와 같은 세부 정보를 제공하고 작업을 선택합니다.
정책 및 규칙을 게시합니다.