Distributed Firewall은 가상 워크로드와 네트워크에 대한 가시성 및 제어 기능을 제공하는 방화벽으로, 하이퍼바이저 커널이 포함되어 있습니다. 데이터센터/클러스터 및 가상 시스템 이름, 네트워크 구성체(예: IP 또는 IPSet 주소), VLAN(DVS 포트 그룹), VXLAN(논리적 스위치), Security Group뿐만 아니라 Active Directory의 사용자 그룹 ID 같은 VMware vCenter 개체를 기반으로 액세스 제어 정책을 생성할 수 있습니다. 방화벽 규칙은 각 가상 시스템의 vNIC 수준에서 적용되므로 가상 시스템이 vMotion을 통해 이동되더라도 일관된 액세스 제어가 가능합니다. 하이퍼바이저가 포함된 방화벽의 특성으로 인해 회선에 가까운 속도의 처리량을 제공함으로써 물리적 서버에서 더 높은 수준의 워크로드 통합을 가능하게 합니다. 이 방화벽이 지닌 분산 특성은 데이터센터에 호스트가 추가될 때마다 방화벽 용량을 자동 확장하는 확장 아키텍처를 제공합니다.

L2 패킷의 경우 Distributed Firewall에서 성능 향상을 위한 캐시를 생성합니다. L3 패킷은 다음 순서대로 처리됩니다.

  1. 모든 패킷의 기존 상태를 검사합니다. SYN에 대해서도 이 검사가 수행되므로 기존 세션에 대한 bogus 또는 재전송된 SYN을 탐지할 수 있습니다.

  2. 상태 일치가 발견되면 패킷이 처리됩니다.

  3. 상태 일치가 발견되지 않으면 일치가 발견될 때까지 규칙을 통해 패킷이 처리됩니다.

    • TCP 패킷의 경우 SYN 플래그가 있는 패킷에 대해서만 상태가 설정됩니다. 그러나 프로토콜을 지정하지 않는 규칙(ANY 서비스)에서 TCP 패킷을 임의의 플래그 조합과 일치시킬 수 있습니다.

    • UDP 패킷의 경우 5-튜플 세부 정보가 패킷에서 추출됩니다. 상태 테이블에 상태가 없는 경우 추출된 5-튜플 세부 정보를 사용하여 새 상태가 생성됩니다. 이후에 수신한 패킷은 새로 생성된 상태와 비교합니다.

    • ICMP 패킷의 경우 ICMP 유형, 코드 및 패킷 방향을 사용하여 상태를 생성합니다.

Distributed Firewall을 사용하면 ID 기반 규칙을 생성할 때도 유용합니다. 관리자는 엔터프라이즈 Active Directory에 정의된 사용자의 그룹 멤버 자격을 기반으로 액세스 제어를 적용할 수 있습니다. 다음은 ID 기반 방화벽 규칙을 사용할 수 있는 몇 가지 시나리오입니다.

  • 사용자가 사용자 인증에 AD가 사용되는 랩톱 또는 모바일 디바이스에서 가상 애플리케이션에 액세스

  • 사용자가 Microsoft Windows 기반 가상 시스템에서 VDI 인프라를 사용하여 가상 애플리케이션에 액세스

타사 벤더 방화벽 솔루션이 환경에 배포된 경우 논리적 방화벽을 통해 벤더 솔루션으로 트래픽 리디렉션 항목을 참조하십시오.

게스트 또는 워크로드 가상 시스템에서 오픈 VMware Tools를 실행할 경우 Distributed Firewall을 사용하여 검증하지 않습니다.

Distributed Firewall 리소스 활용도에 대한 ESXi 임계값 매개 변수

각 ESXi 호스트에는 DFW 리소스 활용도에 대한 세 개의 임계값 매개 변수인 CPU, RAM 및 CPS(초당 연결 수)가 구성되어 있습니다. 200초 동안 해당 임계값을 연속해서 20회 초과하면 경보가 발생합니다. 10초마다 샘플이 수집됩니다.

CPU 100%는 호스트에서 사용할 수 있는 총 CPU에 해당합니다.

RAM 100%는 Distributed Firewall에 할당된 메모리에 해당하며("총 최대 크기") 호스트에 설치된 총 RAM에 따라 달라집니다.

표 1. 총 최대 크기

물리적 메모리

총 최대 크기(MB)

0 - 8GB

160

8GB - 32GB

608

32GB - 64GB

992

64GB - 96GB

1920

96GB - 128GB

2944

128GB

4222

메모리는 Distributed Firewall 내부 데이터 구조에 사용되며 이 구조에는 필터, 규칙, 컨테이너, 연결 상태, 검색된 IP 및 삭제 흐름이 포함됩니다. 다음 API 호출을 사용하여 이러한 매개 변수를 조작할 수 있습니다.

https://NSX-MGR-IP/api/4.0/firewall/stats/eventthresholds

Request body:

<eventThresholds>
  <cpu>
    <percentValue>100</percentValue> 
  </cpu>
  <memory>
    <percentValue>100</percentValue> 
  </memory>
  <connectionsPerSecond>
    <value>100000</value> 
  </connectionsPerSecond>
</eventThresholds>