Edge 방화벽 탭에는 중앙 집중식 방화벽 탭에서 읽기 전용 모드로 생성된 규칙이 표시됩니다. 여기서 추가한 모든 규칙이 중앙 집중식 방화벽 탭에 표시되는 것은 아닙니다.

이 태스크 정보

방화벽 규칙의 소스와 대상으로 여러 개의 NSX Edge 인터페이스 및/또는 IP 주소 그룹을 추가할 수 있습니다.

그림 1. NSX Edge 인터페이스에서 HTTP 서버로 전송되는 트래픽에 대한 방화벽 규칙
규칙

그림 2. NSX Edge의 모든 내부 인터페이스(내부 인터페이스에 연결된 포트 그룹의 서브넷)에서 HTTP 서버로 전송되는 트래픽에 대한 방화벽 규칙
규칙

참고:

소스로 내부(internal)를 선택하면 추가 내부 인터페이스를 구성할 때 규칙이 자동으로 업데이트됩니다.

그림 3. 내부 네트워크의 m/c에 대한 SSH를 허용하는 트래픽의 방화벽 규칙
규칙

프로시저

  1. vSphere Web Client에서 네트워킹 및 보안(Networking & Security) > NSX Edge(NSX Edges)로 이동합니다.
  2. NSX Edge를 두 번 클릭합니다.
  3. 관리(Manage) 탭을 클릭한 후 방화벽(Firewall) 탭을 클릭합니다.
  4. 다음 중 하나를 수행합니다.

    옵션

    설명

    방화벽 테이블의 특정 위치에 규칙을 추가하려면

    1. 규칙을 선택합니다.

    2. 번호 열에서 편집을 클릭하고 위에 추가(Add Above) 또는 아래에 추가(Add Below)를 선택합니다.

    새로운 허용 규칙이 선택한 규칙 아래에 추가됩니다. 방화벽 테이블에 시스템 정의 규칙만 있을 경우 새 규칙은 기본 규칙 위에 추가됩니다.

    규칙을 복사하여 추가하려면

    1. 규칙을 선택합니다.

    2. 복사(복사) 아이콘을 클릭합니다.

    3. 규칙을 선택합니다.

    4. 번호 열에서 편집을 클릭하고 위에 붙여넣기(Paste Above) 또는 아래에 붙여넣기(Paste Below)를 선택합니다.

    방화벽 테이블에서 원하는 위치에 규칙을 추가하려면

    1. 추가(Add)(추가 아이콘) 아이콘을 클릭합니다.

    새로운 허용 규칙이 선택한 규칙 아래에 추가됩니다. 방화벽 테이블에 시스템 정의 규칙만 있을 경우 새 규칙은 기본 규칙 위에 추가됩니다.

    새 규칙은 기본적으로 사용하도록 설정됩니다.

  5. 새 규칙의 이름(Name) 셀을 가리키고 편집을 클릭합니다.
  6. 새 규칙의 이름을 입력합니다.
  7. 새 규칙의 소스(Source) 셀을 가리키고 편집 또는 를 클릭합니다.

    를 클릭한 경우에는 IP 주소를 입력합니다.

    1. 드롭다운에서 개체를 선택하고 필요한 사항을 선택합니다.

      vNIC 그룹(vNIC Group)을 선택한 다음 vse를 선택하면 NSX Edge에서 생성한 트래픽에 규칙이 적용됩니다. 내부(internal) 또는 외부(external)를 선택하면 선택한 NSX Edge 인스턴스의 내부 또는 업링크 인터페이스에서 나오는 트래픽에 규칙이 적용됩니다. 추가 인터페이스를 구성하는 경우 규칙이 자동으로 업데이트됩니다. 내부 인터페이스의 방화벽 규칙은 논리적 라우터에 대해 작동하지 않습니다.

      IP 집합(IP Sets)을 선택하면 새 IP 주소 그룹을 생성할 수 있습니다. 새 그룹을 생성하면 해당 그룹이 소스 열에 자동으로 추가됩니다. IP 집합을 생성하는 방법에 대한 자세한 내용은 IP 주소 그룹 생성 항목을 참조하십시오.

    2. 확인(OK)을 클릭합니다.
  8. 새 규칙의 대상(Destination) 셀을 가리키고 편집 또는 를 클릭합니다.
    1. 드롭다운에서 개체를 선택하고 필요한 사항을 선택합니다.

      vNIC 그룹(vNIC Group)을 선택한 다음 vse를 선택하면 NSX Edge에서 생성한 트래픽에 규칙이 적용됩니다. 내부(internal) 또는 외부(external)를 선택하면 선택한 NSX Edge 인스턴스의 내부 또는 업링크 인터페이스로 들어가는 트래픽에 규칙이 적용됩니다. 추가 인터페이스를 구성하는 경우 규칙이 자동으로 업데이트됩니다. 내부 인터페이스의 방화벽 규칙은 논리적 라우터에 대해 작동하지 않습니다.

      IP 집합(IP Sets)을 선택하면 새 IP 주소 그룹을 생성할 수 있습니다. 새 그룹을 생성하면 해당 그룹이 소스 열에 자동으로 추가됩니다. IP 집합을 생성하는 방법에 대한 자세한 내용은 IP 주소 그룹 생성 항목을 참조하십시오.

    2. 확인(OK)을 클릭합니다.
  9. 새 규칙의 서비스(Service) 셀을 가리키고 편집 또는 을 클릭합니다.
    • 편집을 클릭한 경우에는 서비스를 선택합니다. 새 서비스 또는 서비스 그룹을 생성하려면 새로 만들기(New)를 클릭합니다. 새 서비스를 생성하면 해당 서비스가 서비스 열에 자동으로 추가됩니다. 새 서비스를 생성하는 방법에 대한 자세한 내용은 서비스 생성 항목을 참조하십시오.

    • 을 클릭한 경우에는 프로토콜을 선택합니다. [고급] 옵션 옆의 화살표를 클릭하여 소스 포트를 지정할 수 있습니다. 릴리스 5.1 이상부터는 소스 포트를 지정하지 않는 것이 좋습니다. 대신, 프로토콜-포트 조합에 대한 서비스를 생성할 수 있습니다.

    참고:

    NSX Edge는 L3 프로토콜로 정의된 서비스만 지원합니다.

  10. 새 규칙의 작업(Action) 셀을 가리키고 편집을 클릭하십시오. 아래 표에서 설명한 대로 적절하게 선택하고 확인(OK)을 클릭하십시오.

    선택한 작업

    결과

    허용

    지정된 소스 및 대상의 송신 또는 수신 트래픽을 허용합니다.

    차단

    지정된 소스 및 대상의 송신 또는 수신 트래픽을 차단합니다.

    거부

    허용되지 않는 패킷에 대해 거부 메시지를 전송합니다.

    TCP 패킷에 대해 RST 패킷이 전송됩니다.

    다른 패킷에 대해 ICMP 연결 불가(관리상 제한됨) 패킷이 전송됩니다.

    로그

    이 규칙과 일치하는 모든 세션을 로깅합니다. 로깅을 사용하도록 설정하면 성능에 영향을 줄 수 있습니다.

    로깅 안 함

    세션을 로깅하지 않습니다.

    주석

    필요한 경우 주석을 입력합니다.

    고급 옵션 > 일치 기준: 변환 결과

    NAT 규칙의 변환된 IP 주소 및 서비스에 규칙을 적용합니다.

    규칙 방향 사용

    규칙이 수신 또는 송신 규칙인지 나타냅니다.

    방화벽 규칙의 방향을 지정하지 않는 것이 좋습니다.

  11. 변경 내용 게시(Publish Changes)를 클릭하여 새 규칙을 NSX Edge 인스턴스로 푸시합니다.

다음에 수행할 작업

  • 규칙을 사용하지 않도록 설정하려면 사용 안 함(번호(No.) 열의 규칙 번호 옆에 있음)을 클릭합니다.

  • 생성된 규칙 또는 사전 규칙(중앙 집중식 방화벽 탭에서 추가된 규칙)을 숨기려면 생성된 규칙 숨기기(Hide Generated rules) 또는 사전 규칙 숨기기(Hide Pre rules)를 클릭합니다.

  • 규칙 테이블에서 추가 열을 표시하려면 열 선택을 클릭하고 해당 열을 선택합니다.

    열 이름

    표시되는 정보

    규칙 태그

    각 규칙에 대해 생성된 고유 시스템 ID

    로그

    이 규칙에 대한 트래픽을 로깅하거나 로깅하지 않습니다.

    통계

    통계를 클릭하면 이 규칙(세션 수, 트래픽 패킷 및 크기)에 영향을 받는 트래픽이 표시됩니다.

    주석

    규칙에 대한 주석입니다.

  • 검색 필드에 텍스트를 입력하여 규칙을 검색합니다.