크로스 vCenter NSX 환경에서 범용 규칙은 범용 규칙 섹션의 기본 NSX Manager에 정의된 분산 방화벽 규칙을 참조합니다. 사용자 환경의 모든 보조 NSX Manager에서 이 규칙이 복제되므로 vCenter 경계에서 일관된 방화벽 정책을 유지할 수 있습니다. 여러 vCenter Server 사이의 vMotion에 대해 Edge 방화벽 규칙이 지원되지 않습니다.

이 태스크 정보

기본 NSX Manager에는 범용 L2 규칙에 대한 여러 범용 섹션과 범용 L3 규칙에 대한 여러 범용 섹션이 포함될 수 있습니다. 범용 섹션은 모든 로컬 및 Service Composer 섹션 위쪽에 있습니다. 보조 NSX Manager에서 범용 섹션 및 범용 규칙을 볼 수 있지만 편집은 할 수 없습니다. 로컬 섹션에 따라 범용 섹션을 배치해도 규칙 우선 순위를 방해하지 않습니다.

표 1. 범용 방화벽 규칙에 지원되는 개체

소스 및 대상

적용 대상

서비스

  • 범용 MAC 집합

  • 범용 IP 집합

  • 범용 Security Group(범용 보안 태그, IP 집합, MAC 집합 또는 범용 Security Group을 포함할 수 있음)

  • 범용 논리적 스위치

  • 범용 Security Group(범용 보안 태그, IP 집합, MAC 집합 또는 범용 Security Group을 포함할 수 있음)

  • 범용 논리적 스위치

  • 분산 방화벽 - 이 규칙을 분산 방화벽이 설치된 모든 클러스터에 적용합니다.

  • 사전 생성된 범용 서비스 및 서비스 그룹

  • 사용자가 생성한 범용 서비스 및 서비스 그룹

다른 vCenter 개체는 범용 규칙에 지원되지 않습니다.

필수 조건

범용 규칙을 생성하려면 먼저 범용 규칙 섹션을 생성해야 합니다. 방화벽 규칙 섹션 추가를 참조하십시오.

프로시저

  1. vSphere Web Client에서 Networking & Security > 방화벽(Firewall)으로 이동하십시오.
  2. NSX Manager에서 기본 NSX Manager가 선택되었는지 확인합니다.

    범용 규칙은 기본 NSX Manager에서만 추가할 수 있습니다.

  3. L3 범용 규칙을 추가하려면 일반(General) 탭에 있어야 합니다. L2 범용 규칙을 추가하려면 이더넷(Ethernet) 탭을 클릭합니다.
  4. 범용 섹션에서 규칙 추가(Add rule) (추가 아이콘) 아이콘을 클릭한 다음 변경 내용 게시(Publish Changes)를 클릭합니다.

    새로 생성한 규칙은 범용 섹션의 맨 위에 추가됩니다.

  5. 새 규칙의 이름(Name) 셀을 가리키고 을 클릭합니다. 규칙의 이름을 입력합니다.
  6. 새 규칙의 소스(Source) 셀을 가리킵니다. 아래 표에서 설명하는 추가 아이콘이 표시됩니다.

    옵션

    설명

    IP 클릭

    소스를 IP 주소로 지정하려면

    1. IP 주소 형식을 선택합니다.

      방화벽은 IPv4와 IPv6 형식을 모두 지원합니다.

    2. IP 주소를 입력합니다.

    클릭

    범용 IPSet, MACSet 또는 Security Group을 소스로 지정하려면

    1. 개체 유형(Object Type)에서 통신이 시작된 컨테이너를 선택합니다.

      선택한 컨테이너에 대한 개체가 표시됩니다.

    2. 개체를 하나 이상 선택하고 추가를 클릭합니다.

      새 Security Group 또는 IPSet를 생성할 수 있습니다. 새 개체를 생성하면 기본적으로 소스 열에 추가됩니다. 새 Security Group 또는 IPSet를 생성하는 방법에 대한 자세한 내용은 네트워크 및 보안 개체의 내용을 참조하십시오.

    3. 규칙에서 소스를 제외하려면 고급 옵션(Advanced options)을 클릭하십시오.

    4. 규칙에서 이 소스를 제외하려면 소스 부정(Negate Source)을 선택합니다.

      소스 부정(Negate Source)을 선택하면 이전 단계에서 지정한 소스를 제외한 모든 소스에서 들어오는 트래픽에 규칙이 적용됩니다.

      소스 부정(Negate Source)을 선택하지 않으면 이전 단계에서 지정한 소스에서 들어오는 트래픽에 규칙이 적용됩니다.

    5. 확인(OK)을 클릭합니다.

  7. 새 규칙의 대상(Destination) 셀을 가리킵니다. 아래 표에서 설명하는 추가 아이콘이 표시됩니다.

    옵션

    설명

    IP 클릭

    대상을 IP 주소로 지정하려면

    1. IP 주소 형식을 선택합니다.

      방화벽은 IPv4와 IPv6 형식을 모두 지원합니다.

    2. IP 주소를 입력합니다.

    클릭

    범용 IPSet, MACSet 또는 Security Group을 대상으로 지정하려면

    1. 개체 유형(Object Type)에서 통신이 향하는 대상 컨테이너를 선택합니다.

      선택한 컨테이너에 대한 개체가 표시됩니다.

    2. 개체를 하나 이상 선택하고 추가를 클릭합니다.

      새 Security Group 또는 IPSet를 생성할 수 있습니다. 새 개체를 생성하면 기본적으로 대상 열에 추가됩니다. 새 Security Group 또는 IPSet를 생성하는 방법에 대한 자세한 내용은 네트워크 및 보안 개체의 내용을 참조하십시오.

    3. 규칙에서 대상을 제외하려면 고급 옵션(Advanced options)을 클릭하십시오.

    4. 규칙에서 이 대상을 제외하려면 대상 부정(Negate Destination)을 선택합니다.

      대상 부정(Negate Destination)을 선택하면 이전 단계에서 지정한 대상을 제외한 모든 대상으로 이동하는 트래픽에 규칙이 적용됩니다.

      대상 부정(Negate Destination)을 선택하지 않으면 이전 단계에서 지정한 대상으로 이동하는 트래픽에 규칙이 적용됩니다.

    5. 확인(OK)을 클릭합니다.

  8. 새 규칙의 서비스(Service) 셀을 가리킵니다. 아래 표에서 설명하는 추가 아이콘이 표시됩니다.

    옵션

    설명

    포트 클릭

    포트-프로토콜 조합으로 서비스를 지정하려면

    1. 서비스 프로토콜을 선택합니다.

      분산 방화벽은 FTP, CIFS, ORACLE TNS, MS-RPC 및 SUN-RPC 프로토콜에 대해 ALG(Application Level Gateway)를 지원합니다.

    2. 포트 번호를 입력하고 확인(OK)을 클릭합니다.

    클릭

    미리 정의된 범용 서비스/범용 서비스 그룹을 선택하거나 새 범용 서비스/범용 서비스 그룹을 정의하려면

    1. 개체를 하나 이상 선택하고 추가를 클릭합니다.

      새 서비스 또는 서비스 그룹을 생성할 수 있습니다. 새 개체를 생성하면 기본적으로 선택한 개체 열에 추가됩니다.

    2. 확인(OK)을 클릭합니다.

    ACK 또는 SYN 과부하로부터 네트워크를 보호하기 위해 서비스를 TCP-all_ports 또는 UDP-all_ports로 선택하고 기본 규칙으로 차단 작업을 설정할 수 있습니다. 기본 규칙을 수정하는 방법에 대한 자세한 내용은 기본 Distributed Firewall 규칙 편집 항목을 참조하십시오.

  9. 새 규칙의 작업(Action) 셀을 가리키고 을 클릭합니다. 아래 표에서 설명한 대로 적절하게 선택하고 확인(OK)을 클릭하십시오.

    작업

    결과

    허용

    지정된 소스, 대상 및 서비스와의 트래픽을 허용합니다.

    차단

    지정된 소스, 대상 및 서비스와의 트래픽을 차단합니다.

    거부

    허용되지 않는 패킷에 대해 거부 메시지를 전송합니다.

    TCP 연결에 대해 RST 패킷이 전송됩니다.

    UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다.

    로그

    이 규칙과 일치하는 모든 세션을 로깅합니다. 로깅을 사용하도록 설정하면 성능에 영향을 줄 수 있습니다.

    로깅 안 함

    세션을 로깅하지 않습니다.

  10. 적용 대상(Applied To) 셀에서 기본 설정(분산 방화벽)을 수락하여 분산 방화벽을 사용하도록 설정된 모든 클러스터에 규칙을 적용하십시오. 또는 편집 아이콘 을 클릭하여 규칙을 적용할 범용 논리적 스위치를 선택하십시오.
  11. 변경 내용 게시(Publish Changes)를 클릭합니다.

결과

모든 보조 NSX Manager에서 범용 규칙이 복제됩니다. 모든 NSX 인스턴스에서 규칙 ID가 동일합니다. 규칙 ID를 표시하려면 열 선택을 클릭한 다음 규칙 ID를 클릭하십시오.

기본 NSX Manager에서 범용 규칙을 편집할 수 있습니다. 보조 NSX Manager에서 범용 규칙은 읽기 전용입니다.

범용 섹션 계층 3 및 기본 섹션 계층 3이 포함된 방화벽 규칙:

방화벽 규칙

다음에 수행할 작업

  • 번호 열에서 사용 안 함을 클릭하여 규칙을 사용하지 않도록 설정하거나 규칙 사용을 클릭하여 규칙을 사용하도록 설정하십시오.

  • 규칙 테이블에서 추가 열을 표시하려면 열 선택을 클릭하고 해당 열을 선택합니다.

    열 이름

    표시되는 정보

    규칙 ID

    각 규칙에 대해 생성된 고유 시스템 ID

    로그

    이 규칙에 대한 트래픽을 로깅하거나 로깅하지 않습니다.

    통계

    통계를 클릭하면 이 규칙과 관련된 트래픽(트래픽 패킷 수 및 크기)이 표시됩니다.

    주석

    규칙에 대한 주석입니다.

  • 검색 필드에 텍스트를 입력하여 규칙을 검색합니다.

  • 방화벽 테이블에서 규칙을 위 아래로 이동합니다.