분산 방화벽은 가상 워크로드와 네트워크에 대한 가시성 및 제어 기능을 제공하는 방화벽으로, 하이퍼바이저 커널이 포함되어 있습니다.

데이터센터/클러스터 및 가상 시스템 이름, 네트워크 구성체(예: IP 또는 IPSet 주소), VLAN(DVS 포트 그룹), VXLAN(논리적 스위치), Security Group뿐만 아니라 Active Directory의 사용자 그룹 ID 같은 VMware vCenter 개체를 기반으로 액세스 제어 정책을 생성할 수 있습니다. 방화벽 규칙은 각 가상 시스템의 vNIC 수준에서 적용되므로 가상 시스템이 vMotion을 통해 이동되더라도 일관된 액세스 제어가 가능합니다.

NSX 분산 방화벽은 상태 저장 방화벽입니다. 즉, 활성 연결의 상태를 모니터링하며, 이 정보를 사용하여 방화벽을 통과하도록 허용할 네트워크 패킷을 결정합니다. 다음에 의해 흐름이 식별됩니다.

  • 소스 주소

  • 소스 포트

  • 대상 주소

  • 대상 포트

  • 프로토콜

ESXi 호스트의 분산 방화벽 인스턴스(가상 시스템 vNIC당 하나의 인스턴스)에는 2개의 테이블이 포함됩니다. 하나는 모든 정책 규칙을 저장하기 위한 규칙 테이블이고, 다른 하나는 허용 작업을 사용하여 규칙에 대한 흐름 항목을 캐시하기 위한 연결 추적기 테이블입니다. DFW 규칙은 위에서 아래로 적용됩니다. 방화벽을 통과해야 하는 트래픽은 먼저 방화벽 규칙 목록과 일치하는지 확인됩니다. 각 패킷은 규칙 테이블의 맨 위에 있는 규칙에 대하여 확인된 후 테이블의 다음 규칙 순서에 따라 확인됩니다. 테이블에서 트래픽 매개 변수와 일치하는 첫 번째 규칙이 적용됩니다. 테이블의 마지막 규칙은 DFW 기본 정책 규칙입니다. 기본 규칙 위에 있는 규칙과 일치하지 않는 패킷은 기본 규칙에 의해 적용됩니다.

기본적으로 NSX 분산 방화벽은 하드 TCP 모드에서 작동하며, 기본 차단 규칙을 사용할 경우 연결 요구 사항을 충족하지 않는 패킷을 삭제합니다. 연결은 3방향 핸드셰이크(SYN, SYN-ACK, ACK)로 시작되고, 일반적으로 2방향 교환(FIN, ACK)으로 끝납니다.

예를 들어 규칙 번호 2와 일치하는 IP 패킷(첫 번째 패킷, pkt1) 흐름 3이 VM에 의해 전송되면 다음 정책 조회 및 패킷 흐름이 발생합니다.

  1. 연결 추적기 테이블에서 조회가 수행되어 흐름 항목이 이미 존재하는지 확인합니다.

  2. 흐름 3은 연결 추적기 테이블에 없으므로(예: 결과 누락), 규칙 테이블에서 조회가 수행되어 흐름 3에 적용 가능한 규칙이 확인됩니다. 흐름과 일치하는 첫 번째 규칙이 적용됩니다.

  3. 규칙 2는 흐름 3과 일치합니다.

  4. 흐름 3에 대해 작업이 ‘허용’으로 설정되면 연결 추적기 테이블 내에 새 항목이 생성됩니다. 그런 후 패킷이 분산 방화벽 외부로 전송됩니다.

L2 패킷의 경우 분산 방화벽에서 성능 향상을 위한 캐시를 생성합니다. L3 패킷은 다음 순서대로 처리됩니다.

  1. 모든 패킷의 기존 상태를 검사합니다. SYN에 대해서도 이 검사가 수행되므로 기존 세션에 대한 bogus 또는 재전송된 SYN을 탐지할 수 있습니다.

  2. 상태 일치가 발견되면 패킷이 처리됩니다.

  3. 상태 일치가 발견되지 않으면 일치가 발견될 때까지 규칙을 통해 패킷이 처리됩니다.

    • TCP 패킷의 경우 SYN 플래그가 있는 패킷에 대해서만 상태가 설정됩니다. 그러나 프로토콜을 지정하지 않는 규칙(ANY 서비스)에서 TCP 패킷을 임의의 플래그 조합과 일치시킬 수 있습니다.

    • UDP 패킷의 경우 5-튜플 세부 정보가 패킷에서 추출됩니다. 상태 테이블에 상태가 없는 경우 추출된 5-튜플 세부 정보를 사용하여 새 상태가 생성됩니다. 이후에 수신한 패킷은 새로 생성된 상태와 비교합니다.

    • ICMP 패킷의 경우 ICMP 유형, 코드 및 패킷 방향을 사용하여 상태를 생성합니다.

분산 방화벽을 사용하면 ID 기반 규칙을 생성할 때도 유용합니다. 관리자는 엔터프라이즈 Active Directory에 정의된 사용자의 그룹 멤버 자격을 기반으로 액세스 제어를 적용할 수 있습니다. 다음은 ID 기반 방화벽 규칙을 사용할 수 있는 몇 가지 시나리오입니다.

  • 사용자가 사용자 인증에 AD가 사용되는 랩톱 또는 모바일 디바이스에서 가상 애플리케이션에 액세스

  • 사용자가 Microsoft Windows 기반 가상 시스템에서 VDI 인프라를 사용하여 가상 애플리케이션에 액세스

타사 벤더 방화벽 솔루션이 환경에 배포된 경우 논리적 방화벽을 통해 벤더 솔루션으로 트래픽 리디렉션 항목을 참조하십시오.