방화벽 규칙은 NSX Manager 범위에서 추가합니다. [적용 대상] 필드를 사용하면 규칙을 적용할 범위를 좁힐 수 있습니다. 각 규칙에 대해 소스 및 대상 수준에서 여러 개체를 추가할 수 있어 추가해야 할 총 방화벽 규칙 수가 줄어듭니다.

이 태스크 정보

다음 vCenter 개체를 방화벽 규칙의 소스 또는 대상으로 지정할 수 있습니다.

표 1. 방화벽 규칙에 지원되는 개체

소스 또는 대상

적용 대상

  • 클러스터

  • 데이터센터

  • 분산 포트 그룹

  • IP 집합

  • 레거시 포트 그룹

  • 논리적 스위치

  • 리소스 풀

  • Security Group

  • vApp

  • 가상 시스템

  • vNIC

  • IP 주소(IPv4 또는 IPv6)

  • 분산 방화벽이 설치된 모든 클러스터(네트워크 가상화를 위해 준비된 모든 클러스트)

  • 준비된 클러스터에 설치된 모든 Edge Gateway

  • 클러스터

  • 데이터센터

  • 분산 포트 그룹

  • Edge

  • 레거시 포트 그룹

  • 논리적 스위치

  • Security Group

  • 가상 시스템

  • vNIC

필수 조건

NSX 분산 방화벽의 상태가 이전 버전과 호환되는 모드가 아닌지 확인하십시오. 현재 상태를 확인하려면 REST API 호출 GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state를 사용하십시오. 현재 상태가 이전 버전과 호환되는 모드이면 REST API 호출 PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state를 사용하여 상태를 이후 버전과 호환되는 모드로 변경할 수 있습니다. 분산 방화벽이 이전 버전과 호환되는 모드에 있을 때는 분산 방화벽 규칙을 게시하지 마십시오.

범용 방화벽 규칙을 추가할 경우 범용 방화벽 규칙 추가 항목을 참조하십시오.

ID 기반 방화벽 규칙을 추가할 경우 다음을 확인하십시오.

  • 하나 이상의 도메인이 NSX Manager에 등록되어 있습니다. NSX Manager는 등록된 각 도메인에서 그룹 및 사용자 정보와 서로 간의 관계를 가져옵니다. NSX Manager에 Windows 도메인 등록를 참조하십시오.

  • Active Directory 개체를 기반으로 Security Group이 생성되고 이는 규칙의 소스 또는 대상으로 사용될 수 있습니다. Security Group 생성를 참조하십시오.

VMware vCenter 개체 기반의 규칙을 추가할 경우 가상 시스템에 VMware Tools가 설치되어 있는지 확인하십시오. NSX 설치 가이드 항목을 참조하십시오.

6.1.5에서 6.2.3으로 마이그레이션된 VM은 TFTP ALG를 지원하지 않습니다. 마이그레이션 후에 TFTP ALG 지원을 사용하도록 설정하려면 예외 목록에서 VM을 추가했다가 제거하거나 VM을 다시 시작하십시오. TFTP ALG가 지원되는 새 6.2.3 필터가 생성됩니다.

프로시저

  1. vSphere Web Client에서 Networking & Security > 방화벽(Firewall)으로 이동하십시오.
  2. L3 규칙을 추가하려면 일반(General) 탭으로 이동합니다. L2 규칙을 추가하려면 이더넷(Ethernet) 탭을 클릭합니다.
  3. 규칙을 추가할 섹션에서 규칙 추가(Add rule)(추가 아이콘) 아이콘을 클릭합니다.
  4. 변경 내용 게시(Publish Changes)를 클릭합니다.

    새로 생성한 규칙은 섹션의 맨 위에 추가됩니다. 섹션에 시스템 정의 규칙만 있는 경우 새 규칙이 기본 규칙 위에 추가됩니다.

    규칙을 섹션의 특정 위치에 추가하려면 규칙을 선택합니다. 번호 열에서 을 클릭하고 위에 추가(Add Above) 또는 아래에 추가(Add Below)를 선택합니다.

  5. 새 규칙의 이름(Name) 셀을 가리키고 편집을 클릭합니다.
  6. 새 규칙의 이름을 입력합니다.
  7. 새 규칙의 소스(Source) 셀을 가리킵니다. 아래 표에서 설명하는 추가 아이콘이 표시됩니다.

    옵션

    설명

    IP 클릭

    소스를 IP 주소로 지정하려면

    1. IP 주소 형식을 선택합니다.

      방화벽은 IPv4와 IPv6 형식을 모두 지원합니다.

    2. IP 주소를 입력합니다.

      쉼표로 구분된 목록에 IP 주소를 여러 개 입력할 수 있습니다. 목록에는 최대 255자가 포함될 수 있습니다.

    클릭

    소스를 특정 IP 주소 이외의 개체로 지정하려면

    1. 보기(View)에서 통신이 시작된 컨테이너를 선택합니다.

      선택한 컨테이너에 대한 개체가 표시됩니다.

    2. 개체를 하나 이상 선택하고 추가를 클릭합니다.

      새 Security Group 또는 IPSet를 생성할 수 있습니다. 새 개체를 생성하면 기본적으로 소스 열에 추가됩니다. 새 Security Group 또는 IPSet를 생성하는 방법에 대한 자세한 내용은 네트워크 및 보안 개체의 내용을 참조하십시오.

    3. 규칙에서 소스를 제외하려면 고급 옵션(Advanced options)을 클릭하십시오.

    4. 규칙에서 이 소스를 제외하려면 소스 부정(Negate Source)을 선택합니다.

      소스 부정(Negate Source)을 선택하면 이전 단계에서 지정한 소스를 제외한 모든 소스에서 들어오는 트래픽에 규칙이 적용됩니다.

      소스 부정(Negate Source)을 선택하지 않으면 이전 단계에서 지정한 소스에서 들어오는 트래픽에 규칙이 적용됩니다.

    5. 확인(OK)을 클릭합니다.

  8. 새 규칙의 대상(Destination) 셀을 가리킵니다. 아래 표에서 설명하는 추가 아이콘이 표시됩니다.

    옵션

    설명

    IP 클릭

    대상을 IP 주소로 지정하려면

    1. IP 주소 형식을 선택합니다.

      방화벽은 IPv4와 IPv6 형식을 모두 지원합니다.

    2. IP 주소를 입력합니다.

      쉼표로 구분된 목록에 IP 주소를 여러 개 입력할 수 있습니다. 목록에는 최대 255자가 포함될 수 있습니다.

    클릭

    대상을 특정 IP 주소 이외의 개체로 지정하려면

    1. 보기(View)에서 통신이 향하는 대상 컨테이너를 선택합니다.

      선택한 컨테이너에 대한 개체가 표시됩니다.

    2. 개체를 하나 이상 선택하고 추가를 클릭합니다.

      새 Security Group 또는 IPSet를 생성할 수 있습니다. 새 개체를 생성하면 기본적으로 대상 열에 추가됩니다. 새 Security Group 또는 IPSet를 생성하는 방법에 대한 자세한 내용은 네트워크 및 보안 개체의 내용을 참조하십시오.

    3. 대상 포트를 제외하려면 고급 옵션(Advanced options)을 클릭하십시오.

    4. 규칙에서 이 대상을 제외하려면 대상 부정(Negate Destination)을 선택합니다.

      대상 부정(Negate Destination)을 선택하면 이전 단계에서 지정한 대상을 제외한 모든 대상으로 이동하는 트래픽에 규칙이 적용됩니다.

      대상 부정(Negate Destination)을 선택하지 않으면 이전 단계에서 지정한 대상으로 이동하는 트래픽에 규칙이 적용됩니다.

    5. 확인(OK)을 클릭합니다.

  9. 새 규칙의 서비스(Service) 셀을 가리킵니다. 아래 표에서 설명하는 추가 아이콘이 표시됩니다.

    옵션

    설명

    포트 클릭

    포트-프로토콜 조합으로 서비스를 지정하려면

    1. 서비스 프로토콜을 선택합니다.

      분산 방화벽은 TFTP, FTP, ORACLE TNS, MS-RPC 및 SUN-RPC 프로토콜에 대해 ALG(Application Level Gateway)를 지원합니다.

      Edge는 FTP, TFTP 및 SNMP_BASIC에 대해 ALG를 지원합니다.

      참고: 6.1.5에서 6.2.3으로 마이그레이션된 VM은 TFTP ALG를 지원하지 않습니다. 마이그레이션 후에 TFTP ALG 지원을 사용하도록 설정하려면 예외 목록에서 VM을 추가했다가 제거하거나 VM을 다시 시작하십시오. TFTP ALG가 지원되는 새 6.2.3 필터가 생성됩니다.

    2. 포트 번호를 입력하고 확인(OK)을 클릭합니다.

    클릭

    미리 정의된 서비스/서비스 그룹을 선택하거나 새 서비스/서비스 그룹을 정의하려면

    1. 개체를 하나 이상 선택하고 추가를 클릭합니다.

      새 서비스 또는 서비스 그룹을 생성할 수 있습니다. 새 개체를 생성하면 기본적으로 선택한 개체 열에 추가됩니다.

    2. 확인(OK)을 클릭합니다.

    ACK 또는 SYN 과부하로부터 네트워크를 보호하기 위해 서비스를 TCP-all_ports 또는 UDP-all_ports로 선택하고 기본 규칙으로 차단 작업을 설정할 수 있습니다. 기본 규칙을 수정하는 방법에 대한 자세한 내용은 기본 Distributed Firewall 규칙 편집 항목을 참조하십시오.

  10. 새 규칙의 작업(Action) 셀을 가리키고 편집을 클릭하십시오. 아래 표에서 설명한 대로 적절하게 선택하고 확인(OK)을 클릭하십시오.

    작업

    결과

    허용

    지정된 소스, 대상 및 서비스와의 트래픽을 허용합니다.

    차단

    지정된 소스, 대상 및 서비스와의 트래픽을 차단합니다.

    거부

    허용되지 않는 패킷에 대해 거부 메시지를 전송합니다.

    TCP 연결에 대해 RST 패킷이 전송됩니다.

    UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다.

    로그

    이 규칙과 일치하는 모든 세션을 로깅합니다. 로깅을 사용하도록 설정하면 성능에 영향을 줄 수 있습니다.

    로깅 안 함

    세션을 로깅하지 않습니다.

  11. 적용 대상(Applied To)에서 이 규칙이 적용될 수 있는 범위를 정의하십시오. 아래 표에서 설명한 대로 적절하게 선택하고 확인(OK)을 클릭하십시오.

    규칙 적용 대상

    작업

    사용자 환경에서 준비된 모든 클러스터

    이 규칙을 분산 방화벽이 설치된 모든 클러스터에 적용합니다(Apply this rule on all clusters on which Distributed Firewall is enabled)를 선택하십시오. 확인을 클릭하면 이 규칙에 대한 적용 대상 열에 분산 방화벽(Distributed Firewall)이 표시됩니다.

    사용자 환경의 모든 NSX Edge Gateway

    이 규칙을 모든 Edge Gateway에 적용합니다(Apply this rule on all Edge gateways)를 선택하십시오. [확인]을 클릭하면 이 규칙에 대한 적용 대상 열에 모든 Edge(All Edges)가 표시됩니다.

    위 옵션을 모두 선택하면 적용 대상 열에 임의(Any)가 표시됩니다.

    하나 이상의 클러스터, 데이터센터, 분산 가상 포트 그룹, NSX Edge, 네트워크, 가상 시스템, vNIC 또는 논리적 스위치

    1. 컨테이너 유형(Container type)에서 해당하는 개체를 선택하십시오.

    2. 사용 가능 목록에서 하나 이상의 개체를 선택하고 추가를 클릭하십시오.

    규칙의 소스 및 대상 필드에 가상 시스템/vNIC가 있는 경우 규칙이 제대로 작동하려면 소스 및 대상 가상 시스템/vNIC를 적용 대상(Applied To)에 추가해야 합니다.

  12. 변경 내용 게시(Publish Changes)를 클릭합니다.

    잠시 후 게시 작업이 성공했음을 나타내는 메시지가 표시됩니다. 실패한 경우 규칙이 적용되지 않은 호스트가 나열됩니다. 실패한 게시에 대한 추가 세부 정보를 보려면 NSX Managers > NSX_Manager_IP_Address > 모니터링(Monitor) > 시스템 이벤트(System Events)로 이동하십시오.

    변경 내용 게시(Publish Changes)를 클릭하면 방화벽 구성이 자동으로 저장됩니다. 이전 구성으로 되돌리기에 대한 자세한 내용은 방화벽 구성 로드 항목을 참조하십시오.

다음에 수행할 작업

  • 규칙을 사용하지 않도록 설정하려면 사용 안 함을 클릭하고, 규칙을 사용하도록 설정하려면 규칙 사용을 클릭하십시오.

  • 규칙 테이블에서 추가 열을 표시하려면 열 선택을 클릭하고 해당 열을 선택합니다.

    열 이름

    표시되는 정보

    규칙 ID

    각 규칙에 대해 생성된 고유 시스템 ID

    로그

    이 규칙에 대한 트래픽을 로깅하거나 로깅하지 않습니다.

    통계

    통계를 클릭하면 이 규칙과 관련된 트래픽(트래픽 패킷 수 및 크기)이 표시됩니다.

    주석

    규칙에 대한 주석입니다.

  • 검색 필드에 텍스트를 입력하여 규칙을 검색합니다.

  • 방화벽 테이블에서 규칙을 위 아래로 이동합니다.

  • 섹션 병합(Merge section) 아이콘을 클릭한 후 위 섹션과 병합(Merge with above section) 또는 아래 섹션과 병합(Merge with below section)을 선택하여 섹션을 병합합니다.