방화벽은 미리 지정된 방화벽 규칙에 따라 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템입니다.

방화벽 규칙은 NSX Manager 범위에서 추가됩니다. [적용 대상] 필드를 사용하면 규칙을 적용할 범위를 좁힐 수 있습니다. 각 규칙에 대해 소스 및 대상 수준에서 여러 개체를 추가할 수 있어 추가해야 할 총 방화벽 규칙 수가 줄어듭니다.
참고: 기본적으로 규칙은 소스, 대상 및 서비스 규칙 요소의 기본값과 일치하는지 확인하며, 모든 인터페이스 및 트래픽 방향이 일치하는지 확인합니다. 규칙의 효과를 특정 인터페이스 또는 트래픽 방향으로 제한하려면 규칙에 제한을 지정해야 합니다.

사전 요구 사항

  • 주소 그룹을 사용하려면 먼저 각 VM의 IP 및 MAC 주소를 해당 논리적 스위치에 수동으로 연결합니다.

  • NSX Manager 사용자 인터페이스에서 관리자 모드가 선택되어 있는지 확인합니다. NSX Manager 항목을 참조하십시오. 정책관리자 모드 버튼이 표시되지 않으면 사용자 인터페이스 설정 구성 항목을 참조하십시오.

프로시저

  1. 보안 > 분산 방화벽를 선택합니다.
  2. L3 규칙에 대해 일반 탭을 클릭하거나 L2 규칙에 대해 이더넷 탭을 클릭합니다.
  3. 기존 섹션이나 규칙을 클릭합니다.
  4. 규칙의 첫 번째 열에 있는 메뉴 아이콘을 클릭하고 위에 규칙 추가 또는 아래에 규칙 추가를 선택합니다.
    방화벽 규칙을 정의할 수 있는 새로운 행이 나타납니다.
    참고: 방화벽을 통과하려는 모든 트래픽의 경우 패킷 정보는 규칙이 [규칙] 테이블에 표시된 순서에 따라(맨 위에서 시작하여 맨 아래의 기본 규칙으로 내려감) 달라집니다. 일부 경우 두 개 이상의 규칙 우선 순위는 패킷의 배치를 결정하는 데 중요할 수 있습니다.
  5. 이름 열에 규칙 이름을 입력합니다.
  6. 소스 열에서 편집 아이콘을 클릭하고 규칙의 소스를 선택합니다. 소스가 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다.
    옵션 설명
    IP 주소 쉼표로 구분된 목록에 여러 IP 또는 MAC 주소를 입력합니다. 목록에는 최대 255자가 포함될 수 있습니다. IPv4 및 IPv6 형식이 둘 다 지원됩니다.
    컨테이너 개체 사용 가능한 개체는 IP 집합, 논리적 포트, 논리적 스위치 및 NS 그룹입니다. 개체를 선택하고 확인을 클릭합니다.
  7. 대상 열에서 편집 아이콘을 클릭하고 대상을 선택합니다. 대상이 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다.
    옵션 설명
    IP 주소 쉼표로 구분된 목록에 IP 또는 MAC 주소를 여러 개 입력할 수 있습니다. 목록에는 최대 255자가 포함될 수 있습니다. IPv4 및 IPv6 형식이 둘 다 지원됩니다.
    컨테이너 개체 사용 가능한 개체는 IP 집합, 논리적 포트, 논리적 스위치 및 NS 그룹입니다. 개체를 선택하고 확인을 클릭합니다.
  8. 서비스 열에서 편집 아이콘을 클릭하고 서비스를 선택합니다. 서비스가 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다.
  9. 미리 정의된 서비스를 선택하려면 하나 이상의 사용 가능한 서비스를 선택합니다.
  10. 새 서비스를 정의하려면 원시 포트-프로토콜 탭을 클릭하고 추가를 클릭합니다.
    옵션 설명
    서비스 유형
    • ALG
    • ICMP
    • IGMP
    • IP
    • L4 포트 집합
    프로토콜 사용 가능한 프로토콜 중 하나를 선택합니다.
    소스 포트 소스 포트를 입력합니다.
    대상 포트 대상 포트를 선택합니다.
  11. 적용 대상 열에서 편집 아이콘을 클릭하고 개체를 선택합니다.
  12. 로그 열에서 로깅 옵션을 설정합니다.
    로그는 ESXi의 /var/log/dfwpktlogs.log 파일에 있습니다. 로깅을 사용하도록 설정하면 성능에 영향을 줄 수 있습니다.
  13. 작업 열에서 작업을 선택합니다.
    옵션 설명
    허용 지정된 소스, 대상 및 프로토콜을 가진 모든 L3 또는 L2 트래픽이 현재 방화벽 컨텍스트를 통과하도록 허용합니다. 규칙과 일치하고 허용된 패킷은 방화벽이 존재하지 않을 때와 동일하게 시스템을 이동합니다.
    삭제 지정된 소스, 대상 및 프로토콜을 가진 패킷을 삭제합니다. 패킷 삭제는 소스 또는 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.
    거절 지정된 소스, 대상 및 프로토콜을 가진 패킷을 거절합니다. 패킷 거절은 보낸 사람에게 대상에 접속할 수 없다는 메시지를 보내는 패킷 거부 방식입니다. 프로토콜이 TCP인 경우 TCP RST 메시지가 전송됩니다. UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다. [거절] 기능의 장점 중 하나는 단 한 차례의 시도에서 연결이 설정되지 않으면 전송 애플리케이션에 알림이 보내진다는 점입니다.
  14. 고급 설정 아이콘을 클릭하여 IP 프로토콜, 방향, 규칙 태그 및 주석을 지정합니다.
  15. 게시를 클릭합니다.