방화벽은 미리 지정된 방화벽 규칙에 따라 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템입니다.
방화벽 규칙은 NSX Manager 범위에서 추가됩니다. [적용 대상] 필드를 사용하면 규칙을 적용할 범위를 좁힐 수 있습니다. 각 규칙에 대해 소스 및 대상 수준에서 여러 개체를 추가할 수 있어 추가해야 할 총 방화벽 규칙 수가 줄어듭니다.
참고: 기본적으로 규칙은 소스, 대상 및 서비스 규칙 요소의 기본값과 일치하는지 확인하며, 모든 인터페이스 및 트래픽 방향이 일치하는지 확인합니다. 규칙의 효과를 특정 인터페이스 또는 트래픽 방향으로 제한하려면 규칙에 제한을 지정해야 합니다.
프로시저
- 를 선택합니다.
- L3 규칙에 대해 일반 탭을 클릭하거나 L2 규칙에 대해 이더넷 탭을 클릭합니다.
- 기존 섹션이나 규칙을 클릭합니다.
- 규칙의 첫 번째 열에 있는 메뉴 아이콘을 클릭하고 위에 규칙 추가 또는 아래에 규칙 추가를 선택합니다.
방화벽 규칙을 정의할 수 있는 새로운 행이 나타납니다.
참고: 방화벽을 통과하려는 모든 트래픽의 경우 패킷 정보는 규칙이 [규칙] 테이블에 표시된 순서에 따라(맨 위에서 시작하여 맨 아래의 기본 규칙으로 내려감) 달라집니다. 일부 경우 두 개 이상의 규칙 우선 순위는 패킷의 배치를 결정하는 데 중요할 수 있습니다.
- 이름 열에 규칙 이름을 입력합니다.
- 소스 열에서 편집 아이콘을 클릭하고 규칙의 소스를 선택합니다. 소스가 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다.
옵션 |
설명 |
IP 주소 |
쉼표로 구분된 목록에 여러 IP 또는 MAC 주소를 입력합니다. 목록에는 최대 255자가 포함될 수 있습니다. IPv4 및 IPv6 형식이 둘 다 지원됩니다. |
컨테이너 개체 |
사용 가능한 개체는 IP 집합, 논리적 포트, 논리적 스위치 및 NS 그룹입니다. 개체를 선택하고 확인을 클릭합니다. |
- 대상 열에서 편집 아이콘을 클릭하고 대상을 선택합니다. 대상이 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다.
옵션 |
설명 |
IP 주소 |
쉼표로 구분된 목록에 IP 또는 MAC 주소를 여러 개 입력할 수 있습니다. 목록에는 최대 255자가 포함될 수 있습니다. IPv4 및 IPv6 형식이 둘 다 지원됩니다. |
컨테이너 개체 |
사용 가능한 개체는 IP 집합, 논리적 포트, 논리적 스위치 및 NS 그룹입니다. 개체를 선택하고 확인을 클릭합니다. |
- 서비스 열에서 편집 아이콘을 클릭하고 서비스를 선택합니다. 서비스가 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다.
- 미리 정의된 서비스를 선택하려면 하나 이상의 사용 가능한 서비스를 선택합니다.
- 새 서비스를 정의하려면 원시 포트-프로토콜 탭을 클릭하고 추가를 클릭합니다.
옵션 |
설명 |
서비스 유형 |
- ALG
- ICMP
- IGMP
- IP
- L4 포트 집합
|
프로토콜 |
사용 가능한 프로토콜 중 하나를 선택합니다. |
소스 포트 |
소스 포트를 입력합니다. |
대상 포트 |
대상 포트를 선택합니다. |
- 적용 대상 열에서 편집 아이콘을 클릭하고 개체를 선택합니다.
- 로그 열에서 로깅 옵션을 설정합니다.
로그는 ESXi의
/var/log/dfwpktlogs.log 파일에 있습니다. 로깅을 사용하도록 설정하면 성능에 영향을 줄 수 있습니다.
- 작업 열에서 작업을 선택합니다.
옵션 |
설명 |
허용 |
지정된 소스, 대상 및 프로토콜을 가진 모든 L3 또는 L2 트래픽이 현재 방화벽 컨텍스트를 통과하도록 허용합니다. 규칙과 일치하고 허용된 패킷은 방화벽이 존재하지 않을 때와 동일하게 시스템을 이동합니다. |
삭제 |
지정된 소스, 대상 및 프로토콜을 가진 패킷을 삭제합니다. 패킷 삭제는 소스 또는 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다. |
거절 |
지정된 소스, 대상 및 프로토콜을 가진 패킷을 거절합니다. 패킷 거절은 보낸 사람에게 대상에 접속할 수 없다는 메시지를 보내는 패킷 거부 방식입니다. 프로토콜이 TCP인 경우 TCP RST 메시지가 전송됩니다. UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다. [거절] 기능의 장점 중 하나는 단 한 차례의 시도에서 연결이 설정되지 않으면 전송 애플리케이션에 알림이 보내진다는 점입니다. |
- 고급 설정 아이콘을 클릭하여 IP 프로토콜, 방향, 규칙 태그 및 주석을 지정합니다.
- 게시를 클릭합니다.