NSX는 방화벽 규칙을 사용하여 네트워크 내부 및 외부에서의 트래픽 처리를 지정합니다.
방화벽은 구성 가능한 규칙의 집합인 계층 3 규칙(일반 탭)과 계층 2 규칙(이더넷 탭)을 제공합니다. 계층 2 방화벽 규칙은 계층 3 규칙 이전에 처리되며 계층 2 규칙에서 허용되면 계층 3 규칙으로 즉시 처리됩니다. 방화벽 적용에서 제외할 논리적 스위치, 논리적 포트 또는 그룹이 포함된 제외 목록을 구성할 수 있습니다.
방화벽 규칙은 다음과 같이 적용됩니다.
- 규칙은 위에서 아래로 처리됩니다.
- 각 패킷은 규칙 테이블의 맨 위에 있는 규칙에 대하여 확인된 후 테이블의 다음 규칙 순서에 따라 확인됩니다.
- 테이블에서 트래픽 매개 변수와 일치하는 첫 번째 규칙이 적용됩니다.
그러면 해당 패킷에 대한 검색이 종료되므로 그다음 규칙은 적용할 수 없습니다. 이러한 동작 때문에 항상 가장 세분화된 정책을 규칙 테이블의 맨 위에 배치하도록 권장됩니다. 이를 통해 이러한 규칙이 특정 규칙보다 우선하여 적용되도록 할 수 있습니다.
규칙 테이블의 맨 밑에 있는 기본 규칙은 포괄적인 규칙으로, 다른 규칙에 해당되지 않는 패킷은 기본 규칙에 의해 적용됩니다. 호스트 준비 작업 이후 기본 규칙은 작업을 허용하도록 설정됩니다. 이를 통해 스테이징 또는 마이그레이션 단계 동안 VM 간의 통신이 끊어지지 않습니다. 그런 다음 이 기본 규칙을 변경하여 작업을 차단하고 포지티브 제어 모델을 통한 액세스 제어를 적용하도록(예: 방화벽 규칙에 정의된 트래픽만 네트워크로 허용함) 하는 것이 가장 좋습니다.
참고: 섹션별로 TCP Strict를 사용하도록 설정하여 중간 세션 선택을 해제하고 3방향 핸드셰이크에 대한 요구 사항을 적용할 수 있습니다. 특정 분산 방화벽 섹션에 대해 TCP Strict 모드를 사용하도록 설정하고 기본 임의-임의 차단 규칙을 사용할 경우, 3방향 핸드셰이크 연결 요구 사항을 완료하지 못하고 이 섹션의 TCP 기반 규칙과 일치하는 패킷은 삭제됩니다. Strict는 상태 저장 TCP 규칙에만 적용되며 분산 방화벽 섹션 수준에서 사용하도록 설정됩니다. TCP Strict는 TCP 서비스가 지정되지 않은 기본 임의-임의 허용과 일치하는 패킷에는 적용되지 않습니다.
속성 | 설명 |
---|---|
이름 | 방화벽 규칙 이름입니다. |
ID | 각 규칙에 대해 생성된 고유 시스템 ID입니다. |
소스 | 규칙의 소스는 IP나 MAC 주소 또는 IP 주소가 아닌 다른 개체가 될 수 있습니다. 소스가 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다. 소스 또는 대상 범위에 IPv4 및 IPv6 둘 다 지원됩니다. |
대상 | 규칙에 영향을 받는 연결의 대상 IP 또는 MAC 주소/넷마스크입니다. 대상이 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다. 소스 또는 대상 범위에 IPv4 및 IPv6 둘 다 지원됩니다. |
서비스 | 서비스는 L3에 대해 미리 정의된 포트 프로토콜 조합일 수 있습니다. L2의 경우 이더넷 유형일 수 있습니다. L2 및 L3의 경우 새로운 서비스 또는 서비스 그룹을 수동으로 정의할 수 있습니다. 서비스가 정의되지 않은 경우 임의로 일치하는 항목을 찾습니다. |
적용 대상 | 이 규칙이 적용되는 범위를 정의합니다. 정의되지 않은 경우 범위는 모든 논리적 포트입니다. 섹션에 [적용 대상]을 추가한 경우 규칙이 덮어쓰입니다. |
로그 | 로깅은 끄거나 켤 수 있습니다. 로그는 ESXi 호스트의 /var/log/dfwpktlogs.log 파일에 저장됩니다. |
작업 | 규칙이 적용하는 작업은 허용, 삭제 또는 거절입니다. 기본값은 허용입니다. |
IP 프로토콜 | 옵션은 IPv4, IPv6 및 IPv4_IPv6입니다. 기본값은 IPv4_IPv6입니다. 이 속성에 액세스하려면 고급 설정 아이콘을 클릭합니다. |
방향 | 옵션은 수신, 송신 및 수신/송신입니다. 기본값은 수신/송신입니다. 이 필드는 대상 개체의 관점에서 트래픽 방향을 나타냅니다. 수신은 개체로 들어오는 트래픽만 확인하고, 송신은 개체에서 나가는 트래픽만 확인하며, 수신/송신은 양쪽 방향 트래픽 모두 확인함을 의미합니다. 이 속성에 액세스하려면 고급 설정 아이콘을 클릭합니다. |
규칙 태그 | 규칙에 추가된 태그입니다. 이 속성에 액세스하려면 고급 설정 아이콘을 클릭합니다. |
흐름 통계 | 바이트, 패킷 수 및 세션을 표시하는 읽기 전용 필드입니다. 이 속성에 액세스하려면 그래프 아이콘을 클릭합니다. |
참고: SpoofGuard를 사용하지 않도록 설정하면 악의적인 가상 컴퓨터가 다른 가상 컴퓨터의 주소를 요청할 수 있기 때문에, 자동으로 검색된 주소 바인딩을 신뢰할 수 있는 것으로 보장할 수 없습니다. SpoofGuard를 사용하도록 설정하면 승인된 바인딩만 존재하도록 검색된 각 바인딩을 확인합니다.