ID 방화벽을 사용하면 Active Directory 사용자 그룹을 기준으로 분산 방화벽 규칙을 구성할 수 있습니다.

ID 방화벽을 사용하면 Active Directory 사용자 그룹을 기준으로 분산 방화벽 규칙을 구성할 수 있습니다. 사용자 컨텍스트는 소스에서 처리됩니다. IDFW는 Active Directory 사용자가 방화벽 규칙을 적용하기 위해 로그온하는 가상 데스크톱을 알고 있어야 합니다. 사용자 ID는 방화벽 규칙에서 대상이 아닌 소스로 사용할 수 있습니다. 로그온 감지 방법에는 두 가지가 있습니다.
  • GI(Guest Introspection)
  • 이벤트 로그 스크래핑

Guest Introspection을 사용한 차단 규칙 구성

  • ID 방화벽을 사용하도록 설정합니다. 보안 > 분산 방화벽 > 설정 > ID 방화벽 설정으로 이동합니다.
  • IDFW를 사용하도록 설정하면 특정 클러스터 또는 모든 독립형 호스트에서 사용하도록 설정하는 옵션이 있습니다. 이 예에서는 계산 클러스터에서 IDFW를 사용하도록 설정합니다.
  • 시스템 > ID 방화벽 AD로 이동하여 Active Directory 도메인을 추가합니다. AD의 사용자 또는 그룹은 방화벽 규칙의 소스 필드에 사용됩니다.
  • 인벤토리 > 그룹 으로 이동하여 그룹을 생성하고 그룹 추가를 클릭합니다. 이 예에서는 AD 그룹의 멤버와 함께 개발자라는 그룹을 생성합니다. 이 그룹은 방화벽 규칙의 소스 필드에서 사용됩니다.
  • 개발자 AD 그룹에 속하는 사용자의 SSH 트래픽을 차단하는 IDFW 정책을 생성합니다. 규칙 정의 : <개발자 AD 그룹의 임의 사용자>가 <TCP 22/SSH의 임의 대상>에 액세스하면 거부됩니다. 개발자 그룹을 소스로, 작업을 거부로 사용하여 방화벽 규칙을 생성합니다.
    규칙 이름 소스 대상 서비스 컨텍스트 프로파일 적용 대상 작업
    개발자를 위한 SSH 차단 개발자 임의 SSH DFW 거절

Guest Introspection을 사용한 허용 규칙 구성

  • ID 방화벽을 사용하도록 설정합니다. 보안 > 분산 방화벽 > 설정 > ID 방화벽 설정으로 이동합니다.
  • IDFW를 사용하도록 설정하면 특정 클러스터 또는 모든 독립형 호스트에서 사용하도록 설정하는 옵션이 있습니다. 이 예에서는 계산 클러스터에서 IDFW를 사용하도록 설정합니다.
  • 시스템 > ID 방화벽 AD로 이동하여 Active Directory 도메인을 추가합니다. AD의 사용자 또는 그룹은 방화벽 규칙의 소스 필드에 사용됩니다.
  • 인벤토리 > 그룹 으로 이동하여 그룹을 생성하고 그룹 추가를 클릭합니다. 이 예에서는 Active Directory 그룹 멤버가 있는 NSX라는 그룹을 생성합니다. 이 그룹은 방화벽 규칙의 소스 필드에서 사용됩니다.
  • VM 이름 조건에 따라 이름이 웹이라는 동적 보안 그룹을 생성합니다.
  • 두 가지 방화벽 규칙, 즉 사용자 그룹에서 대상으로의 트래픽을 허용하는 규칙과 다른 모든 사용자에서 동일한 대상으로의 트래픽을 차단하는 규칙을 생성합니다. 아래 예에서 IDFW 규칙이라는 첫 번째 규칙에는 그룹 NSX가 소스로 포함되고 사용자가 로그인하는 VM에 방화벽 규칙이 적용됩니다. IDFW 사용자 컨텍스트가 소스에서 처리되기 때문에 이 방화벽 규칙은 그룹 웹 멤버에게 적용되지 않습니다. 아래의 두 번째 방화벽 규칙은 다른 모든 소스의 사용자를 삭제합니다.
    규칙 이름 소스 대상 서비스 컨텍스트 프로파일 적용 대상 작업
    IDFW 규칙 NSX HTTPS 없음 user-vm-01 허용
    모든 항목 거부 임의 임의 임의 없음 user-vm-01 삭제

이벤트 로그 스크래핑을 통해 규칙 구성 허용/거부

  • 사전 요구 사항 - 물리적 워크로드를 먼저 NSX 전송 노드로 준비해야 합니다. 이 방법을 사용하면 물리적 서버를 NSX 인벤토리의 일부로 만들 수 있으며, 물리적 서버가 NSX 인벤토리에 속하게 되면 DFW의 "적용 대상" 필드에서 사용할 수 있습니다. "NSX 설치 가이드" 의 "물리적 서버를 NSX 전송 노드로 준비"를 참조하십시오.
  • ID 방화벽을 사용하도록 설정합니다. 보안 > 분산 방화벽 > 설정 > ID 방화벽 설정으로 이동합니다.
  • IDFW를 사용하도록 설정하면 특정 클러스터 또는 모든 독립형 호스트에서 사용하도록 설정하는 옵션이 있습니다. 이 예에서는 계산 클러스터에서 IDFW를 사용하도록 설정합니다.
  • 시스템 > ID 방화벽 AD로 이동하여 Active Directory 도메인을 추가합니다. IDFW Active Directory에 대해 이벤트 로그 서버를 구성합니다. AD의 사용자 또는 그룹은 방화벽 규칙의 소스 필드에 사용됩니다.
  • 보안 > 일반 설정 > ID 방화벽 이벤트 로그 소스 > 로 이동하여 이벤트 로그 스크래핑을 켭니다.이벤트 로그 스크래핑을 사용하는 경우 모든 디바이스에서 NTP가 올바르게 구성되었는지 확인합니다. 이벤트 로그 스크래핑을 통해 물리적 디바이스에 대해 IDFW를 사용하도록 설정할 수 있습니다. 가상 시스템에는 이벤트 로그 스크래핑을 사용할 수 있지만 Guest Introspection은 이벤트 로그 스크래핑보다 우선합니다.
  • 인벤토리 > 그룹 으로 이동하여 그룹을 생성하고 그룹 추가를 클릭합니다. 이 그룹은 방화벽 규칙의 소스 필드에서 사용됩니다.
  • VM 이름 조건에 따라 이름이 웹이라는 동적 보안 그룹을 생성합니다.
  • 두 가지 방화벽 규칙, 즉 사용자 그룹에서 대상으로의 트래픽을 허용하는 규칙과 다른 모든 사용자에서 동일한 대상으로의 트래픽을 차단하는 규칙을 생성합니다. 아래 예에서 IDFW 규칙이라는 첫 번째 규칙에는 그룹 NSX가 소스로 포함되고 사용자가 로그인하는 JS-Physical에 방화벽 규칙이 적용됩니다. IDFW 사용자 컨텍스트가 소스에서 처리되기 때문에 이 방화벽 규칙은 그룹 웹 멤버에게 적용되지 않습니다. 아래의 두 번째 방화벽 규칙은 다른 모든 소스의 사용자를 삭제합니다.
    규칙 이름 소스 대상 서비스 컨텍스트 프로파일 적용 대상 작업
    IDFW 규칙 NSX HTTPS 없음 JS- Physical 허용
    모든 항목 거부 임의 임의 없음 없음 JS- Physical 삭제