NSX Manager UI는 게이트웨이 방화벽에서 NSX 침입 감지/방지 및 NSX 멀웨어 방지에 대한 규칙을 추가하는 공통 규칙 테이블을 제공합니다.

규칙에 추가하는 보안 프로파일에 따라 게이트웨이 방화벽 규칙이 NSX IDS/IPS만 적용할지, NSX 멀웨어 방지만 적용할지 아니면 둘 다 적용할지 결정됩니다.

로드 밸런서로 구성된 Tier-1 게이트웨이에서만 [감지만] 또는 [감지 및 적용] 모드에서 NSX IDS/IPS 규칙을 구성하는 것은 지원되지 않습니다.

사전 요구 사항

NSX 멀웨어 방지:
  • 맬웨어 차단 프로파일 추가 항목을 참조하십시오.
  • Tier-1 게이트웨이에서 NSX 멀웨어 방지을 설정하거나 활성화합니다(보안 > IDS/IPS 및 맬웨어 차단 > 설정 > 공유).
NSX IDS/IPS:
  • NSX IDS/IPS 프로파일 추가 항목을 참조하십시오.
  • 게이트웨이에서 NSX IDS/IPS를 설정하거나 활성화합니다. (보안 > IDS/IPS 및 맬웨어 차단 > 설정 > 공유)

프로시저

  1. 브라우저의 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
  2. 보안 > IDS/IPS 및 맬웨어 차단 > 게이트웨이 규칙로 이동합니다.
  3. 특정 게이트웨이에 대한 정책을 추가하려면 게이트웨이별 규칙 탭에 있는지 확인하고 게이트웨이를 선택합니다. 여러 게이트웨이에 대한 정책을 추가하려면 모든 공유 규칙 탭에 있는지 확인합니다.
  4. 정책 추가를 클릭하여 규칙을 구성하기 위한 섹션을 생성합니다.
    1. 정책의 이름을 입력합니다.
    2. (선택 사항) 정책 행에서 톱니 바퀴 아이콘을 클릭하여 고급 정책 옵션을 구성합니다. 이러한 옵션은 NSX IDS/IPS에만 적용되며 NSX 멀웨어 방지에는 적용되지 않습니다.
      옵션 설명

      상태 저장

      상태 저장 방화벽은 활성 연결 상태를 모니터링하고 이 정보를 사용하여 방화벽을 통해 보낼 패킷을 결정합니다.

      잠김

      여러 사용자가 동일한 섹션을 편집하지 못하도록 정책을 잠글 수 있습니다. 섹션을 잠글 때는 주석을 포함해야 합니다.

    3. [게시]를 클릭하여 정책을 게시합니다.
  5. 규칙 추가를 클릭하고 규칙 설정을 구성합니다.
    1. 규칙의 이름을 입력합니다.
    2. 소스 열에서 편집 아이콘을 클릭하고 규칙의 소스로 사용할 그룹을 선택합니다. 소스를 지정하지 않으면 기본적으로 [임의]로 설정됩니다.
      그룹을 추가하는 방법에 대한 내용은 그룹 추가를 참조하십시오.
    3. 대상 열에서 편집 아이콘을 클릭하고 규칙의 대상으로 사용할 그룹을 선택합니다. 대상을 지정하지 않으면 기본적으로 [임의]로 설정됩니다.
    4. 서비스 열에서 편집 아이콘을 클릭하고 규칙에 사용할 서비스를 선택합니다. 서비스를 지정하지 않으면 기본적으로 [임의]로 설정됩니다.
      참고:
      • 편집 아이콘을 클릭하면 UI에 사용 가능한 모든 서비스의 목록이 표시됩니다. 그러나 NSX 멀웨어 방지은 현재 HTTP, HTTPS, FTP 및 SMB 서비스에 대해서만 파일 전송 감지를 지원합니다.
      • 게이트웨이 방화벽의 NSX 멀웨어 방지은 현재 HTTP를 사용하여 업로드된 파일의 추출 및 분석을 지원하지 않습니다. 그러나 FTP를 사용하여 파일을 업로드하면 악의적인 동작을 감지하기 위해 파일의 추출 및 분석이 지원됩니다.
    5. 보안 프로파일 열에서 편집 아이콘을 클릭하고 방화벽 규칙에 추가할 프로파일을 선택합니다.
      최대 2개의 보안 프로파일( NSX IDS/IPS 프로파일 1개, NSX 멀웨어 방지 프로파일 1개)을 선택할 수 있습니다.
    6. 특정 게이트웨이에 대한 규칙을 추가하는 경우 적용 대상 열에 해당 게이트웨이의 이름이 표시됩니다. Tier-0 게이트웨이의 경우 편집 아이콘을 클릭하여 추가 선택을 할 수 있습니다.
      Tier-1 게이트웨이의 경우 게이트웨이에 적용할 규칙만 지정할 수 있습니다. Tier-0 게이트웨이의 경우 게이트웨이, 개별 인터페이스 또는 인터페이스 그룹에 적용할 규칙을 지정할 수 있습니다.

      공유 규칙을 추가하는 경우 적용 대상 열에서 편집 아이콘을 클릭하고 규칙을 적용할 게이트웨이 및 인터페이스를 선택합니다.

      게이트웨이에 적용되는 규칙은 게이트웨이의 모든 업링크 인터페이스 및 서비스 인터페이스에 적용됩니다.

    7. 모드 열에서 옵션 중 하나를 선택합니다.
      옵션 설명
      감지만 규칙은 규칙에 연결된 프로파일에 따라 선택한 게이트웨이에서 악성 파일, 악성 트래픽 또는 둘 다를 감지합니다. 예방적 조치는 수행되지 않습니다.
      감지 및 방지 NSX 멀웨어 방지은 현재 이 모드를 지원하지 않습니다. 그러나 NSX IDS/IPS 프로파일이 있는 규칙은 선택한 게이트웨이에서 악의적인 트래픽을 감지하고 차단할 수 있습니다.
    8. (선택 사항) 톱니바퀴 아이콘을 클릭하여 다른 규칙 설정을 구성합니다. 이러한 설정은 NSX IDS/IPS에만 적용되며 NSX 멀웨어 방지에는 적용되지 않습니다.
      옵션 설명
      로깅 로깅이 기본으로 꺼져 있습니다. 로그는 ESXi 호스트의 /var/log/dfwpktlogs.log 파일에 저장됩니다.
      방향 대상 개체의 관점에서 트래픽 방향을 나타냅니다. IN에서는 개체로 들어오는 트래픽만 검사합니다. OUT에서는 개체에서 나가는 트래픽만 검사합니다. In-Out에서는 양방향 트래픽을 모두 검사합니다.
      초과 구독 초과 구독 시 과도한 트래픽을 삭제할지 아니면 IDS/IPS 엔진을 우회해야 하는지를 구성합니다. 여기에 입력한 값은 글로벌 설정에서 초과 구독에 대해 설정한 값을 재정의합니다.
      IP 프로토콜 IPv4, IPv6 또는 IPv4-IPv6 둘 모두를 기반으로 규칙을 적용합니다.
  6. (선택 사항) 4단계를 반복하여 동일한 정책에 규칙을 더 추가합니다.
  7. 게시를 클릭합니다. 그래프 아이콘을 클릭하여 게이트웨이 방화벽의 NSX IDS/IPS에 대한 규칙 통계를 볼 수 있습니다.
    규칙이 저장되고 NSX Edge로 푸시됩니다.

결과

Tier-1 게이트웨이에서 파일이 감지되면 파일 이벤트가 생성되어 맬웨어 차단 대시보드와 보안 개요 대시보드에 표시됩니다.

IDS/IPS 프로파일로 구성된 규칙의 경우 시스템이 악의적인 트래픽을 감지하면 침입 이벤트가 생성됩니다. IDS/IPS 대시보드 또는 보안 개요 대시보드에서 이벤트 세부 정보를 볼 수 있습니다.

NSX 멀웨어 방지을 사용하여 게이트웨이 방화벽 규칙을 구성하는 종단 간 예를 보려면 예: 게이트웨이 방화벽에서 NSX 멀웨어 방지에 대한 규칙 추가를 참조하십시오.

다음에 수행할 작업

맬웨어 차단 대시보드에서 파일 이벤트를 모니터링하고 분석합니다. 자세한 내용은 파일 이벤트 모니터링 항목을 참조하십시오.

IDS/IPS 대시보드에서 침입 이벤트를 모니터링하고 분석합니다. 자세한 내용은 IDS/IPS 이벤트 모니터링을 참조하십시오.