Tier-0 게이트웨이 방화벽에서 애플리케이션 방화벽 규칙을 생성하기 전에 BGP, OSPF 및 장애 감지 프로토콜 BFD와 같은 라우팅 프로토콜을 허용하는 게이트웨이 방화벽 규칙을 수동으로 추가하는 것이 중요합니다. 애플리케이션 방화벽 규칙을 변경할 때 라우팅 피어링 실패 감지 프로토콜이 영향을 받지 않도록 애플리케이션 규칙 앞에 이러한 규칙을 추가해야 합니다.
사전 요구 사항
게이트웨이 방화벽을 켜려면 보안 > 게이트웨이 방화벽 > 설정으로 이동합니다. 활성화할 Tier-1 또는 Tier-0 게이트웨이 방화벽에 대해 켜기를 클릭합니다.
프로시저
- 관리자 권한으로 NSX Manager에 로그인합니다.
- 보안 > 게이트웨이 방화벽을 선택합니다.
- 모든 공유 규칙 또는 게이트웨이별 규칙 탭을 선택합니다. 정책 추가를 클릭합니다. 규칙 범주에 대한 자세한 내용은 게이트웨이 방화벽 항목을 참조하십시오.
- 새 정책 섹션에 대한 이름을 입력합니다.
- 톱니 바퀴 아이콘을 클릭하여 다음과 같은 정책 설정을 구성합니다.
설정 설명 TCP Strict 기본적으로 게이트웨이 방화벽은 엄격한 TCP 모드에서 작동합니다. TCP Strict는 상태 저장 TCP 규칙에만 적용되며 게이트웨이 방화벽 정책 수준에서 사용하도록 설정됩니다. TCP Strict는 TCP 서비스가 지정되지 않은 기본 임의-임의 허용과 일치하는 패킷에는 적용되지 않습니다. 상태 저장 기본적으로 상태 저장은 켜져 있습니다. 상태 저장 방화벽은 활성 연결 상태를 모니터링하고 이 정보를 사용하여 방화벽을 통해 보낼 패킷을 결정합니다. 잠김 기본적으로 잠김은 꺼져 있습니다. 여러 사용자가 동일한 섹션을 변경하지 못하도록 정책을 잠글 수 있습니다. 섹션을 잠글 때는 주석을 포함해야 합니다. - 정책 섹션을 선택하고 규칙 추가를 클릭합니다.
- 규칙의 이름을 입력합니다.
- 소스 열에서 연필 아이콘을 클릭하고 그룹 또는 IP 주소를 선택합니다. IP 주소의 경우 IP 주소, CIDR 또는 IP 주소 범위를 입력할 수 있습니다. Active Directory 멤버가 포함된 그룹을 IDFW 규칙의 소스 상자로 사용할 수 있습니다. 그룹 추가 항목을 참조하십시오.
- 대상 열에서 연필 아이콘을 클릭하고 그룹 또는 IP 주소를 선택합니다. IP 주소의 경우 IP 주소, CIDR 또는 IP 주소 범위를 입력할 수 있습니다. 정의되지 않은 경우 대상은 임의와 일치합니다. 그룹 추가 항목을 참조하십시오.
- 서비스 열에서 연필 아이콘을 클릭하고 서비스를 선택합니다. 정의되지 않은 경우 서비스는 임의와 일치합니다. 서비스 추가 항목을 참조하십시오.
- Tier-1 게이트웨이의 경우 프로파일 열에서 연필 아이콘을 클릭하고 컨텍스트 프로파일 또는 L7 액세스 프로파일을 선택합니다. 또는 새 프로파일을 생성합니다. 프로파일 항목을 참조하십시오. 컨텍스트 프로파일에 대한 설계 지침은 계층 7 방화벽 규칙 워크플로 항목을 참조하십시오.
- 게이트웨이 방화벽 규칙에는 컨텍스트 프로파일 또는 L7 액세스 프로파일이 포함될 수 있지만 둘 다 포함될 수는 없습니다.
- 게이트웨이 방화벽 규칙은 특성 유형 도메인(FQDN) 이름이 있는 컨텍스트 프로파일을 지원하지 않습니다.
- 단일 게이트웨이 방화벽 규칙 내에서는 단일 L7 액세스 프로파일만 사용할 수 있습니다.
- Tier-0 게이트웨이의 경우 프로파일 열에서 연필 아이콘을 클릭하고 L7 액세스 프로파일을 선택합니다. L7 액세스 프로파일 항목을 참조하십시오. 컨텍스트 프로파일은 Tier-0 게이트웨이 방화벽 정책에서 지원되지 않습니다.
- 적용을 클릭합니다.
- 적용 대상 열에 대한 연필 아이콘을 클릭하여 규칙별 적용 범위를 변경합니다. 적용 대상 대화상자에서 범주 드롭다운 메뉴를 클릭하여 인터페이스, 레이블 및 VTI와 같은 개체 유형별로 필터링한 후 이러한 특정 개체를 선택합니다.
기본적으로 게이트웨이 방화벽 규칙은 선택한 게이트웨이의 사용 가능한 모든 업링크 및 서비스 인터페이스에 적용됩니다.
URL 필터링의 경우 적용 대상은 Tier-1 게이트웨이만 될 수 있습니다.
- 작업 열에서 작업을 선택합니다.
옵션 설명 허용 지정된 소스, 대상 및 프로토콜을 가진 모든 트래픽이 현재 방화벽 컨텍스트를 통과하도록 허용합니다. 규칙과 일치하고 허용된 패킷은 방화벽이 존재하지 않을 때와 동일하게 시스템을 이동합니다. L7 액세스 프로파일이 있는 규칙 작업은 허용이어야 합니다.
삭제 지정된 소스, 대상 및 프로토콜을 가진 패킷을 삭제합니다. 패킷 삭제는 소스 또는 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다. 거절 지정된 소스, 대상 및 프로토콜을 가진 패킷을 거절합니다. 패킷을 거부하면 연결할 수 없는 대상 메시지가 보낸 사람에게 전송됩니다. 프로토콜이 TCP인 경우 TCP RST 메시지가 전송됩니다. UDP, ICMP 및 기타 IP 연결에 대해 관리 목적으로 금지된 코드가 포함된 ICMP 메시지가 전송됩니다. 1번 시도된 후에 전송하는 애플리케이션에 연결을 설정할 수 없다는 알림이 제공됩니다.
- 상태 전환 버튼을 클릭하여 규칙을 활성화하거나 비활성화합니다.
- 톱니 바퀴 아이콘을 클릭하여 로깅, 방향, IP 프로토콜 및 주석을 설정합니다.
옵션 설명 로깅 로깅은 켜거나 끌 수 있습니다. 게이트웨이 방화벽 로그는 게이트웨이 가상 라우팅 및 전달, 게이트웨이 인터페이스 정보를 흐름 세부 정보와 함께 제공합니다. 게이트웨이 방화벽 로그는 /var/log 디렉토리의 firewallpkt.log 파일에서 찾을 수 있습니다.
방향 옵션은 수신, 송신 및 수신/송신입니다. 기본값은 수신/송신입니다. 이 필드는 대상 개체의 관점에서 트래픽 방향을 나타냅니다. 수신은 개체로 들어오는 트래픽만 확인하고, 송신은 개체에서 나가는 트래픽만 확인하며, 수신/송신은 양쪽 방향 트래픽 모두 확인함을 의미합니다. IP 프로토콜 옵션은 IPv4, IPv6 및 IPv4_IPv6입니다. 기본값은 IPv4_IPv6입니다. 로그 레이블 로그 레이블은 로깅이 켜져 있을 때 로그의 이름입니다. 최대 문자 수는 39자입니다. 주석 방화벽 규칙에 주석을 추가합니다. 참고: 방화벽 규칙의 흐름 통계를 보려면 그래프 아이콘을 클릭합니다. 바이트, 패킷 수 및 세션과 같은 정보를 볼 수 있습니다. - 게시를 클릭합니다. 한 번에 여러 규칙을 추가하고 함께 게시할 수 있습니다.
- 각 정책 섹션에서 정보 아이콘을 클릭하여 Edge 노드로 푸시된 Edge 방화벽 규칙의 현재 상태를 확인합니다. 규칙이 Edge 노드로 푸시되었을 때 생성된 경보도 표시됩니다.
- Edge 노드에 적용되는 게이트웨이 방화벽 규칙의 통합 상태를 보려면 API 호출을 합니다.
GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true