모든 Edge는 연결된 프로필에서 방화벽 규칙 및 Edge 액세스 구성을 상속합니다. Edge 구성(Edge Configuration) 대화상자의 방화벽(Firewall) 탭에서 프로필의 규칙(Rule From Profile) 영역에서 상속된 모든 방화벽 규칙을 볼 수 있습니다. 필요한 경우 Edge 수준에서 프로필 방화벽 규칙 및 Edge 액세스 구성을 재정의할 수도 있습니다.
엔터프라이즈 관리자는 이 페이지의 지침에 따라 각 Edge에 대해 포트 전달 및 1:1 NAT 방화벽 규칙을 개별적으로 구성할 수 있습니다.
기본적으로 포트 포워딩 및 1:1 NAT 방화벽 규칙이 구성되어 있지 않으면 모든 인바운드 트래픽이 차단됩니다. 외부 IP는 항상 WAN IP 서브넷의 WAN IP 또는 IP 주소입니다.
포트 전달 및 1:1 NAT 방화벽 규칙
포트 전달 및 1:1 NAT 방화벽 규칙을 지정하면 인터넷 클라이언트가 Edge LAN 인터페이스에 연결된 서버에 액세스할 수 있게 됩니다. 포트 전달 규칙 또는 1:1 NAT(네트워크 주소 변환) 규칙을 통해 액세스 권한을 지정할 수 있습니다.
포트 전달 규칙
포트 전달 규칙을 사용하여 특정 WAN 포트에서 로컬 서브넷 내의 디바이스(LAN IP/LAN 포트)로 트래픽을 리디렉션하도록 규칙을 구성할 수 있습니다. 선택적으로 IP 또는 서브넷을 기준으로 인바운드 트래픽을 제한할 수도 있습니다. 포트 전달 규칙은 WAN IP의 동일한 서브넷에 있는 외부 IP로 구성할 수 있습니다. 또한 ISP가 서브넷에 대한 트래픽을 SD-WAN Edge로 라우팅하는 경우 WAN 인터페이스 주소와는 다른 서브넷에 있는 외부 IP 주소를 변환할 수도 있습니다.
포트 전달 규칙을 구성하려면 다음 세부 정보를 제공합니다.
- 이름(Name) 텍스트 상자에 규칙의 이름(선택 사항)을 입력합니다.
- 프로토콜(Protocol) 드롭다운 메뉴에서 TCP 또는 UDP를 포트 전달용 프로토콜로 선택합니다.
- 인터페이스(Interface) 드롭다운 메뉴에서 인바운드 트래픽에 대한 인터페이스를 선택합니다.
- 외부 IP(Outside IP) 텍스트 상자에 외부 네트워크에서 호스트(애플리케이션)에 액세스할 수 있는 IP 주소를 입력합니다.
- WAN 포트(WAN Ports) 텍스트 상자에서 하나의 WAN 포트 또는 포트 범위를 대시(-)로 구분하여 입력합니다(예: 20-25).
- LAN IP 및 LAN 포트(LAN Port) 텍스트 상자에 요청이 전달될 LAN의 IP 주소 및 포트 번호를 입력합니다.
- 세그먼트(Segment) 드롭다운 메뉴에서 LAN IP가 속할 세그먼트를 선택합니다.
- 원격 IP/서브넷(Remote IP/subnet) 텍스트 상자에서 내부 서버로 전달할 인바운드 트래픽의 IP 주소를 지정합니다. IP 주소를 지정하지 않으면 모든 트래픽이 허용됩니다.
다음 그림은 포트 전달 구성을 보여 줍니다.
1:1 NAT 설정
이 주소는 SD-WAN Edge에서 지원되는 외부 IP 주소를 Edge LAN 인터페이스에 연결된 서버(예: 웹 서버 또는 메일 서버)를 매핑하는 데 사용됩니다. 또한 ISP가 서브넷에 대한 트래픽을 SD-WAN Edge로 라우팅하는 경우 WAN 인터페이스 주소와는 다른 서브넷에 있는 외부 IP 주소를 변환할 수도 있습니다. 각 매핑은 특정 WAN 인터페이스에 대한 방화벽 외부에 있는 1개의 IP 주소와 방화벽 내부에 있는 1개의 LAN IP 주소 사이에 있습니다. 각 매핑 내에서 내부 IP 주소로 전달될 포트를 지정할 수 있습니다. 오른쪽의 '+' 아이콘을 사용하여 1:1 NAT 설정을 추가할 수 있습니다.
1:1 NAT 규칙을 구성하려면 다음 세부 정보를 제공합니다.
- 이름(Name) 텍스트 상자에 규칙의 이름을 입력합니다.
- 외부 IP(Outside IP) 텍스트 상자에 외부 네트워크에서 호스트에 액세스할 수 있는 IP 주소를 입력합니다.
- 인터페이스(Interface) 드롭다운 메뉴에서 외부 IP 주소가 바인딩될 WAN 인터페이스를 선택합니다.
- 내부(LAN) IP(Inside (LAN) IP) 텍스트 상자에 호스트의 실제 IP(LAN) 주소를 입력합니다.
- 세그먼트(Segment) 드롭다운 메뉴에서 LAN IP가 속할 세그먼트를 선택합니다.
- 인터넷에서 Edge로 들어오는 아웃바운드 트래픽이 Edge 클라이언트로 나가서 방화벽 연결을 통과하도록 허용하려면 아웃바운드 트래픽(Outbound Traffic) 확인란을 선택합니다.
- 해당 필드에 매핑의 허용된 트래픽 소스(Allowed Traffic Source)(프로토콜(Protocol), 포트(Ports), 원격 IP/서브넷(Remote IP/Subnet)) 세부 정보를 입력합니다.
다음 그림은 1:1 NAT 구성을 보여 줍니다.
Edge 재정의 구성
필요한 경우 Edge 수준에서 상속된 프로필 방화벽 규칙을 재정의할 수 있습니다. Edge 수준에서 방화벽 규칙을 재정의하려면 방화벽 규칙(Firewall Rules)에서 새 규칙(New Rule)을 클릭하고 방화벽 규칙 구성의 단계를 따르십시오. 재정의 규칙은 Edge 재정의(Edge Overrides) 영역에 나타납니다. Edge 재정의 규칙은 Edge의 상속된 프로필 규칙보다 우선합니다. 모든 프로필 방화벽 규칙과 동일한 모든 방화벽 재정의 일치 값이 해당 프로필 규칙을 재정의합니다.
상태 저장 방화벽 설정 재정의
필요한 경우 Edge 수준에서 상태 저장 방화벽 설정(Stateful Firewall Settings) 영역에서 Edge 재정의 사용(Enable Edge Override) 확인란을 선택하여 상태 저장 방화벽 설정을 재정의할 수 있습니다. 상태 저장 방화벽 설정에 대한 자세한 내용은 상태 저장 방화벽 설정 구성을 참조하십시오.
네트워크 및 플러드 보호 설정 재정의
필요한 경우 Edge 수준에서 네트워크 및 플러드 보호 설정(Network "and" Flood Protection Settings) 영역에서 Edge 재정의 사용(Enable Edge Override) 확인란을 선택하여 네트워크 및 플러드 보호 설정을 재정의할 수 있습니다. 네트워크 및 플러드 보호 설정에 대한 자세한 내용은 네트워크 및 플러드 보호 설정 구성을 참조하십시오.
Edge 액세스 구성 설정 재정의
필요한 경우 Edge 수준에서 Edge 액세스(Edge Access) 영역에서 Edge 재정의 사용(Enable Edge Override) 확인란을 선택하여 Edge 액세스 구성을 재정의할 수 있습니다. Edge 액세스 구성에 대한 자세한 내용은 Edge 액세스 구성을 참조하십시오.
관련 링크(Related Links)