SD-WAN Orchestrator을 사용하여 인바운드 및 아웃바운드 트래픽을 허용, 삭제, 거부 또는 건너뛸 수 있도록 프로필 및 Edge 수준에서 방화벽 규칙을 구성할 수 있습니다. 상태 저장 방화벽 기능을 사용하도록 설정하면 인바운드 및 아웃바운드 트래픽을 모두 필터링하기 위해 방화벽 규칙이 검증됩니다. 상태 비저장 방화벽을 사용하면 아웃바운드 트래픽만 필터링하도록 제어할 수 있습니다. 방화벽 규칙은 IP 주소, 포트, VLAN ID, 인터페이스, MAC 주소, 도메인 이름, 프로토콜, 개체 그룹, 애플리케이션 및 DSCP 태그와 같은 매개 변수와 일치합니다. 데이터 패킷이 일치 조건에 맞으면 연결된 작업이 수행됩니다. 패킷이 매개 변수와 일치하지 않으면 해당 패킷에 대해 기본 작업이 수행됩니다.
프로필 수준에서 상태 저장 방화벽이 설정된 방화벽 규칙을 구성하려면 이 절차의 단계를 수행합니다.
프로시저
- SD-WAN Orchestrator에서 구성(Configure) > 프로필(Profiles) > 방화벽(Firewall)으로 이동합니다.
- 선택한 프로필에 대해 상태 저장 방화벽(Stateful Firewall)을 사용하도록 설정합니다.
- 방화벽 규칙(Firewall Rules) 영역에서 새 규칙(New Rule)을 클릭합니다. 규칙 구성(Configure Rule) 대화상자가 나타납니다.
- 규칙 이름(Rule Name) 상자에 규칙의 고유한 이름을 입력합니다.
- 일치(Match) 영역에서 규칙에 대한 일치 조건을 구성합니다.
설정 |
설명 |
소스(Source) |
패킷의 소스를 지정할 수 있습니다. 다음 옵션 중 하나를 선택합니다.
- 임의(Any) - 기본적으로 모든 소스 주소를 허용합니다.
- 개체 그룹(Object Group) - 주소 그룹 및 포트 그룹의 조합을 선택할 수 있습니다. 자세한 내용은 개체 그룹 및 개체 그룹을 사용하여 방화벽 규칙 구성을 참조하십시오.
참고: 선택한 주소 그룹에 도메인 이름이 포함되어 있으면 소스와 일치하는 경우 해당 주소가 무시됩니다.
- 정의(Define) - 특정 VLAN, 인터페이스, IP 주소, MAC 주소 또는 포트에 대한 소스 트래픽을 정의할 수 있습니다.
IP 주소에 대해 다음 세 가지 옵션 중 하나를 선택합니다.
- CIDR 접두사(CIDR prefix) - 네트워크가 CIDR 값(예:
172.10.0.0 /16 )으로 정의되도록 하려면 이 옵션을 선택합니다.
- 서브넷 마스크(Subnet mask) - 서브넷 마스크(예:
172.10.0.0 255.255.0.0 )를 기준으로 네트워크를 정의하려면 이 옵션을 선택합니다.
- 와일드카드 마스크(Wildcard mask) - 정책 적용의 범위를 일치하는 호스트 IP 주소 값을 공유하는 여러 IP 서브넷에 걸쳐 있는 디바이스 집합으로 좁히려면 이 옵션을 선택합니다. 와일드카드 마스크는 역 서브넷 마스크를 기준으로 하는 IP 또는 IP 주소 집합과 일치합니다. 마스크의 이진 값에 있는 '0'은 값이 고정되었음을 의미하고, 마스크의 이진 값에 있는 '1'은 값이 와일드카드(1 또는 0일 수 있음)임을 의미합니다. 예를 들어 IP 주소가 172.0.0인 와일드카드 마스크 0.0.0.255(해당 이진 = 00000000.00000000.00000000.11111111)에서 처음 3개의 8진수는 고정 값이고 마지막 8진수는 변수 값입니다.
참고: 인터페이스를 선택할 수 없는 경우에는 인터페이스가 사용하지 않도록 설정되었거나 이 세그먼트에 할당되지 않은 것입니다.
|
대상(Destination) |
패킷의 대상을 지정할 수 있습니다. 다음 옵션 중 하나를 선택합니다.
|
애플리케이션(Application) |
다음 옵션 중 하나를 선택합니다.
- 임의(Any) - 기본적으로 모든 애플리케이션에 방화벽 규칙을 적용합니다.
- 정의(Define) - 특정 방화벽 규칙을 적용할 애플리케이션 및 DSCP(Differentiated Services Code Point) 플래그를 선택할 수 있습니다.
참고: 애플리케이션과 일치하는 방화벽 규칙을 생성할 때 방화벽은 DPI(Deep Packet Inspection) 엔진에 따라 특정 흐름이 속한 애플리케이션을 식별합니다. 일반적으로 DPI는 첫 번째 패킷을 기준으로 애플리케이션을 확인할 수 없게 됩니다. DPI 엔진에는 일반적으로 흐름에서 애플리케이션을 식별하기 위해 처음 5~10개 패킷이 필요하지만 방화벽은 첫 번째 패킷에서 흐름을 분류하고 전달해야 합니다. 이로 인해 첫 번째 흐름이 방화벽 목록에서 좀 더 일반화된 규칙과 일치할 수 있습니다. 애플리케이션을 올바르게 식별하면 동일한 튜플과 일치하는 향후 흐름이 자동으로 재분류되고 올바른 규칙에 도달합니다.
|
- 작업(Action) 영역에서 규칙에 대한 작업을 구성합니다.
설정 |
설명 |
방화벽 |
다음 작업 중에서 규칙 조건이 충족될 때 해당 방화벽에서 수행해야 하는 작업을 선택합니다.
- 허용(Allow) - 기본적으로 데이터 패킷을 허용합니다.
- 삭제(Drop) - 소스에 알림을 보내지 않고 데이터 패킷을 자동으로 삭제합니다.
- 거부(Reject) - 패킷을 삭제하고 명시적인 재설정 메시지를 전송하여 소스에 알립니다.
- 건너뛰기(Skip) - 조회 중에 규칙을 건너뛰고 다음 규칙을 처리합니다. 하지만 이 규칙은 SD-WAN을 배포할 때 사용됩니다.
|
로그 |
이 규칙이 트리거될 때 로그 항목을 생성하려면 이 확인란을 선택합니다. |
- 방화벽 규칙을 생성하거나 업데이트하는 동안 감사 의견(Audit Comment) 텍스트 상자를 사용하여 감사 의견을 추가할 수 있습니다. 최대 50자를 사용할 수 있으며 동일한 규칙에 대해 원하는 수의 의견을 추가할 수 있습니다.
- 감사 기록(Audit History) 버튼을 클릭하여 규칙에 대해 추가된 모든 감사 의견을 볼 수 있습니다. 검색(Search) 필드에 검색 텍스트를 입력하여 특정 의견을 검색할 수 있습니다.
- 확인(OK)을 클릭합니다.
결과
선택한 프로필에 대한 방화벽 규칙이 생성되고 프로필 방화벽(Profile Firewall) 페이지의 방화벽 규칙(Firewall Rules) 영역 아래에 나타납니다.