방화벽은 수신 및 송신 네트워크 트래픽을 모니터링하고, 정의된 보안 규칙 집합을 기준으로 특정 트래픽을 허용할지 또는 차단할지를 결정하는 네트워크 보안 디바이스입니다. SD-WAN Orchestrator에서는 프로필 및 Edge에 대한 상태 비저장 및 상태 저장 방화벽을 구성할 수 있습니다.
방화벽에 대한 자세한 내용은 방화벽 구성를 참조하십시오.
새 Orchestrator UI를 사용하여 방화벽을 구성하려면:
- 엔터프라이즈 포털에서 창 맨 위에 있는 새 Orchestrator UI 열기(Open New Orchestrator UI) 옵션을 클릭합니다.
- 팝업 창에서 새 Orchestrator UI 시작(Launch New Orchestrator UI)을 클릭합니다.
- UI가 모니터링 및 구성 옵션을 표시하는 새 탭에서 열립니다.
- 새 UI에서 프로필(Profiles) 페이지에 기존 프로필이 표시됩니다. 을 클릭합니다.
- 프로필을 구성하려면 프로필에 대한 링크를 클릭하거나 디바이스(Device) 열에서 보기(View) 링크를 클릭합니다. 구성 옵션은 디바이스(Device) 탭에 표시됩니다.
- 방화벽(Firewall) 탭을 클릭합니다.
프로필(Profiles) 페이지에서 프로필의 방화벽(Firewall) 열에 있는 보기(View)를 클릭하여 방화벽(Firewall) 페이지로 이동합니다.
- 방화벽(Firewall) 탭에는 다음이 표시됩니다.
- Edge 액세스(Edge Access) - Edge 액세스를 위한 프로필을 구성할 수 있습니다. 방화벽(Firewall) 설정에서 지원 액세스(Support access), 콘솔 액세스(Console access), USB 포트 액세스(USB port access), SNMP 액세스(SNMP access) 및 로컬 웹 UI 액세스(Local Web UI access)에 대한 옵션을 선택하여 Edge를 좀 더 안전하게 만들어야 합니다. 이렇게 하면 악의적인 사용자가 Edge에 액세스하지 못합니다. 기본적으로 [지원 액세스(Support access)], [콘솔 액세스(Console access)], [SNMP 액세스(SNMP access)] 및 [로컬 웹 UI 액세스(local web UI access)]는 보안을 위해 비활성화되어 있습니다. 자세한 내용은 Edge 액세스 구성을 참조하십시오.
- 방화벽 상태(Firewall Status) - 방화벽 규칙을 켜거나 끄고, 방화벽 설정을 구성하고, 프로필과 연결된 모든 Edge에 대해 바인딩되지 않은 ACL을 구성할 수 있습니다.
참고: 방화벽 상태(Firewall Status)를 [꺼짐(OFF)]으로 설정하여 프로필의 방화벽 기능을 비활성화할 수 있습니다.
- Syslog 전달(Syslog Forwarding) - 기본적으로 [Syslog 전달(Syslog Forwarding)] 기능은 엔터프라이즈에 대해 비활성화됩니다. 엔터프라이즈 SD-WAN Edge에서 시작되는 SD-WAN Orchestrator 바인딩 이벤트 및 방화벽 로그를 하나 이상의 중앙 집중식 원격 Syslog 수집기(서버)에 수집하려면 엔터프라이즈 사용자가 엔터프라이즈 수준에서 이 기능을 활성화합니다. SD-WAN Orchestrator에서 세그먼트별로 Syslog 수집기 세부 정보를 구성하려면 프로필에 대한 Syslog 설정 구성을 참조하십시오.
참고: IPv4 기반 Syslog 서버에서 IPv4 및 IPv6 방화벽 로깅 세부 정보를 모두 볼 수 있습니다.
- 방화벽 규칙(Firewall Rules) - 기존의 미리 정의된 방화벽 규칙이 표시됩니다. + 새 규칙(+ NEW RULE)을 클릭하여 새 방화벽 규칙을 생성할 수 있습니다. 자세한 내용은 새 Orchestrator UI를 통해 방화벽 규칙 구성을 참조하십시오. 기존 방화벽 규칙을 삭제하려면 규칙 앞에 있는 확인란을 선택하고 삭제(DELETE)를 클릭합니다. 방화벽 규칙을 복제하려면 규칙을 선택하고 복제(CLONE)를 클릭합니다.
- 상태 저장 방화벽(Stateful Firewall) - 기본적으로 상태 저장 방화벽(Stateful Firewall) 기능은 엔터프라이즈에 대해 활성화됩니다. 엔터프라이즈의 상태 저장 방화벽 기능을 비활성화하려면 수퍼유저 권한이 있는 운영자에게 문의하십시오. 자세한 내용은 상태 저장 방화벽 설정 구성을 참조하십시오.
- 네트워크 및 플러드 보호(Network & Flood Protection) - 엔터프라이즈 네트워크에서 모든 연결 시도를 보호하려는 경우 VMware SD-WAN Orchestrator에서는 다양한 유형의 공격으로부터 보호하기 위해 프로필 및 Edge 수준에서 네트워크 및 플러드 보호 설정을 구성할 수 있습니다. 자세한 내용은 네트워크 및 플러드 보호 설정 구성을 참조하십시오.
기본적으로 모든 Edge는 연결된 프로필에서 방화벽 규칙, 상태 저장 방화벽 설정, 네트워크 및 플러드 보호 설정, Edge 액세스 구성을 상속합니다.
Edge 구성(Edge Configuration) 대화상자의
방화벽(Firewall) 탭에서
프로필의 규칙(Rule From Profile) 영역에서 상속된 모든 방화벽 규칙을 볼 수 있습니다. 필요한 경우 아래 단계에 따라 Edge 수준에서 프로필 방화벽 규칙 및 Edge 액세스 구성을 재정의할 수도 있습니다.
- 새 UI에서 를 클릭합니다.
- 상속된 방화벽 설정을 재정의할 Edge를 선택하고 방화벽(Firewall) 탭을 클릭합니다.
- Edge에 대해 상속된 프로필 규칙 및 방화벽 설정을 수정하려면 재정의(Override) 확인란을 선택합니다.
참고: 재정의 규칙은 [Edge 재정의(Edge Overrides)] 영역에 나타납니다. Edge 재정의 규칙은 Edge의 상속된 프로필 규칙보다 우선합니다. 모든 프로필 방화벽 규칙과 동일한 모든 방화벽 재정의 일치 값이 해당 프로필 규칙을 재정의합니다.
- Edge 수준에서 추가 설정(Additional Settings) > 인바운드 ACL(Inbound ACLs)로 이동하여 포트 전달 및 1:1 NAT IPv4 또는 IPv6 규칙을 개별적으로 구성할 수 있습니다. 포트 전달 및 1:1 NAT 규칙 구성에 대한 자세한 내용은 Edge용 방화벽 구성을 참조하십시오.
참고: IPv6 포트 전달 및 1:1 NAT 규칙을 구성할 때 글로벌 또는 유니캐스트 IP 주소만 입력할 수 있고 링크 로컬 주소는 입력할 수 없습니다.