방화벽은 수신 및 송신 네트워크 트래픽을 모니터링하고, 정의된 보안 규칙 집합을 기준으로 특정 트래픽을 허용할지 또는 차단할지를 결정하는 네트워크 보안 디바이스입니다. SD-WAN Orchestrator에서는 프로필 및 Edge에 대한 상태 비저장 및 상태 저장 방화벽을 구성할 수 있습니다.

방화벽에 대한 자세한 내용은 방화벽 구성를 참조하십시오.

새 Orchestrator UI를 사용하여 방화벽을 구성하려면:
  1. 엔터프라이즈 포털에서 창 맨 위에 있는 새 Orchestrator UI 열기(Open New Orchestrator UI) 옵션을 클릭합니다.
  2. 팝업 창에서 새 Orchestrator UI 시작(Launch New Orchestrator UI)을 클릭합니다.
  3. UI가 모니터링 및 구성 옵션을 표시하는 새 탭에서 열립니다.
  4. 새 UI에서 구성(Configure) > 프로필(Profiles)을 클릭합니다. 프로필(Profiles) 페이지에 기존 프로필이 표시됩니다.
  5. 프로필을 구성하려면 프로필에 대한 링크를 클릭하거나 디바이스(Device) 열에서 보기(View) 링크를 클릭합니다. 구성 옵션은 디바이스(Device) 탭에 표시됩니다.
  6. 방화벽(Firewall) 탭을 클릭합니다.

    프로필(Profiles) 페이지에서 프로필의 방화벽(Firewall) 열에 있는 보기(View)를 클릭하여 방화벽(Firewall) 페이지로 이동합니다.

  7. 방화벽(Firewall) 탭에는 다음이 표시됩니다.
    • Edge 액세스(Edge Access) - Edge 액세스를 위한 프로필을 구성할 수 있습니다. 방화벽(Firewall) 설정에서 지원 액세스(Support access), 콘솔 액세스(Console access), USB 포트 액세스(USB port access), SNMP 액세스(SNMP access) 및 로컬 웹 UI 액세스(Local Web UI access)에 대한 옵션을 선택하여 Edge를 좀 더 안전하게 만들어야 합니다. 이렇게 하면 악의적인 사용자가 Edge에 액세스하지 못합니다. 기본적으로 [지원 액세스(Support access)], [콘솔 액세스(Console access)], [SNMP 액세스(SNMP access)] 및 [로컬 웹 UI 액세스(local web UI access)]는 보안을 위해 비활성화되어 있습니다. 자세한 내용은 Edge 액세스 구성을 참조하십시오.
    • 방화벽 상태(Firewall Status) - 방화벽 규칙을 켜거나 끄고, 방화벽 설정을 구성하고, 프로필과 연결된 모든 Edge에 대해 바인딩되지 않은 ACL을 구성할 수 있습니다.
      참고: 방화벽 상태(Firewall Status)를 [꺼짐(OFF)]으로 설정하여 프로필의 방화벽 기능을 비활성화할 수 있습니다.
    • Syslog 전달(Syslog Forwarding) - 기본적으로 [Syslog 전달(Syslog Forwarding)] 기능은 엔터프라이즈에 대해 비활성화됩니다. 엔터프라이즈 SD-WAN Edge에서 시작되는 SD-WAN Orchestrator 바인딩 이벤트 및 방화벽 로그를 하나 이상의 중앙 집중식 원격 Syslog 수집기(서버)에 수집하려면 엔터프라이즈 사용자가 엔터프라이즈 수준에서 이 기능을 활성화합니다. SD-WAN Orchestrator에서 세그먼트별로 Syslog 수집기 세부 정보를 구성하려면 프로필에 대한 Syslog 설정 구성을 참조하십시오.
      참고: IPv4 기반 Syslog 서버에서 IPv4 및 IPv6 방화벽 로깅 세부 정보를 모두 볼 수 있습니다.
    • 방화벽 규칙(Firewall Rules) - 기존의 미리 정의된 방화벽 규칙이 표시됩니다. + 새 규칙(+ NEW RULE)을 클릭하여 새 방화벽 규칙을 생성할 수 있습니다. 자세한 내용은 새 Orchestrator UI를 통해 방화벽 규칙 구성을 참조하십시오. 기존 방화벽 규칙을 삭제하려면 규칙 앞에 있는 확인란을 선택하고 삭제(DELETE)를 클릭합니다. 방화벽 규칙을 복제하려면 규칙을 선택하고 복제(CLONE)를 클릭합니다.
    • 상태 저장 방화벽(Stateful Firewall) - 기본적으로 상태 저장 방화벽(Stateful Firewall) 기능은 엔터프라이즈에 대해 활성화됩니다. 엔터프라이즈의 상태 저장 방화벽 기능을 비활성화하려면 수퍼유저 권한이 있는 운영자에게 문의하십시오. 자세한 내용은 상태 저장 방화벽 설정 구성을 참조하십시오.
    • 네트워크 및 플러드 보호(Network & Flood Protection) - 엔터프라이즈 네트워크에서 모든 연결 시도를 보호하려는 경우 VMware SD-WAN Orchestrator에서는 다양한 유형의 공격으로부터 보호하기 위해 프로필 및 Edge 수준에서 네트워크 및 플러드 보호 설정을 구성할 수 있습니다. 자세한 내용은 네트워크 및 플러드 보호 설정 구성을 참조하십시오.
기본적으로 모든 Edge는 연결된 프로필에서 방화벽 규칙, 상태 저장 방화벽 설정, 네트워크 및 플러드 보호 설정, Edge 액세스 구성을 상속합니다. Edge 구성(Edge Configuration) 대화상자의 방화벽(Firewall) 탭에서 프로필의 규칙(Rule From Profile) 영역에서 상속된 모든 방화벽 규칙을 볼 수 있습니다. 필요한 경우 아래 단계에 따라 Edge 수준에서 프로필 방화벽 규칙 및 Edge 액세스 구성을 재정의할 수도 있습니다.
  1. 새 UI에서 구성(Configure) > Edge(Edges)를 클릭합니다.
  2. 상속된 방화벽 설정을 재정의할 Edge를 선택하고 방화벽(Firewall) 탭을 클릭합니다.
  3. Edge에 대해 상속된 프로필 규칙 및 방화벽 설정을 수정하려면 재정의(Override) 확인란을 선택합니다.
    참고: 재정의 규칙은 [Edge 재정의(Edge Overrides)] 영역에 나타납니다. Edge 재정의 규칙은 Edge의 상속된 프로필 규칙보다 우선합니다. 모든 프로필 방화벽 규칙과 동일한 모든 방화벽 재정의 일치 값이 해당 프로필 규칙을 재정의합니다.
  4. Edge 수준에서 추가 설정(Additional Settings) > 인바운드 ACL(Inbound ACLs)로 이동하여 포트 전달 및 1:1 NAT IPv4 또는 IPv6 규칙을 개별적으로 구성할 수 있습니다. 포트 전달 및 1:1 NAT 규칙 구성에 대한 자세한 내용은 Edge용 방화벽 구성을 참조하십시오.
    참고: IPv6 포트 전달 및 1:1 NAT 규칙을 구성할 때 글로벌 또는 유니캐스트 IP 주소만 입력할 수 있고 링크 로컬 주소는 입력할 수 없습니다.