방화벽은 수신 및 송신 네트워크 트래픽을 모니터링하고, 정의된 보안 규칙 집합을 기준으로 특정 트래픽을 허용할지 또는 차단할지를 결정하는 네트워크 보안 디바이스입니다. SD-WAN Orchestrator에서는 프로필 및 Edge에 대한 상태 비저장 및 상태 저장 방화벽을 구성할 수 있습니다.
상태 저장 방화벽은 방화벽을 통해 들어오는 모든 네트워크 연결의 작동 상태 및 특성을 모니터링하고 이 정보를 사용하여 방화벽을 통과하도록 허용할 네트워크 패킷을 결정합니다. 상태 저장 방화벽은 상태 테이블을 구축하고 이 테이블을 사용하여 현재 상태 테이블에 나열된 연결의 트래픽만 반환하도록 허용합니다. 상태 테이블에서 연결이 제거되면 이 연결의 외부 디바이스에서 전송되는 트래픽은 허용되지 않습니다.
상태 저장 방화벽 기능은 다음과 같은 이점을 제공합니다.
- DoS(서비스 거부) 및 스푸핑과 같은 공격 방지
- 보다 강력한 로깅
- 향상된 네트워크 보안
상태 저장 방화벽과 상태 비저장 방화벽의 주요 차이점은 다음과 같습니다.
- 일치하는 항목을 찾을 때는 방향이 고려됩니다. 예를 들어 VLAN 1의 호스트가 VLAN 2의 호스트와의 TCP 세션을 시작하도록 허용하지만, 그 반대의 경우는 거부할 수 있습니다. 상태 비저장 방화벽은 이러한 종류의 세분화된 제어를 허용하지 않는 단순 ACL(액세스 목록)로 변환됩니다.
- 상태 저장 방화벽은 세션을 인식합니다. 예를 들어 TCP의 3방향 핸드셰이크를 사용하는 경우 상태 저장 방화벽은 SYN ACK 또는 ACK가 새 세션을 시작하는 것을 허용하지 않습니다. SYN으로 시작되어야 하며 TCP 세션의 다른 모든 패킷도 프로토콜을 올바르게 준수해야 합니다. 그러지 않으면 방화벽에서 해당 패킷을 삭제합니다. 상태 비저장 방화벽에는 세션 개념이 없으며 개별 패킷별로 필터링합니다.
- 상태 저장 방화벽은 대칭 라우팅을 적용합니다. 예를 들어 VMware 네트워크에서는 트래픽이 하나의 허브를 통해 네트워크로 들어가고 다른 허브를 통해 나오는 비대칭 라우팅이 발생하는 것이 일반적입니다. 타사 라우팅을 활용하면 패킷이 계속 대상에 도달할 수 있습니다. 상태 저장 방화벽을 사용하면 이러한 트래픽이 삭제됩니다.
- 상태 저장 방화벽 규칙은 구성 변경 후 기존 흐름에 따라 다시 검사됩니다. 따라서 기존 흐름이 이미 수락되었으며 지금 해당 패킷을 삭제하도록 상태 저장 방화벽을 구성하면 방화벽에서 새 규칙 집합을 기준으로 흐름을 다시 확인한 다음, 삭제합니다. "허용"이 "삭제" 또는 "거부"로 변경되는 시나리오의 경우 기존 흐름의 시간이 초과하고 세션 닫기에 대한 방화벽 로그가 생성됩니다.
상태 저장 방화벽을 사용하기 위한 요구 사항은 다음과 같습니다.
- VMware SD-WAN Edge는 릴리스 3.4.0 이상을 사용해야 합니다.
- 기본적으로 상태 저장 방화벽(Stateful Firewall) 기능은 3.4.0 이상 릴리스를 사용하여 SD-WAN Orchestrator의 새 고객이 사용할 수 있게 활성화됩니다. 3.x Orchestrator에서 생성된 고객은 이 기능을 활성화하기 위해 파트너의 지원 또는 VMware SD-WAN 지원이 필요합니다.
- SD-WAN Orchestrator를 사용하여 엔터프라이즈 사용자는 해당 방화벽(Firewall) 페이지의 프로필 및 Edge 수준에서 상태 저장 방화벽 기능을 활성화하거나 비활성화할 수 있습니다. 엔터프라이즈의 상태 저장 방화벽 기능을 비활성화하려면 수퍼유저 권한이 있는 운영자에게 문의하십시오.
참고: 상태 저장 방화벽 활성화 Edge에서는 비대칭 라우팅이 지원되지 않습니다.
프로필 및 Edge 수준에서 방화벽 설정을 구성하려면 다음을 참조하십시오.
상태 저장 방화벽 로그
상태 저장 방화벽을 활성화하면 방화벽 로그에 더 많은 정보를 보고할 수 있습니다. 방화벽 로그에는 시간, 세그먼트, Edge, 작업, 인터페이스, 프로토콜, 소스 IP, 소스 포트, 대상 IP, 대상 포트, 규칙, 수신/송신된 바이트 및 기간과 같은 필드가 포함됩니다.
참고: 모든 방화벽 로그에서 모든 필드가 채워지는 것은 아닙니다. 예를 들어, 세션을 닫을 때 이유, 수신/송신된 바이트 수 및 기간은 로그에 포함되는 필드입니다.
다음과 같은 로그가 생성됩니다.
- 흐름이 생성된 경우(흐름이 수락되는 조건)
- 흐름이 닫힌 경우
- 새 흐름이 거부된 경우
- 기존 흐름이 업데이트된 경우(방화벽 구성 변경으로 인해)
엔터프라이즈
SD-WAN Edge에서 생성된 로그를 하나 이상의 중앙 집중식 원격 Syslog 수집기(서버)로 전송하여 방화벽 로그를 볼 수 있습니다. 기본적으로
Syslog 전달(Syslog Forwarding) 기능은 엔터프라이즈에서 비활성화됩니다. 원격 Syslog 수집기에 로그를 전달하려면 다음을 수행해야 합니다.
- Syslog 전달(Syslog Forwarding) 기능을 활성화합니다. 탭에서
- SD-WAN Orchestrator에서 세그먼트별로 Syslog 수집기 세부 정보를 구성하는 방법에 대한 단계는 새 Orchestrator UI를 사용하여 프로필에 대한 Syslog 설정 구성 항목을 참조하십시오. 에서 Syslog 수집기를 구성합니다.
참고: Edge 및 Orchestrator 둘 다에서 방화벽 로깅이 지원되지 않습니다.