기본적으로 모든 Edge는 연결된 프로필에서 방화벽 규칙, EFS(향상된 방화벽 서비스) 설정, 상태 저장 방화벽 설정, 네트워크 및 플러드 보호 설정, 방화벽 로깅, Syslog 전달 및 Edge 액세스 구성을 상속합니다.

참고: Orchestrator에 대한 방화벽 로깅이 작동하려면 SD-WAN Edge가 버전 5.2 이상에서 실행되고 있어야 합니다.
Edge 구성(Edge Configuration) 대화상자의 방화벽(Firewall) 탭에서 프로필의 규칙(Rule From Profile) 영역에서 상속된 모든 방화벽 규칙을 볼 수 있습니다. 필요한 경우 Edge 수준에서 상속된 방화벽 규칙 및 다양한 방화벽 설정을 재정의할 수도 있습니다.
  1. 엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > Edge(Edges)로 이동합니다.
  2. 상속된 방화벽 설정을 재정의할 Edge를 선택하고 방화벽(Firewall) 탭을 클릭합니다.
  3. 선택한 Edge에 대해 상속된 방화벽 규칙 및 설정을 수정하려면 다양한 방화벽 설정에 대해 재정의(Override) 확인란을 선택합니다.
    참고: Edge 재정의 규칙은 Edge의 상속된 프로필 규칙보다 우선합니다. 모든 프로필 방화벽 규칙과 동일한 모든 방화벽 재정의 일치 값이 해당 프로필 규칙을 재정의합니다.
  4. Edge 수준에서 추가 설정(Additional Settings) > 인바운드 ACL(Inbound ACLs)로 이동하여 포트 전달 및 1:1 NAT IPv4 또는 IPv6 규칙을 개별적으로 구성할 수 있습니다. 자세한 내용은 포트 전달 규칙1:1 NAT 설정 항목을 참조하십시오.
    참고: 기본적으로 포트 포워딩 및 1:1 NAT 방화벽 규칙이 구성되어 있지 않으면 모든 인바운드 트래픽이 차단됩니다. 외부 IP는 항상 WAN IP 서브넷의 WAN IP 또는 IP 주소입니다.
    참고: IPv6 포트 전달 및 1:1 NAT 규칙을 구성할 때 글로벌 또는 유니캐스트 IP 주소만 입력할 수 있고 링크 로컬 주소는 입력할 수 없습니다.

포트 전달 및 1:1 NAT 방화벽 규칙

참고: Edge 수준에서만 포트 전달 및 1:1 NAT 규칙을 개별적으로 구성할 수 있습니다.

포트 전달 및 1:1 NAT 방화벽 규칙을 지정하면 인터넷 클라이언트가 Edge LAN 인터페이스에 연결된 서버에 액세스할 수 있게 됩니다. 포트 전달 규칙 또는 1:1 NAT(네트워크 주소 변환) 규칙을 통해 액세스 권한을 지정할 수 있습니다.

포트 전달 규칙

포트 전달 규칙을 사용하여 특정 WAN 포트에서 로컬 서브넷 내의 디바이스(LAN IP/LAN 포트)로 트래픽을 리디렉션하도록 규칙을 구성할 수 있습니다. 선택적으로 IP 또는 서브넷을 기준으로 인바운드 트래픽을 제한할 수도 있습니다. 포트 전달 규칙은 WAN IP의 동일한 서브넷에 있는 외부 IP로 구성할 수 있습니다. 또한 ISP가 서브넷에 대한 트래픽을 SD-WAN Edge로 라우팅하는 경우 WAN 인터페이스 주소와는 다른 서브넷에 있는 외부 IP 주소를 변환할 수도 있습니다.

다음 그림은 포트 전달 구성을 보여 줍니다.

포트 전달 규칙(Port Forwarding Rules) 섹션에서 +추가(+Add) 버튼을 클릭하고 다음 세부 정보를 입력하여 IPv4 또는 IPv6 주소로 포트 전달 규칙을 구성할 수 있습니다.

  1. 이름(Name) 텍스트 상자에 규칙의 이름(선택 사항)을 입력합니다.
  2. 프로토콜(Protocol) 드롭다운 메뉴에서 TCP 또는 UDP를 포트 전달용 프로토콜로 선택합니다.
  3. 인터페이스(Interface) 드롭다운 메뉴에서 인바운드 트래픽에 대한 인터페이스를 선택합니다.
  4. 외부 IP(Outside IP) 텍스트 상자에 외부 네트워크에서 호스트(애플리케이션)에 액세스할 수 있는 IPv4 또는 IPv6 주소를 입력합니다.
  5. WAN 포트(WAN Ports) 텍스트 상자에 WAN 포트 또는 포트 범위를 대시(-)로 구분하여 입력합니다(예: 20-25).
  6. LAN IPLAN 포트(LAN Port) 텍스트 상자에 요청이 전달될 LAN의 IPv4 또는 IPv6 주소와 포트 번호를 입력합니다.
  7. 세그먼트(Segment) 드롭다운 메뉴에서 LAN IP가 속할 세그먼트를 선택합니다.
  8. 원격 IP/서브넷(Remote IP/subnet) 텍스트 상자에서 내부 서버로 전달할 인바운드 트래픽의 IP 주소를 지정합니다. IP 주소를 지정하지 않으면 모든 트래픽이 허용됩니다.
  9. 이 규칙에 대한 로깅을 활성화하려면 로그(Log) 확인란을 선택합니다.
  10. 변경 내용 저장(Save Changes)을 클릭합니다.

1:1 NAT 설정

이 주소는 SD-WAN Edge에서 지원되는 외부 IP 주소를 Edge LAN 인터페이스에 연결된 서버(예: 웹 서버 또는 메일 서버)를 매핑하는 데 사용됩니다. 또한 ISP가 서브넷에 대한 트래픽을 SD-WAN Edge로 라우팅하는 경우 WAN 인터페이스 주소와는 다른 서브넷에 있는 외부 IP 주소를 변환할 수도 있습니다. 각 매핑은 특정 WAN 인터페이스에 대한 방화벽 외부에 있는 1개의 IP 주소와 방화벽 내부에 있는 1개의 LAN IP 주소 사이에 있습니다. 각 매핑 내에서 내부 IP 주소로 전달될 포트를 지정할 수 있습니다. 오른쪽의 '+' 아이콘을 사용하여 1:1 NAT 설정을 추가할 수 있습니다.

다음 그림은 1:1 NAT 구성을 보여 줍니다.

1:1 NAT 규칙(1:1 NAT Rules) 섹션에서 +추가(+Add) 버튼을 클릭하고 다음 세부 정보를 입력하여 IPv4 주소 또는 IPv6 주소로 1:1 NAT 규칙을 구성할 수 있습니다.

  1. 이름(Name) 텍스트 상자에 규칙의 이름을 입력합니다.
  2. 외부 IP(Outside IP) 텍스트 상자에 외부 네트워크에서 호스트에 액세스할 수 있는 IPv4 또는 IPv6 주소를 입력합니다.
  3. 인터페이스(Interface) 드롭다운 메뉴에서 외부 IP 주소가 바인딩될 WAN 인터페이스를 선택합니다.
  4. 내부(LAN) IP(Inside (LAN) IP) 텍스트 상자에 호스트의 실제 IPv4 또는 IPv6(LAN) 주소를 입력합니다.
  5. 세그먼트(Segment) 드롭다운 메뉴에서 LAN IP가 속할 세그먼트를 선택합니다.
  6. LAN 클라이언트에서 인터넷으로 향하는 트래픽이 외부 IP 주소에 대해 NAT되도록 하려면 아웃바운드 트래픽(Outbound Traffic) 확인란을 선택합니다.
  7. 해당 필드의 매핑에 허용된 트래픽 소스(프로토콜, 포트, 원격 IP/서브넷) 세부 정보를 입력합니다.
  8. 이 규칙에 대한 로깅을 활성화하려면 로그(Log) 확인란을 선택합니다.
  9. 변경 내용 저장(Save Changes)을 클릭합니다.