고객은 VMware SASE Orchestrator에서 방화벽 기능을 사용하여 EFS(향상된 방화벽 서비스)를 구성하고 관리할 수 있습니다.
시작하기 전에
EFS 기능이 작동하려면 다음을 수행합니다.
- Edge 버전이 5.2.0.0으로 업그레이드되었는지 확인합니다.
- EFS 기능이 엔터프라이즈 수준에서 활성화되어 있는지 확인합니다. EFS 기능을 활성화하려면 운영자에게 문의하십시오. 운영자는 SD-WAN > 글로벌 설정(Global Settings) > 고객 구성(Customer Configuration) > SD-WAN 설정(SD-WAN Settings) > 기능 액세스(Feature Access) UI 페이지에서 EFS 기능을 활성화할 수 있습니다.
프로필 수준에서 EFS 규칙 설정 구성
- 엔터프라이즈 포털의 SD-WAN 서비스에서 로 이동합니다. 프로필(Profiles) 페이지에 기존 프로필이 표시됩니다.
- 프로필 방화벽을 구성하려면 프로필에 대한 링크를 클릭한 다음, 방화벽(Firewall) 탭을 클릭합니다. 또는 프로필의 방화벽(Firewall) 열에서 보기(View) 링크를 클릭할 수도 있습니다.
- 방화벽(Firewall) 페이지가 나타납니다.
- 향상된 방화벽 서비스(Enhanced Firewall Services) 전환 버튼을 켜서 프로필과 연결된 모든 Edge에 대해 EFS 기능을 활성화합니다. 기본적으로 이 기능은 활성화되지 않습니다.
- 방화벽 규칙(Firewall Rules)에서 새 EFS 규칙을 생성하거나 EFS 설정에 대한 기존 방화벽 규칙을 수정할 수 있습니다.
- 새 EFS 규칙을 생성하려면 다음을 수행합니다.
- +새 규칙(+New Rule) 버튼을 클릭합니다.
- 규칙 이름(Rule Name) 상자에 규칙의 고유한 이름을 입력합니다. 기존 규칙에서 방화벽 규칙을 생성하려면 규칙 복제(Duplicate Rule) 드롭다운 메뉴에서 복제할 규칙을 선택합니다.
- 트래픽이 정의된 일치 조건과 일치할 때 수행하도록 일치(Match) 조건 및 방화벽 작업(Firewall Actions)을 구성합니다. 자세한 내용은 방화벽 규칙 구성 항목을 참조하십시오.
- IDS/IPS 확인란을 선택하고 IDS 또는 IPS 토글을 활성화하여 방화벽을 생성합니다. 사용자가 IPS만 활성화하면 IDS가 자동으로 활성화됩니다. EFS 엔진은 Edge를 통해 송/수신된 트래픽을 검사하고 EFS 엔진에 구성된 서명과 일치하는 컨텐츠를 검색합니다.
참고: EFS는 방화벽 작업이 허용(Allow)인 경우에만 규칙에서 활성화할 수 있습니다. 방화벽 작업이 허용(Allow) 이외의 작업인 경우 EFS가 비활성화됩니다.
- 침입 탐지 시스템(Intrusion Detection System) - Edge에서 IDS가 활성화되면 Edge는 트래픽 흐름이 악의적인지 또는 엔진에 구성된 특정 서명을 기준으로 하지 않는지 감지합니다. 공격이 감지되면 EFS 엔진은 경고를 생성하고 Orchestrator에서 방화벽 로깅이 활성화된 경우 SASE Orchestrator/Syslog 서버에 경고 메시지를 보내며 패킷은 삭제하지 않습니다.
- 침입 방지 시스템(Intrusion Prevention System) - Edge에서 IPS가 활성화되면 Edge는 트래픽 흐름이 악의적인지 또는 엔진에 구성된 특정 서명을 기준으로 하지 않는지 감지합니다. 공격이 탐지되면 EFS 엔진은 경고를 생성하고 서명 규칙에 악의적인 트래픽과 일치하는 [거부(Reject)] 작업이 있는 경우에만 클라이언트로의 트래픽 흐름을 차단합니다. 서명 규칙의 작업이 [경고(Alert)]인 경우 IPS를 구성하더라도 패킷이 삭제되지 않고 트래픽이 허용됩니다.
참고: VMware Edge에서 IDS/IPS가 활성화된 경우 고객에게 VNF를 활성화하지 않도록 권장하는 것이 좋습니다. - EFS 로그를 Orchestrator로 보내려면 EFS 로그 캡처(Capture EFS Log) 토글 버튼을 켭니다.
참고: Edge가 Orchestrator에 방화벽 로그를 보내려면 [글로벌 설정(Global Settings)] UI 페이지의 고객 수준에서 [Orchestrator에 대한 방화벽 로깅 사용(Enable Firewall Logging to Orchestrator)] 고객 기능이 활성화되어 있는지 확인합니다. 방화벽 로깅 기능을 활성화하려면 운영자에게 문의해야 합니다.
- 생성(Create)을 클릭합니다.
- EFS 설정에 대한 기존 방화벽 규칙을 수정하려면 다음을 수행합니다.
- 프로필 방화벽(Profile Firewall) 페이지의 방화벽 규칙(Firewall Rules) 영역에서 수정할 기존 방화벽의 규칙 이름(Rule name) 열 아래의 링크를 클릭합니다.
- IDS/IPS 설정을 수정하고 편집(Edit)를 클릭합니다.
- 새 EFS 규칙을 생성하려면 다음을 수행합니다.
- 변경 내용 저장(Save Changes)을 클릭합니다.
Edge 수준에서 EFS 규칙 설정 구성
- 엔터프라이즈 포털의 SD-WAN 서비스에서 로 이동합니다. Edge(Edges) 페이지에 기존 Edge가 표시됩니다.
- Edge를 구성하려면 Edge에 대한 링크를 클릭하거나 Edge의 방화벽(Firewall) 열에서 보기(View) 링크를 클릭합니다.
- 방화벽(Firewall) 탭을 클릭합니다.
- 특정 Edge에 대해 상속된 EFS 설정을 재정의하려면 재정의(Override) 확인란을 선택하고 향상된 방화벽 서비스(Enhanced Firewall Services) UI 레이블 옆에 있는 토글 버튼을 켭니다.
- Edge 방화벽(Edge Firewall) 페이지의 방화벽 규칙(Firewall Rules) 영역에서 새 EFS 규칙을 생성하거나 Edge에 대한 상속된 EFS 규칙 설정을 재정의할 수 있습니다. 프로필 수준에서 EFS 규칙 설정 구성 섹션의 5단계에 설명된 절차를 따르십시오.
- EFS 규칙 설정을 재정의한 후 변경 내용 저장(Save Changes)을 클릭합니다.
참고: 5.2.0 릴리스로 업그레이드되지 않은 기존 Edge의 방화벽 규칙은 글로벌 설정 수준에서 또는 IDS/IPS를 사용하여 규칙 수준에서 EFS 서비스를 활성화할 때 영향을 주지 않습니다.