고객은 VMware SASE Orchestrator에서 방화벽 기능을 사용하여 EFS(향상된 방화벽 서비스)를 구성하고 관리할 수 있습니다.

시작하기 전에

EFS 기능이 작동하려면 다음을 수행합니다.
  • Edge 버전이 5.2.0.0으로 업그레이드되었는지 확인합니다.
  • EFS 기능이 엔터프라이즈 수준에서 활성화되어 있는지 확인합니다. EFS 기능을 활성화하려면 운영자에게 문의하십시오. 운영자는 SD-WAN > 글로벌 설정(Global Settings) > 고객 구성(Customer Configuration) > SD-WAN 설정(SD-WAN Settings) > 기능 액세스(Feature Access) UI 페이지에서 EFS 기능을 활성화할 수 있습니다.

프로필 수준에서 EFS 규칙 설정 구성

  1. 엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > 프로필(Profiles)로 이동합니다. 프로필(Profiles) 페이지에 기존 프로필이 표시됩니다.
  2. 프로필 방화벽을 구성하려면 프로필에 대한 링크를 클릭한 다음, 방화벽(Firewall) 탭을 클릭합니다. 또는 프로필의 방화벽(Firewall) 열에서 보기(View) 링크를 클릭할 수도 있습니다.
  3. 방화벽(Firewall) 페이지가 나타납니다.
  4. 향상된 방화벽 서비스(Enhanced Firewall Services) 전환 버튼을 켜서 프로필과 연결된 모든 Edge에 대해 EFS 기능을 활성화합니다. 기본적으로 이 기능은 활성화되지 않습니다.
  5. 방화벽 규칙(Firewall Rules)에서 새 EFS 규칙을 생성하거나 EFS 설정에 대한 기존 방화벽 규칙을 수정할 수 있습니다.
    • 새 EFS 규칙을 생성하려면 다음을 수행합니다.
      1. +새 규칙(+New Rule) 버튼을 클릭합니다.
      2. 규칙 이름(Rule Name) 상자에 규칙의 고유한 이름을 입력합니다. 기존 규칙에서 방화벽 규칙을 생성하려면 규칙 복제(Duplicate Rule) 드롭다운 메뉴에서 복제할 규칙을 선택합니다.
      3. 트래픽이 정의된 일치 조건과 일치할 때 수행하도록 일치(Match) 조건 및 방화벽 작업(Firewall Actions)을 구성합니다. 자세한 내용은 방화벽 규칙 구성 항목을 참조하십시오.
      4. IDS/IPS 확인란을 선택하고 IDS 또는 IPS 토글을 활성화하여 방화벽을 생성합니다. 사용자가 IPS만 활성화하면 IDS가 자동으로 활성화됩니다. EFS 엔진은 Edge를 통해 송/수신된 트래픽을 검사하고 EFS 엔진에 구성된 서명과 일치하는 컨텐츠를 검색합니다.
        참고: EFS는 방화벽 작업이 허용(Allow)인 경우에만 규칙에서 활성화할 수 있습니다. 방화벽 작업이 허용(Allow) 이외의 작업인 경우 EFS가 비활성화됩니다.
        • 침입 탐지 시스템(Intrusion Detection System) - Edge에서 IDS가 활성화되면 Edge는 트래픽 흐름이 악의적인지 또는 엔진에 구성된 특정 서명을 기준으로 하지 않는지 감지합니다. 공격이 감지되면 EFS 엔진은 경고를 생성하고 Orchestrator에서 방화벽 로깅이 활성화된 경우 SASE Orchestrator/Syslog 서버에 경고 메시지를 보내며 패킷은 삭제하지 않습니다.
        • 침입 방지 시스템(Intrusion Prevention System) - Edge에서 IPS가 활성화되면 Edge는 트래픽 흐름이 악의적인지 또는 엔진에 구성된 특정 서명을 기준으로 하지 않는지 감지합니다. 공격이 탐지되면 EFS 엔진은 경고를 생성하고 서명 규칙에 악의적인 트래픽과 일치하는 [거부(Reject)] 작업이 있는 경우에만 클라이언트로의 트래픽 흐름을 차단합니다. 서명 규칙의 작업이 [경고(Alert)]인 경우 IPS를 구성하더라도 패킷이 삭제되지 않고 트래픽이 허용됩니다.
        참고: VMware Edge에서 IDS/IPS가 활성화된 경우 고객에게 VNF를 활성화하지 않도록 권장하는 것이 좋습니다.
      5. EFS 로그를 Orchestrator로 보내려면 EFS 로그 캡처(Capture EFS Log) 토글 버튼을 켭니다.
        참고: Edge가 Orchestrator에 방화벽 로그를 보내려면 [글로벌 설정(Global Settings)] UI 페이지의 고객 수준에서 [Orchestrator에 대한 방화벽 로깅 사용(Enable Firewall Logging to Orchestrator)] 고객 기능이 활성화되어 있는지 확인합니다. 방화벽 로깅 기능을 활성화하려면 운영자에게 문의해야 합니다.
      6. 생성(Create)을 클릭합니다.
    • EFS 설정에 대한 기존 방화벽 규칙을 수정하려면 다음을 수행합니다.
      1. 프로필 방화벽(Profile Firewall) 페이지의 방화벽 규칙(Firewall Rules) 영역에서 수정할 기존 방화벽의 규칙 이름(Rule name) 열 아래의 링크를 클릭합니다.
      2. IDS/IPS 설정을 수정하고 편집(Edit)를 클릭합니다.
  6. 변경 내용 저장(Save Changes)을 클릭합니다.

Edge 수준에서 EFS 규칙 설정 구성

  1. 엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > Edge(Edges)로 이동합니다. Edge(Edges) 페이지에 기존 Edge가 표시됩니다.
  2. Edge를 구성하려면 Edge에 대한 링크를 클릭하거나 Edge의 방화벽(Firewall) 열에서 보기(View) 링크를 클릭합니다.
  3. 방화벽(Firewall) 탭을 클릭합니다.
  4. 특정 Edge에 대해 상속된 EFS 설정을 재정의하려면 재정의(Override) 확인란을 선택하고 향상된 방화벽 서비스(Enhanced Firewall Services) UI 레이블 옆에 있는 토글 버튼을 켭니다.
  5. Edge 방화벽(Edge Firewall) 페이지의 방화벽 규칙(Firewall Rules) 영역에서 새 EFS 규칙을 생성하거나 Edge에 대한 상속된 EFS 규칙 설정을 재정의할 수 있습니다. 프로필 수준에서 EFS 규칙 설정 구성 섹션의 5단계에 설명된 절차를 따르십시오.
  6. EFS 규칙 설정을 재정의한 후 변경 내용 저장(Save Changes)을 클릭합니다.

참고: 5.2.0 릴리스로 업그레이드되지 않은 기존 Edge의 방화벽 규칙은 글로벌 설정 수준에서 또는 IDS/IPS를 사용하여 규칙 수준에서 EFS 서비스를 활성화할 때 영향을 주지 않습니다.