방화벽은 수신 및 송신 네트워크 트래픽을 모니터링하고, 정의된 보안 규칙 집합을 기준으로 특정 트래픽을 허용할지 또는 차단할지를 결정하는 네트워크 보안 디바이스입니다. SASE Orchestrator는 프로필 및 Edge에 대해 상태 비저장, 상태 저장 및 EFS(향상된 방화벽 서비스) 규칙의 구성을 지원합니다.

상태 저장 방화벽

상태 저장 방화벽은 방화벽을 통해 들어오는 모든 네트워크 연결의 작동 상태 및 특성을 모니터링하고 이 정보를 사용하여 방화벽을 통과하도록 허용할 네트워크 패킷을 결정합니다. 상태 저장 방화벽은 상태 테이블을 구축하고 이 테이블을 사용하여 현재 상태 테이블에 나열된 연결의 트래픽만 반환하도록 허용합니다. 상태 테이블에서 연결이 제거되면 이 연결의 외부 디바이스에서 전송되는 트래픽은 허용되지 않습니다.

상태 저장 방화벽 기능은 다음과 같은 이점을 제공합니다.
  • DoS(서비스 거부) 및 스푸핑과 같은 공격 방지
  • 보다 강력한 로깅
  • 향상된 네트워크 보안

상태 저장 방화벽과 상태 비저장 방화벽의 주요 차이점은 다음과 같습니다.

  • 일치하는 항목을 찾을 때는 방향이 고려됩니다. 예를 들어 VLAN 1의 호스트가 VLAN 2의 호스트와의 TCP 세션을 시작하도록 허용하지만, 그 반대의 경우는 거부할 수 있습니다. 상태 비저장 방화벽은 이러한 종류의 세분화된 제어를 허용하지 않는 단순 ACL(액세스 목록)로 변환됩니다.
  • 상태 저장 방화벽은 세션을 인식합니다. 예를 들어 TCP의 3방향 핸드셰이크를 사용하는 경우 상태 저장 방화벽은 SYN ACK 또는 ACK가 새 세션을 시작하는 것을 허용하지 않습니다. SYN으로 시작되어야 하며 TCP 세션의 다른 모든 패킷도 프로토콜을 올바르게 준수해야 합니다. 그러지 않으면 방화벽에서 해당 패킷을 삭제합니다. 상태 비저장 방화벽에는 세션 개념이 없으며 개별 패킷별로 필터링합니다.
  • 상태 저장 방화벽은 대칭 라우팅을 적용합니다. 예를 들어 VMware 네트워크에서는 트래픽이 하나의 허브를 통해 네트워크로 들어가고 다른 허브를 통해 나오는 비대칭 라우팅이 발생하는 것이 일반적입니다. 타사 라우팅을 활용하면 패킷이 계속 대상에 도달할 수 있습니다. 상태 저장 방화벽을 사용하면 이러한 트래픽이 삭제됩니다.
  • 상태 저장 방화벽 규칙은 구성 변경 후 기존 흐름에 따라 다시 검사됩니다. 따라서 기존 흐름이 이미 수락되었으며 지금 해당 패킷을 삭제하도록 상태 저장 방화벽을 구성하면 방화벽에서 새 규칙 집합을 기준으로 흐름을 다시 확인한 다음, 삭제합니다. "허용"이 "삭제" 또는 "거부"로 변경되는 시나리오의 경우 기존 흐름의 시간이 초과하고 세션 닫기에 대한 방화벽 로그가 생성됩니다.
상태 저장 방화벽을 사용하기 위한 요구 사항은 다음과 같습니다.
  • VMware SD-WAN Edge는 릴리스 3.4.0 이상을 사용해야 합니다.
  • 기본적으로 상태 저장 방화벽(Stateful Firewall) 기능은 3.4.0 이상 릴리스를 사용하여 SASE Orchestrator의 새 고객을 위해 활성화되는 고객 기능입니다. 3.x Orchestrator에서 생성된 고객은 이 기능을 활성화하기 위해 파트너의 지원 또는 VMware SD-WAN 지원이 필요합니다.
  • SASE Orchestrator를 사용하여 엔터프라이즈 사용자는 해당 방화벽(Firewall) 페이지의 프로필 및 Edge 수준에서 상태 저장 방화벽 기능을 활성화하거나 비활성화할 수 있습니다. 엔터프라이즈의 상태 저장 방화벽 기능을 비활성화하려면 수퍼유저 권한이 있는 운영자에게 문의하십시오.
    참고: 상태 저장 방화벽 활성화 Edge에서는 비대칭 라우팅이 지원되지 않습니다.

향상된 방화벽 서비스

EFS(향상된 방화벽 서비스)는 VMware SD-WAN Edges에서 추가적인 EFS 보안 기능을 제공합니다. NSX 보안 기반 EFS 기능은 VMware SD-WAN Edges에서 IDS(침입 탐지 시스템) 및 IPS(침입 방지 시스템) 서비스를 지원합니다. Edge EFS(향상된 방화벽 서비스)는 분기 간, 분기-허브 또는 분기-인터넷 트래픽 패턴에 대한 침입으로부터 Edge 트래픽을 보호합니다.

현재 SD-WAN Edge 방화벽은 추가적인 EFS 보안 기능 없이 애플리케이션 식별 기능과 함께 상태 저장 검사를 제공합니다. 상태 저장 방화벽 SD-WAN Edge는 보안을 제공하지만 적절하지 않으며, 기본적으로 VMware SD-WAN에 통합된 EFS 보안을 제공할 때 보안 격차가 발생합니다. Edge EFS는 이러한 보안 격차를 해결하고 VMware SD-WAN과 함께 SD-WAN Edge에서 기본적으로 향상된 위협 보호 기능을 제공합니다.

고객은 VMware SASE Orchestrator에서 방화벽 기능을 사용하여 상태 저장 방화벽 및 EFS를 구성하고 관리할 수 있습니다. 프로필 및 Edge 수준에서 방화벽 설정을 구성하려면 다음을 참조하십시오.

방화벽 로그

상태 저장 방화벽 및 EFS(향상된 방화벽 서비스)를 활성화하면 방화벽 로그에 더 많은 정보를 보고할 수 있습니다. 방화벽 로그에는 시간, 세그먼트, Edge, 작업, 인터페이스, 프로토콜, 소스 IP, 소스 포트, 대상 IP, 대상 포트, 확장 헤더, 규칙, 이유, 수신된 바이트 수, 송신된 바이트 수, 기간, 애플리케이션, 대상 도메인, 대상 이름, 세션 ID, 서명, IPS 경고, IDS 경고, 서명 ID, 범주, 공격 소스, 공격 대상 및 심각도 필드가 포함됩니다.
참고: 모든 방화벽 로그에서 모든 필드가 채워지는 것은 아닙니다. 예를 들어, 세션을 닫을 때 이유, 수신/송신된 바이트 수 및 기간은 로그에 포함되는 필드입니다. 서명, IPS 경고, IDS 경고, 서명 ID, 범주, 공격 소스, 대상 연결 및 심각도는 방화벽 로그가 아닌 EFS 경고에 대해서만 채워집니다.
다음과 같은 경우 방화벽 로그가 생성됩니다.
  • 흐름이 생성된 경우(흐름이 수락되는 조건)
  • 흐름이 닫힌 경우
  • 새 흐름이 거부된 경우
  • 기존 흐름이 업데이트된 경우(방화벽 구성 변경으로 인해)
다음 방화벽 기능을 사용하여 방화벽 로그를 볼 수 있습니다.
  • 방화벽 로깅(Firewall Logging) - 기본적으로 Edge는 방화벽 로그를 Orchestrator로 보낼 수 없습니다.
    참고: Edge가 Orchestrator에 방화벽 로그를 보내려면 [글로벌 설정(Global Settings)] UI 페이지의 고객 수준에서 Orchestrator에 대한 방화벽 로깅 사용(Enable Firewall Logging to Orchestrator) 고객 기능이 활성화되어 있는지 확인합니다. 방화벽 로깅 기능을 활성화하려면 운영자에게 문의해야 합니다.

    Orchestrator의 Edge 방화벽 로그는 모니터링(Monitor) > 방화벽 로그(Firewall Logs) 페이지에서 볼 수 있습니다. 자세한 내용은 방화벽 로그 모니터링 항목을 참조하십시오.

  • Syslog 전달(Syslog Forwarding) - 엔터프라이즈 SD-WAN Edge에서 시작된 로그를 하나 이상의 구성된 원격 서버로 전송하여 로그를 볼 수 있습니다. 기본적으로 Syslog 전달(Syslog Forwarding) 기능은 엔터프라이즈에서 비활성화됩니다. 원격 Syslog 수집기에 로그를 전달하려면 다음을 수행해야 합니다.
    1. 구성(Configure) > Edge/프로필(Edges/Profile) > 방화벽(Firewall) 탭에서 Syslog 전달(Syslog Forwarding) 기능을 활성화합니다.
    2. 구성(Configure) > Edge/프로필(Edges/Profile) > 디바이스(Device) > Syslog 설정(Syslog Settings)에서 Syslog 수집기를 구성합니다. SASE Orchestrator에서 세그먼트별로 Syslog 수집기 세부 정보를 구성하는 방법에 대한 단계는 프로필에 대한 Syslog 설정 구성 항목을 참조하십시오.
참고: Edge 버전 5.2.0 이상의 경우 방화벽 로깅은 Syslog 전달 구성에 종속되지 않습니다.