본문 바로가기

VMware/NSX-T DataCenter

NSX-T 2.5.1 Firewall Test

NSX-T 2.5.1 Firewall Test

 

 

1. NSX-T 의 방화벽은 크게 Gateway Firewall(관문방화벽) 과 Distributed Firewall (DFW 분산방화벽)으로 나누어진다.

 

 

2. G/W Firewall 은 T0, T1에서 사용한다

 

 

3. DFW는 동서 트래픽에 적용되는 방화벽 규칙의 모음이다

 

이 범주들은 각각 자체의 규칙과 정책을 가질 수 있다.

 

방화벽 규칙은 왼쪽에서 오른쪽으로, 위에서 아래로 시행된다.

특정 범주 내에서 정책 및 규칙의 순서를 변경할 수 있다.

 

그러나 정책이나 규칙을 다른 범주에 걸쳐 이동할 수는 없다.

 

-Ethernet

 

L2 방화벽 규칙은 L3 규칙 이전에 반영된다.

 

 

-Emergency

 

공격자가 웹 서버를 공격하지 못하도록 차단하는 등 긴급 상황에 필요한 임시 방화벽 정책

 

 

-Infrastructure

 

vCenter Server, ESXi 호스트 등과 같은 인프라 구성 요소와 관련된 비애플리케이션 정책.

 

 

-Environment

 

예를 들어, 높은 수준의 정책 그룹화는 생산 그룹이 테스트 그룹과 통신할 수 없거나 테스트 그룹이 개발 그룹과 통신할 수 없다.

 

 

-Application

 

애플리케이션 또는 애플리케이션 계층 간의 규칙 또는 마이크로 서비스 간의 규칙과 같은 구체적이고 세분화된 애플리케이션 정책 규칙.

 

 

 

4. 모든 Firewall Rule은 Source 는 모든 개체를 Group 화하여 지정한다.

 

Inventory -> Group 에서 추가 하거나

 

Security -> Distribute Firewall -> Add Policy -> Add Rule -> Soruce 부분을 선택해도 같은 메뉴가 나와 동일하게 추가 할 수 있다.

 

 

.1 Firewall Test

 

 

 

 

1. NSX-T 의 방화벽은 크게 Gateway Firewall(관문방화벽) 과 Distributed Firewall (DFW 분산방화벽)으로 나누어진다.

 

 

 

 

2. G/W Firewall 은 T0, T1에서 사용한다

 

 

 

 

3. DFW는 동서 트래픽에 적용되는 방화벽 규칙의 모음이다

 

 

이 범주들은 각각 자체의 규칙과 정책을 가질 수 있다.

 

 

방화벽 규칙은 왼쪽에서 오른쪽으로, 위에서 아래로 시행된다.

 

특정 범주 내에서 정책 및 규칙의 순서를 변경할 수 있다.

 

 

그러나 정책이나 규칙을 다른 범주에 걸쳐 이동할 수는 없다.

 

 

-Ethernet

 

 

L2 방화벽 규칙은 L3 규칙 이전에 반영된다.

 

 

 

-Emergency

 

 

공격자가 웹 서버를 공격하지 못하도록 차단하는 등 긴급 상황에 필요한 임시 방화벽 정책

 

 

 

-Infrastructure

 

 

vCenter Server, ESXi 호스트 등과 같은 인프라 구성 요소와 관련된 비애플리케이션 정책.

 

 

 

-Environment

 

 

예를 들어, 높은 수준의 정책 그룹화는 생산 그룹이 테스트 그룹과 통신할 수 없거나 테스트 그룹이 개발 그룹과 통신할 수 없다.

 

 

 

-Application

 

 

애플리케이션 또는 애플리케이션 계층 간의 규칙 또는 마이크로 서비스 간의 규칙과 같은 구체적이고 세분화된 애플리케이션 정책 규칙.

 

 

 

4. 모든 Firewall Rule은 Source 는 모든 개체를 Group 화하여 지정한다.

 

 

Inventory -> Group 에서 추가 하거나

 

 

Security -> Distribute Firewall -> Add Policy -> Add Rule -> Soruce 부분을 선택해도 같은 메뉴가 나와 동일하게 추가 할 수 있다.

 

 Membership Criteria

 

 

 

 

 

 

 

 

 

 

 

 

 

 

IP/MAC Addresses

 

 

 

 

 

 

 

 

 

 

 

 

 Members