장영호Window 2012 R2가 출시되면서 재밌는 기능이 추가 되었습니다.
그 기능은 VMNetworkAdapterExtendAcl 이라하여 VM의 네트워크 어댑터에 access rule을 넣는것입니다.
오픈스택 기능 테스트를 하면서 윈도우 vm의 security 룰이 VMNetworkAdapterExtendAcl에 들어가는것을
확인 했으며 이로 인해 vm의 방화벽룰과 별개로 제어가 가능해졌습니다.
이로 인해 호스팅하는 저의 회사에서는 고객이 방화벽 설정을 잘모르거나 vm에 문제가 생겼을때 제어가
가능해졌습니다.
먼저 기능을 사용하려면 2012 R2 이상 상위 버전이어야 하며 아래와 같은 Get-Command 명령어로 해당
기능이 있는지 확인해봅시다.
이번에 구현해볼 방화벽 설정으로는 테스트 서버의 oubound는 특별한 설정 없이 모두 허용하며 inbound는
80포트 허용, terminal(rdp) 3389 포트는 특정 아이피만 허용하고 나머지는 차단해 보겠습니다.
- 첫번째 룰은 들어오는 패킷은 모두 거부
VMName : vm이름, Action : 거부, Direction : 들어오는 패킷, Weight : 가중치(숫자가 높을수록 더 우선함) - 두번째룰은 특정 아이피에 한해 vm의 윈도우 터미널 3389 포트 허용
RemoteIPAddress : vm으로 접근하는 아이피, Localport : 3389(vm 3389포트), Protocol : tcp - 세벌째 룰은 모든 아이피에서 vm 80 포트 허용
※ 3389 포트 허용한 서버에서 telnet 명령어로 룰이 바로 적용되는것이 확인되었습니다.