NSX Data Center for vSphere 文档中所述,默认防火墙设置适用于与用户定义的任何防火墙规则均不匹配的流量。在 VMware Cloud Director Tenant Portal 中,默认分布式防火墙规则标记为默认允许规则。

必须先在组织虚拟数据中心上启用分布式防火墙功能,才能使用 VMware Cloud Director Tenant Portal 管理分布式防火墙设置。

默认分布式防火墙规则配置为允许所有第 3 层和第 2 层流量通过组织虚拟数据中心。用户界面“操作”列中设置的“允许”表明了此设置。默认规则始终位于规则表的底部。

重要说明: 您不能删除或修改默认的分布式防火墙规则。

添加分布式防火墙规则

可以首先在组织虚拟数据中心范围内添加分布式防火墙规则。然后,可以缩小要应用规则的范围。分布式防火墙允许您在源级别和目标级别为每个规则添加多个对象,以帮助减少要添加的防火墙规则的总数。

有关可在规则中使用的预定义服务和服务组的信息,请参见查看可用于防火墙规则的服务查看可用于防火墙规则的服务组

前提条件

过程

  1. 虚拟数据中心仪表板屏幕上,单击要浏览的虚拟数据中心对应的卡视图,然后在网络下选择安全
  2. 选择要为其修改防火墙规则的安全服务 VDC 网络,然后单击配置服务
    此时将显示“安全服务”屏幕。
  3. 选择要创建的规则类型。您可以选择创建常规规则或以太网规则。
    第 3 层 (L3) 规则将在 常规选项卡上配置。第 2 层 (L2) 规则将在 以太网选项卡上配置。
  4. 要将某个规则添加到防火墙表中的现有规则下方,请单击现有行,然后单击创建 (创建按钮) 按钮。
    新规则行将添加到选定规则下方,并且默认情况下将为其分配任何目标、任何服务以及 允许操作。如果系统定义的“默认允许”规则是防火墙表中的唯一规则,则新规则将添加到默认规则的上方。
  5. 单击名称单元格,然后键入一个名称。
  6. 单击单元格,然后使用现在可见图标选择要添加到该规则中的源:
    操作 描述
    单击 IP 图标 适用于在常规选项卡上定义的规则。

    键入要使用的源值。有效值为 IP 地址、CIDR、IP 范围或关键字 any。分布式防火墙仅支持 IPv4 格式。

    单击 + 图标 使用 + 图标可将源指定为特定 IP 地址以外的对象:
    • 使用选择对象窗口添加与您的选择匹配的对象,然后单击保留将其添加到规则中。
    • 要从规则中排除某个源,请使用选择对象窗口将此源添加到此规则中,然后选择切换排除图标从此规则中排除此源。

    在对此源选择切换排除后,此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除,则此规则将应用于来自选择对象窗口中指定的源的流量

  7. 单击目标单元格,然后执行以下操作之一:
    操作 描述
    单击 IP 图标 适用于在常规选项卡上定义的规则。

    键入要使用的目标值。有效值为 IP 地址、CIDR、IP 范围或关键字 any。分布式防火墙仅支持 IPv4 格式。

    单击 + 图标 使用 + 图标可将源指定为特定 IP 地址以外的对象:
    • 使用选择对象窗口添加与您的选择匹配的对象,然后单击保留将其添加到规则中。
    • 要从规则中排除某个源,请使用“选择对象”窗口将此源添加到此规则中,然后选择切换排除图标从此规则中排除此源。

    在对此源选择切换排除后,此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除,则此规则将应用于来自选择对象窗口中指定的源的流量

  8. 单击此新规则对应的服务单元格,然后执行以下操作之一:
    操作 描述
    单击 IP 图标 将服务指定为端口–协议组合:
    1. 选择服务协议。
    2. 键入源和目标端口的端口号或指定 any,然后单击保留
    单击 + 图标 选择预定义的服务或服务组,或者定义一个新服务或服务组:
    1. 选择一个或多个对象,然后将其添加到筛选器。
    2. 单击保留
  9. 在新规则的操作单元格中,为此规则配置相应操作。
    选项 描述
    允许 允许来自或流向指定源、目标和服务的流量。
    拒绝 阻止来自或流向指定源、目标和服务的流量。
  10. 在新规则的方向单元格中,选择此规则是应用于入站流量、出站流量还是同时应用于这两种流量。
  11. 如果此规则在常规选项卡上,则在此新规则的数据包类型单元格中选择任何IPV4IPV6 数据包类型。
  12. 选择应用对象单元格,并使用 + 图标定义此规则所适用的对象范围。
    如果此规则在 目标单元格中均包含虚拟机,则您必须将源和目标虚拟机均添加到此规则 应用对象中,此规则才能正常起作用。
    重要说明: IP 地址组(IP 集)、MAC 地址组(MAC 集)和包含 IP 集或 MAC 集的安全组不是有效的输入参数。
  13. 单击保存更改

编辑分布式防火墙规则

VMware Cloud Director 环境中,要修改组织虚拟数据中心的现有分布式防火墙规则,请使用分布式防火墙屏幕。

有关规则的各种单元格的可用设置的详细信息,请参见添加分布式防火墙规则

过程

  1. 虚拟数据中心仪表板屏幕上,单击要浏览的虚拟数据中心对应的卡视图,然后在网络下选择安全
  2. 选择要为其修改防火墙规则的安全服务 VDC 网络,然后单击配置服务
    此时将显示“安全服务”屏幕。
  3. 执行以下任一操作以管理分布式防火墙规则:
    • 单击规则的编号单元格中的绿色复选标记,停用该规则。

      绿色复选标记将变成红色已停用图标。如果规则已停用,您想要激活该规则,请单击红色已停用图标。

    • 通过双击规则的名称单元格并键入新名称来编辑规则的名称。
    • 通过选择相应的单元格并使用显示的控件修改规则的设置,例如源或操作设置。
    • 选择一条规则并单击规则表上方的删除按钮以删除该规则。
    • 通过选择相应规则并单击规则表上方的向上和向下箭头按钮,将规则在规则表中上移或下移。
  4. 单击保存更改