要保护进出 Edge 网关的通信,可以在该 Edge 网关上创建和管理防火墙规则。
有关保护组织虚拟数据中心虚拟机之间的通信的信息,请参见使用租户门户管理 NSX Data Center for vSphere 分布式防火墙规则。
在分布式防火墙屏幕上创建并在“应用对象”列中指定了高级 Edge 网关的规则不会显示在该高级 Edge 网关的“防火墙”屏幕中。
Edge 网关的 Edge 网关防火墙规则显示在防火墙屏幕中,并按以下顺序强制实施:
- 内部规则,也称为自动检测到的规则。这些内部规则使控制流量能够传输来实现各种 Edge 网关服务。
- 用户定义的规则。
- 默认规则。
默认规则设置应用于与任何用户定义的防火墙规则均不匹配的流量。默认规则将显示在“防火墙”屏幕上规则的底部。
在租户门户中,使用 Edge 网关“防火墙规则”屏幕上的启用开关激活或停用 Edge 网关防火墙。
将 Edge 网关转换为高级 Edge 网关
要在租户门户中使用 Edge 网关,您需要将其转换为高级 Edge 网关。将其转换为高级 Edge 网关后,就可以使用租户门户配置由 NSX 软件为这些高级 Edge 网关提供的静态和动态路由功能。
前提条件
您现有一个 Edge 网关。
过程
- 在顶部导航栏中,单击网络,然后单击 Edge 网关选项卡。
- 选择要编辑的 Edge 网关。
- 单击转换为高级。
结果
您的 Edge 网关将转换为高级 Edge 网关。
下一步做什么
转换为高级 Edge 网关后,可以通过选择网关并单击服务来配置设置。
添加 NSX Data Center for vSphere Edge 网关防火墙规则
您可以使用 Edge 网关的防火墙选项卡为该 Edge 网关添加防火墙规则。您可以将多个 NSX Edge 接口和多个 IP 地址组添加为这些防火墙规则的源和目标。
为规则的源或目标指定内部表示允许连接到 NSX Edge 网关的端口组上所有子网的流量。如果您选择内部作为源,则在 NSX 网关上配置其他内部接口时,该规则将自动更新。
过程
修改 NSX Data Center for vSphere Edge 网关防火墙规则
您只能编辑和删除已添加到 Edge 网关的用户定义的防火墙规则。除了可以更改默认规则的操作设置之外,您不能编辑或删除自动生成的规则或默认规则的其他内容。您可以更改用户定义的规则的优先级顺序。
有关规则的各种单元格的可用设置的详细信息,请参见添加 NSX Data Center for vSphere Edge 网关防火墙规则。
过程
- 打开 Edge 网关服务。
- 在顶部导航栏中,单击网络,然后单击 Edge 网关。
- 选择要编辑的 Edge 网关,然后单击服务。
- 单击防火墙选项卡。
- 管理防火墙规则。
- 单击规则的编号单元格中的绿色复选标记,停用该规则。绿色复选标记将变成红色已停用图标。如果规则已停用,您想要激活该规则,请单击红色已停用图标。
- 通过双击规则的名称单元格并键入新名称来编辑规则的名称。
- 通过选择相应的单元格并使用显示的控件修改规则的设置,例如源或操作设置。
- 选择一条规则并单击规则表上方的删除按钮以删除该规则。
- 使用仅显示用户定义的规则开关隐藏系统生成的规则。
- 通过选择相应规则并单击规则表上方的向上和向下箭头按钮,将规则在规则表中上移或下移。
- 单击保存更改。