您可以使用 Edge 网关的防火墙选项卡为该 Edge 网关添加防火墙规则。您可以将多个 NSX Edge 接口和多个 IP 地址组添加为这些防火墙规则的源和目标。

为规则的源或目标指定内部表示允许连接到 NSX Edge 网关的端口组上所有子网的流量。如果您选择内部作为源,则在 NSX 网关上配置其他内部接口时,该规则将自动更新。

注: 为动态路由配置 Edge 网关时,内部接口上的 Edge 网关防火墙规则将不起作用。

过程

  1. 打开 Edge 网关服务。
    1. 在顶部导航栏中,单击网络,然后单击 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 如果防火墙规则屏幕尚不可见,请单击防火墙选项卡。
  3. 要将某个规则添加到防火墙规则表中的现有规则下方,请单击现有行,然后单击创建按钮。
    新规则行将添加到选定规则下方,并且默认情况下将为其分配任何目标、任何服务以及 允许操作。如果系统定义的默认规则是防火墙表中的唯一规则,则新规则将添加到默认规则的上方。
  4. 单击名称单元格,然后键入一个名称。
  5. 单击单元格,然后使用现在可见图标选择要添加到该规则中的源:
    选项 描述
    单击 IP 图标 键入要使用的源值。有效值为 IP 地址、CIDR、IP 范围或关键字 any。Edge 网关防火墙同时支持 IPv4 和 IPv6 格式。
    单击 + 图标 使用 + 图标可将源指定为特定 IP 地址以外的对象:
    • 使用选择对象窗口添加与您的选择匹配的对象,然后单击保留将其添加到规则中。
    • 要从规则中排除某个源,请使用选择对象窗口将此源添加到此规则中,然后选择切换排除图标从此规则中排除此源。

    在对此源选择切换排除后,此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除,则此规则将应用于来自选择对象窗口中指定的源的流量

  6. 单击目标单元格,然后执行以下选项之一:
    选项 描述
    单击 IP 图标 键入要使用的目标值。有效值为 IP 地址、CIDR、IP 范围或关键字 any。Edge 网关防火墙同时支持 IPv4 和 IPv6 格式。
    单击 + 图标 使用 + 图标可将源指定为特定 IP 地址以外的对象:
    • 使用选择对象窗口添加与您的选择匹配的对象,然后单击保留将其添加到规则中。
    • 要从规则中排除某个源,请使用“选择对象”窗口将此源添加到此规则中,然后选择切换排除图标从此规则中排除此源。

    在对此源选择切换排除后,此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除,则此规则将应用于来自选择对象窗口中指定的源的流量

  7. 单击新规则的服务单元格,然后单击 + 图标,将服务指定为端口协议组合:
    1. 选择服务协议。
    2. 键入源和目标端口的端口号,或指定 any
    3. 单击保留
  8. 在新规则的操作单元格中,为此规则配置相应操作。
    选项 描述
    接受 允许来自或流向指定源、目标和服务的流量。
    拒绝 阻止来自或流向指定源、目标和服务的流量。
  9. 单击保存更改
    保存操作可能需要一分钟才能完成。