使用 VMware Cloud Director Tenant Portal添加分布式防火墙规则

使用 VMware Cloud Director Tenant Portal，可以先在组织虚拟数据中心范围内添加分布式防火墙规则。然后，可以缩小要应用规则的范围。分布式防火墙允许您在源级别和目标级别为每个规则添加多个对象，以帮助减少要添加的防火墙规则的总数。

前提条件

在虚拟数据中心仪表板屏幕上，单击要浏览的虚拟数据中心对应的卡视图，然后在网络下选择安全。
选择要为其修改防火墙规则的安全服务 VDC 网络，然后单击配置服务。
此时将显示“安全服务”屏幕。
选择要创建的规则类型。您可以选择创建常规规则或以太网规则。
第 3 层 (L3) 规则将在常规选项卡上配置。第 2 层 (L2) 规则将在以太网选项卡上配置。
要将某个规则添加到防火墙表中的现有规则下方，请单击现有行，然后单击创建 () 按钮。
新规则行将添加到选定规则下方，并且默认情况下将为其分配任何目标、任何服务以及允许操作。如果系统定义的“默认允许”规则是防火墙表中的唯一规则，则新规则将添加到默认规则的上方。
单击名称单元格，然后键入一个名称。

单击源单元格，然后使用现在可见图标选择要添加到该规则中的源：

操作	描述
单击 IP 图标	适用于在常规选项卡上定义的规则。输入要使用的源值。有效值为 IP 地址、CIDR、IP 范围或关键字 `any`。分布式防火墙仅支持 IPv4 格式。
单击 + 图标	使用 + 图标可将源指定为特定 IP 地址以外的对象：使用选择对象窗口添加与您的选择匹配的对象，然后单击保留将其添加到规则中。要从规则中排除某个源，请使用选择对象窗口将此源添加到此规则中，然后选择切换排除图标从此规则中排除此源。在对此源选择切换排除后，此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除，则此规则将应用于来自选择对象窗口中指定的源的流量

操作

描述

单击 IP 图标

适用于在常规选项卡上定义的规则。

输入要使用的源值。有效值为 IP 地址、CIDR、IP 范围或关键字 any。分布式防火墙仅支持 IPv4 格式。

单击 + 图标

使用 + 图标可将源指定为特定 IP 地址以外的对象：

在对此源选择切换排除后，此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除，则此规则将应用于来自选择对象窗口中指定的源的流量

单击目标单元格，然后执行以下操作之一：

操作	描述
单击 IP 图标	适用于在常规选项卡上定义的规则。输入要使用的目标值。有效值为 IP 地址、CIDR、IP 范围或关键字 `any`。分布式防火墙仅支持 IPv4 格式。
单击 + 图标	使用 + 图标可将源指定为特定 IP 地址以外的对象：使用选择对象窗口添加与您的选择匹配的对象，然后单击保留将其添加到规则中。要从规则中排除某个源，请使用“选择对象”窗口将此源添加到此规则中，然后选择切换排除图标从此规则中排除此源。在对此源选择切换排除后，此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除，则此规则将应用于来自选择对象窗口中指定的源的流量

操作

描述

单击 IP 图标

适用于在常规选项卡上定义的规则。

输入要使用的目标值。有效值为 IP 地址、CIDR、IP 范围或关键字 any。分布式防火墙仅支持 IPv4 格式。

单击 + 图标

使用 + 图标可将源指定为特定 IP 地址以外的对象：

单击此新规则对应的服务单元格，然后执行以下操作之一：

操作	描述
单击 IP 图标	将服务指定为端口–协议组合：选择服务协议。输入源和目标端口的端口号或指定 `any`，然后单击保留。
单击 + 图标	选择预定义的服务或服务组，或者定义一个新服务或服务组：选择一个或多个对象，然后将其添加到筛选器。单击保留。

在新规则的操作单元格中，为此规则配置相应操作。

选项	描述
允许	允许来自或流向指定源、目标和服务的流量。
拒绝	阻止来自或流向指定源、目标和服务的流量。

在新规则的方向单元格中，选择此规则是应用于入站流量、出站流量还是同时应用于这两种流量。
如果此规则在常规选项卡上，则在此新规则的数据包类型单元格中选择任何、IPV4 或 IPV6 数据包类型。
选择应用对象单元格，并使用 + 图标定义此规则所适用的对象范围。
如果此规则在源和目标单元格中均包含虚拟机，则您必须将源和目标虚拟机均添加到此规则应用对象中，此规则才能正常起作用。
重要说明： IP 地址组（IP 集）、MAC 地址组（MAC 集）和包含 IP 集或 MAC 集的安全组不是有效的输入参数。
单击保存更改。