要保护进出 Edge 网关的通信,可以在该 Edge 网关上创建和管理防火墙规则。

有关保护组织虚拟数据中心虚拟机之间的通信的信息,请参见管理 VMware Cloud Director 组织虚拟数据中心上的分布式防火墙

在分布式防火墙屏幕上创建并在“应用对象”列中指定了高级 Edge 网关的规则不会显示在该高级 Edge 网关的“防火墙”屏幕中。

Edge 网关的 Edge 网关防火墙规则显示在防火墙屏幕中,并按以下顺序强制实施:

  1. 内部规则,也称为自动检测到的规则。这些内部规则使控制流量能够传输来实现各种 Edge 网关服务。
  2. 用户定义的规则。
  3. 默认规则。

默认规则设置应用于与任何用户定义的防火墙规则均不匹配的流量。默认规则将显示在“防火墙”屏幕上规则的底部。

在租户门户中,使用 Edge 网关“防火墙规则”屏幕上的启用开关激活或停用 Edge 网关防火墙。

VMware Cloud Director Service Provider Admin Portal 中添加 NSX Data Center for vSphere Edge 网关防火墙规则

您可以使用 Edge 网关的防火墙选项卡为该 Edge 网关添加防火墙规则。您可以将多个 Edge 接口和多个 IP 地址组添加为这些防火墙规则的源和目标。

为规则的源或目标指定内部表示允许连接到 NSX Edge 网关的端口组上所有子网的流量。如果您选择内部作为源,则在 NSX 网关上配置其他内部接口时,该规则将自动更新。

注: 为动态路由配置 Edge 网关时,内部接口上的 Edge 网关防火墙规则将不起作用。

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择资源,然后在页面顶部导航栏中选择云资源选项卡。
    2. 在左侧二级导航面板中,选择 Edge 网关
    3. 单击目标 Edge 网关名称旁边的单选按钮,然后单击服务
  2. 如果防火墙规则屏幕尚不可见,请单击防火墙选项卡。
  3. 要将某个规则添加到防火墙规则表中的现有规则下方,请单击现有行,然后单击创建按钮。
    新规则行将添加到选定规则下方,并且默认情况下将为其分配任何目标、任何服务以及 允许操作。如果系统定义的默认规则是防火墙表中的唯一规则,则新规则将添加到默认规则的上方。
  4. 单击名称单元格,然后键入一个名称。
  5. 单击单元格,然后使用现在可见图标选择要添加到该规则中的源:
    选项 描述
    单击 IP 图标 键入要使用的源值。有效值为 IP 地址、CIDR、IP 范围或关键字 any。Edge 网关防火墙同时支持 IPv4 和 IPv6 格式。
    单击 + 图标 使用 + 图标可将源指定为特定 IP 地址以外的对象:
    • 使用选择对象窗口添加与您的选择匹配的对象,然后单击保留将其添加到规则中。
    • 要从规则中排除某个源,请使用选择对象窗口将此源添加到此规则中,然后选择切换排除图标从此规则中排除此源。

    在对此源选择切换排除后,此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除,则此规则将应用于来自选择对象窗口中指定的源的流量

  6. 单击目标单元格,然后执行以下选项之一:
    选项 描述
    单击 IP 图标 键入要使用的目标值。有效值为 IP 地址、CIDR、IP 范围或关键字 any。Edge 网关防火墙同时支持 IPv4 和 IPv6 格式。
    单击 + 图标 使用 + 图标可将源指定为特定 IP 地址以外的对象:
    • 使用选择对象窗口添加与您的选择匹配的对象,然后单击保留将其添加到规则中。
    • 要从规则中排除某个源,请使用“选择对象”窗口将此源添加到此规则中,然后选择切换排除图标从此规则中排除此源。

    在对此源选择切换排除后,此规则将应用于来自您排除的源以外的所有源的流量。如果未选择切换排除,则此规则将应用于来自选择对象窗口中指定的源的流量

  7. 单击新规则的服务单元格,然后单击 + 图标,将服务指定为端口协议组合:
    1. 选择服务协议。
    2. 键入源和目标端口的端口号,或指定 any
    3. 单击保留
  8. 在新规则的操作单元格中,为此规则配置相应操作。
    选项 描述
    接受 允许来自或流向指定源、目标和服务的流量。
    拒绝 阻止来自或流向指定源、目标和服务的流量。
  9. 单击保存更改
    保存操作可能需要一分钟才能完成。

VMware Cloud Director Service Provider Admin Portal 中修改 NSX Data Center for vSphere Edge 网关防火墙规则

您只能编辑和删除已添加到 Edge 网关的用户定义的防火墙规则。除了可以更改默认规则的操作设置之外,您不能编辑或删除自动生成的规则或默认规则的其他内容。您可以更改用户定义的规则的优先级顺序。

有关规则的各种单元格的可用设置的详细信息,请参见在 VMware Cloud Director Service Provider Admin Portal 中添加 NSX Data Center for vSphere Edge 网关防火墙规则

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择资源,然后在页面顶部导航栏中选择云资源选项卡。
    2. 在左侧二级导航面板中,选择 Edge 网关
    3. 单击目标 Edge 网关名称旁边的单选按钮,然后单击服务
  2. 单击防火墙选项卡。
  3. 管理防火墙规则。
    • 单击规则的编号单元格中的绿色复选标记,停用该规则。绿色复选标记将变成红色已停用图标。如果规则已停用,您想要激活该规则,请单击红色已停用图标。
    • 通过双击规则的名称单元格并键入新名称来编辑规则的名称。
    • 通过选择相应的单元格并使用显示的控件修改规则的设置,例如源或操作设置。
    • 选择一条规则并单击规则表上方的删除按钮以删除该规则。
    • 使用仅显示用户定义的规则开关隐藏系统生成的规则。
    • 通过选择相应规则并单击规则表上方的向上和向下箭头按钮,将规则在规则表中上移或下移。
  4. 单击保存更改

VMware Cloud Director 中将 Syslog 服务器设置应用于 NSX Data Center for vSphere Edge 网关

如果为一个或多个 Edge 网关防火墙规则启用了日志记录,则 Edge 网关将连接到 Syslog 服务器。如果在初始配置 Syslog 服务器之前创建了 Edge 网关,或者更改了 Syslog 服务器设置,则必须同步此 Edge 网关的 Syslog 服务器设置。

过程

  1. 在左侧一级导航面板中选择资源,然后在页面顶部导航栏中选择云资源
  2. 在左侧二级导航面板中,选择 Edge 网关
  3. 单击目标 Edge 网关名称旁边的单选按钮,然后单击同步 Syslog
  4. 单击确定,确认删除。