从 VMware Cloud Director 10.5.1 开始,可以在使用 IP 空间的提供者网关上配置防火墙规则。
前提条件
- 确认提供者网关使用 IP 空间。
- 确认提供者网关是专用网关(专用于单个组织)。
- 确认提供者网关的 NAT 和防火墙服务意向设置为提供者网关或提供者网关和 Edge 网关。
- 确认您的角色包含提供者网关防火墙: 查看和提供者网关防火墙: 管理权限。
- 确认支持 NSX 第 0 层路由器处于活动-备用模式。否则,您无法将提供者网关的 NAT 和防火墙服务意向设置为提供者网关或提供者网关和 Edge 网关。
过程
- 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择提供者网关。
- 单击该提供者网关。
- 在“服务”下,单击防火墙。
- 要创建新的防火墙规则,请单击新建。
- 配置防火墙规则。
| 名称 |
输入规则的名称。 |
| 状态 |
要在创建时启用规则,请打开状态开关。 |
| 应用程序 |
(可选)选择其中一个选项。
- 要将规则应用于特定应用程序,请打开应用程序开关,从列表中选择一个或多个应用程序,然后单击保存。
- 要选择规则应用于的特定端口,请单击原始端口协议,选择协议类型,然后输入源端口或端口范围和目标端口或端口范围并用逗号分隔。最多可为每条规则添加 15 对端口协议组合(每对组合一行)。
|
| 源 |
- 选择以下选项之一。
- 要允许或拒绝来自任何源地址的流量,请打开任何源。
- 要允许或拒绝来自特定防火墙组的流量,请单击防火墙组,然后从列表中选择防火墙组。
- 要手动输入 IP 地址、CIDR 块或 IP 范围,请单击防火墙 IP 地址,然后单击添加并输入各个 IP 地址、CIDR 块或范围。
- 单击保留。
|
| 目标 |
- 选择以下选项之一。
- 要允许或拒绝流向任何目标地址的流量,请打开任何目标。
- 要允许或拒绝流向特定防火墙组的流量,请单击防火墙组,然后从列表中选择防火墙组。
- 要手动输入 IP 地址、CIDR 块或 IP 范围,请单击防火墙 IP 地址,然后单击添加并输入各个 IP 地址、CIDR 块或范围。
- 单击保留。
|
| 操作 |
选择选项。
- 要允许来自或流向指定源、目标和服务的流量,请选择允许。
- 要阻止进出指定源、目标和服务的流量,而无需通知被阻止的客户端,请选择丢弃。
- 要阻止进出指定源、目标和服务的流量,并通知被阻止的客户端流量被拒绝,请选择拒绝。
|
| IP 协议 |
选择是否将规则应用于 IPv4 和/或 IPv6 流量。 |
| 应用对象 |
(可选)从下拉菜单中选择要将规则应用于的 IP 空间上行链路。 |
| 日志记录 |
要记录此规则执行的地址转换,请打开日志记录开关。 创建规则后,在“日志记录 ID”文本框中,您可以看到系统在创建规则时生成的唯一 NSX 防火墙规则 ID。 |
| 备注 |
(可选)为防火墙规则添加注释。 |
- 单击保存。
- 要更改防火墙规则的位置,请选择该规则,单击移至,然后从下拉菜单中选择一个新位置。
- 要配置其他规则,请重复这些步骤。
结果
创建防火墙规则后,该规则将显示在“防火墙规则”列表中。您可以根据需要上移、下移、编辑或删除规则。
