VMware Cloud Director 10.5.1 开始,可以在使用 IP 空间的提供者网关上配置防火墙规则。

前提条件

  • 确认提供者网关使用 IP 空间。
  • 确认提供者网关是专用网关(专用于单个组织)。
  • 确认提供者网关的 NAT 和防火墙服务意向设置为提供者网关提供者网关和 Edge 网关
  • 确认您的角色包含提供者网关防火墙: 查看提供者网关防火墙: 管理权限。
  • 确认支持 NSX 第 0 层路由器处于活动-备用模式。否则,您无法将提供者网关的 NAT 和防火墙服务意向设置为提供者网关提供者网关和 Edge 网关

过程

  1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择提供者网关
  2. 单击该提供者网关。
  3. 在“服务”下,单击防火墙
  4. 要创建新的防火墙规则,请单击新建
  5. 配置防火墙规则。
    名称 输入规则的名称。
    状态 要在创建时启用规则,请打开状态开关。
    应用程序 (可选)选择其中一个选项。
    • 要将规则应用于特定应用程序,请打开应用程序开关,从列表中选择一个或多个应用程序,然后单击保存
    • 要选择规则应用于的特定端口,请单击原始端口协议,选择协议类型,然后输入源端口或端口范围和目标端口或端口范围并用逗号分隔。最多可为每条规则添加 15 对端口协议组合(每对组合一行)。
    1. 选择以下选项之一。
      • 要允许或拒绝来自任何源地址的流量,请打开任何源
      • 要允许或拒绝来自特定防火墙组的流量,请单击防火墙组,然后从列表中选择防火墙组。
      • 要手动输入 IP 地址、CIDR 块或 IP 范围,请单击防火墙 IP 地址,然后单击添加并输入各个 IP 地址、CIDR 块或范围。
    2. 单击保留
    目标
    1. 选择以下选项之一。
      • 要允许或拒绝流向任何目标地址的流量,请打开任何目标
      • 要允许或拒绝流向特定防火墙组的流量,请单击防火墙组,然后从列表中选择防火墙组。
      • 要手动输入 IP 地址、CIDR 块或 IP 范围,请单击防火墙 IP 地址,然后单击添加并输入各个 IP 地址、CIDR 块或范围。
    2. 单击保留
    操作 选择选项。
    • 要允许来自或流向指定源、目标和服务的流量,请选择允许
    • 要阻止进出指定源、目标和服务的流量,而无需通知被阻止的客户端,请选择丢弃
    • 要阻止进出指定源、目标和服务的流量,并通知被阻止的客户端流量被拒绝,请选择拒绝
    IP 协议 选择是否将规则应用于 IPv4 和/或 IPv6 流量。
    应用对象 (可选)从下拉菜单中选择要将规则应用于的 IP 空间上行链路。
    日志记录

    要记录此规则执行的地址转换,请打开日志记录开关。

    创建规则后,在“日志记录 ID”文本框中,您可以看到系统在创建规则时生成的唯一 NSX 防火墙规则 ID。

    备注 (可选)为防火墙规则添加注释。
  6. 单击保存
  7. 要更改防火墙规则的位置,请选择该规则,单击移至,然后从下拉菜单中选择一个新位置。
  8. 要配置其他规则,请重复这些步骤。

结果

创建防火墙规则后,该规则将显示在“防火墙规则”列表中。您可以根据需要上移、下移、编辑或删除规则。