分布式防火墙规则在虚拟机 (vNIC) 级别应用,可以控制 SDDC 中的东西向流量。

尝试通过分布式防火墙的所有流量按规则表中显示的顺序遵循规则,从顶部开始。第一个规则允许的数据包传递给第二个规则,依此类推向后传递,直到数据包丢弃、拒绝或到达允许所有流量的默认规则。

注意:

在 SDDC 版本 1.20、1.20v2 或 1.20v3 中,如果分布式防火墙规则的上下文配置文件具有 FQDN 属性,则 DNS 服务器的响应中显示 CNAME 记录时,可能会触发 PSOD 故障。有关详细信息,请参见 VMware 知识库文章 91654

分布式防火墙规则分组到各个策略中。策略按类别进行组织。每个类别都有一个评估优先级。优先级较高的类别中的规则优先于优先级较低的类别中的规则进行评估。
表 1. 分布式防火墙规则类别
类别评估优先级 类别名称 描述
1 以太网 应用于所有第 2 层 SDDC 网络流量。
注: 此类别中的规则需要将 MAC 地址作为源和目标。接受但会忽略 IP 地址。
2 紧急 用于隔离和允许规则。
3 基础架构 定义对共享服务的访问权限。全局规则、AD、DNS、NTP、DHCP、备份、管理服务器。
4 环境 安全区域之间的规则,例如,生产区域、开发区域或专用于特定业务用途的区域。
5 应用程序 应用程序、应用程序层或微服务之间的规则。
有关分布式防火墙术语的详细信息,请参见 NSX Data Center 管理指南》中的 “安全术语”

前提条件

分布式防火墙规则要求将清单组作为源和目标,并且必须应用于服务,该服务可以是预定义的服务,也可以是为 SDDC 定义的自定义服务。可以在创建规则时创建这些组和服务,但如果事先创建了一部分,则可以加快该过程的速度。请参见使用清单组

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理
    也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。
  4. 打开分布式防火墙页面。
    单击 类别特定的规则,然后选择类别以查看和修改该类别中的策略和规则;单击 所有规则以查看(但不能修改)所有策略和类别中的规则。
  5. (可选) 更改默认的连接策略。
    分布式防火墙包括应用于所有第 2 层和第 3 层流量的默认规则。这些规则将在其类别中的所有其他规则之后进行评估,并允许与前面规则不匹配的流量通过防火墙。可以更改这两个规则中的一个或两个以使其更具限制性,但不能禁用任何一个规则。
    • 要更改默认的第 2 层规则,请在以太网类别中展开默认的第 2 层区域,然后将该规则上的操作更改为丢弃
    • 要更改默认的第 3 层规则,请在应用程序类别中展开默认的第 3 层区域,然后将该规则上的操作更改为 丢弃拒绝
    单击 发布以更新规则。
  6. 要添加策略,请打开适当的类别,单击添加策略,并为新策略指定名称

    新策略将添加到其类别的策略列表的顶部。要将策略添加到现有策略之前或之后,请单击策略所在行开头的垂直省略号按钮以打开策略设置菜单,然后单击在上方添加策略在下方添加策略

    默认情况下,应用对象列设置为 DFW,并且该规则将应用于所有工作负载。您还可以将该规则或策略应用于选定的组。应用对象定义每个规则的实施范围,主要用于优化主机资源消耗。这有助于为特定区域和租户定义目标策略,而不会干扰为其他租户和区域定义的其他策略。

    注: 应用对象文本框中不能使用只包含 IP 地址、MAC 地址或 Active Directory 组的组。
  7. 要添加规则,请选择策略,然后单击添加规则,并为规则指定名称
  8. 输入新规则的参数。
    参数将初始化为其默认值(例如, 目标会初始化为为 全部)。要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标 ( 铅笔图标) 以打开参数特定的编辑器。
    选项 描述
    列中单击任意,然后为源网络流量选择一个清单组,或单击添加组,创建新的用户定义清单组以用于此规则。单击保存
    目标 目标列中单击任意,然后为目标网络流量选择一个清单组,或单击添加组以创建新的用户定义清单组以用于此规则。单击保存
    服务 服务列中单击任意,然后从列表中选择一个服务。单击保存
    应用对象 规则从包含该规则的策略中继承其应用对象值。
    操作
    • 选择允许,以允许所有 L2 和 L3 流量通过防火墙。
    • 选择丢弃,以丢弃与任何指定的目标服务匹配的数据包。这是静默操作,不会通知源或目标系统。丢弃数据包会重试连接,直到达到重试阈值。
    • 选择拒绝,以拒绝与任何指定的目标服务匹配的数据包。此操作会向发送方返回“无法到达目标的消息”。对于 TCP 数据包,响应包括 TCP RST 消息。对于 UDP、ICMP 和其他协议,响应包含“管理禁止”代码(9 或 10)。无法建立连接时,会立即通知发送方(不会执行任何重试操作)。
    新规则会默认处于启用状态。将开关滑到左侧可将其禁用。
  9. (可选) 配置高级设置。
    要更改规则的方向或日志记录行为,请单击齿轮图标 打开 设置页面。
    方向
    默认情况下,此值为 传入/传出,并将规则应用于所有源和目标。可以将此值更改为 传入,以仅将规则应用于源的入站流量,也可以更改为 传出,以仅将规则应用于流入目标的出站流量。更改此值可能会导致非对称路由和其他流量异常,因此在更改 方向的默认值之前,请务必了解所有源和目标的可能结果。
    日志记录
    默认情况下,将禁用新规则的日志记录。将开关滑到右侧以启用规则操作的日志记录。
  10. 单击发布以创建规则。

    系统会为新规则提供一个整数 ID 值,用于在生成的日志条目中标识规则。

下一步做什么

可以对现有防火墙规则执行以下任何或所有可选操作。

  • 单击齿轮图标 (齿轮图标) 以查看或修改规则日志记录设置。日志条目将发送到 VMware VMware Aria Operations for Logs 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 VMware Aria Operations for Logs

  • 单击图形图标 ( 图形图标) 以查看规则的规则命中数统计信息和流统计信息。
    表 2. 规则命中数统计信息
    热度指数 过去 24 小时内触发规则的次数。
    命中计数 规则自创建以来触发的次数。
    表 3. 流统计信息
    数据包计数 流经此规则的数据包总数。
    字节计数 流经此规则的字节总数。
    只要一启用规则,统计信息便开始累积。
  • 对防火墙规则重新排序。

    使用添加新规则按钮创建的规则将放置在策略中规则列表的顶部。每个策略中的防火墙规则将按从上到下的顺序进行应用。要更改规则在列表中的位置,请选择该规则并将其拖动到新位置。单击发布以发布更改。