默认情况下,计算网关会阻止传输到所有上行链路的流量。可以根据需要添加计算网关防火墙规则以允许流量出入。
计算网关防火墙规则指定了对从指定源到指定目标的网络流量执行的操作。操作可以是允许(允许流量),也可以是丢弃(丢弃与指定源和目标匹配的所有数据包)。源和目标可以从物理网络接口列表中进行选择,也可以是通用规范
所有上行链路,即应用于传出网关并传入 VPC 接口、Internet 接口或 Direct Connect 接口的所有流量。
注: 应用于
所有上行链路的防火墙规则不会应用于
VPN 隧道接口 (VTI),VTI 是一个虚拟接口,不是物理上行链路。必须在管理通过基于路由的 VPN 进行工作负载虚拟机通信的任何防火墙规则的
应用对象参数中明确指定
VPN 隧道接口。
计算网关包括一个
默认 VTI 规则(该规则将丢弃传入 VTI 的所有流量)和一个
默认上行链路规则(该规则将丢弃传入
所有上行链路的流量)。要使工作负载虚拟机能够通过 VTI 进行通信,请修改此规则,或者将其移至规则层次结构中的较低等级(即放在限制性更弱的规则之后)。
尝试通过防火墙的所有流量按规则表中显示的顺序遵循规则,从顶部开始。第一个规则允许的数据包传递给第二个规则,依此类推向后传递,直到数据包被丢弃、拒绝或命中默认规则。
前提条件
计算网关 防火墙规则需要源和目标值的命名清单组。请参见添加或修改计算组。
过程
- 输入新规则的参数。
参数将初始化为其默认值(例如, 源和 目标会初始化为为 全部)。要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标 (
) 以打开参数特定的编辑器。
选项 描述 源 在源列中单击任意,然后为源网络流量选择一个清单组,或单击添加组,创建新的用户定义清单组以用于此规则。单击保存。 目标 在目标列中单击任意,然后为目标网络流量选择一个清单组,或单击创建新组,创建新的用户定义清单组以用于此规则。单击保存。 服务 在服务列中单击任意,然后从列表中选择一个服务。单击保存。 已应用于 定义将应用规则的流量类型: - 如果要将规则应用于通过基于路由的 VPN 传输的流量,请选择 VPN 隧道接口。
- 如果要将规则应用于通过已链接 Amazon VPC 连接传输的流量,请选择 VPC 接口。
- 如果要将规则应用于通过 Internet 传输的流量(包括使用公用 IP 的基于策略的 VPN),请选择 Internet 接口。
- 如果希望规则允许通过 AWS Direct Connect(专用 VIF)(包括使用专用 IP 的基于策略的 VPN)传输的流量,请选择 Direct Connect 接口。
- 如果要将规则应用于 VPC 接口、Internet 接口和 Direct Connect 接口,但不应用于 VPN 隧道接口,请选择所有上行链路。
注: VPN 隧道接口未划入上行链路类别。
操作 - 选择允许,以允许所有 L2 和 L3 流量通过防火墙。
- 选择丢弃,以丢弃与任何指定的源、目标和服务匹配的数据包。这是静默操作,不会通知源或目标系统。丢弃数据包会重试连接,直到达到重试阈值。
- 选择拒绝,以拒绝与任何指定的源、目标和服务匹配的数据包。此操作会向发送方返回“无法到达目标的消息”。对于 TCP 数据包,响应包括 TCP
RST消息。对于 UDP、ICMP 和其他协议,响应包含“管理禁止”代码(9 或 10)。无法建立连接时,会立即通知发送方(不会执行任何重试操作)。
新规则会默认处于启用状态。将开关滑到左侧可将其禁用。
后续步骤
可以对现有防火墙规则执行以下任何或所有可选操作。
-
单击齿轮图标
以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud”。 -
单击图形图标
以查看规则的规则命中数统计信息和流统计信息。
表 1. 规则命中数统计信息 热度指数 过去 24 小时内触发规则的次数。 命中计数 规则自创建以来触发的次数。
只要一启用规则,统计信息便开始累积。表 2. 流统计信息 数据包计数 流经此规则的数据包总数。 字节计数 流经此规则的字节总数。 - 对防火墙规则重新排序。
使用添加新规则按钮创建的规则将放置在规则列表的顶部。防火墙规则将按从上到下的顺序应用。要更改规则在列表中的位置,请选择该规则并将其拖动到新位置。单击发布以发布更改。
