跨 vCenter NSX 环境中,通用规则指在通用规则区域中的主 NSX Manager 上定义的分布式防火墙规则。将在环境中的所有辅助 NSX Manager 上复制这些规则,以便您能够跨 vCenter 边界保持一致的防火墙策略。多个 vCenter Server 之间的 vMotion 不支持 Edge 防火墙规则。

主 NSX Manager 可以包含多个用于通用 L2 规则的通用区域和多个用于通用 L3 规则的通用区域。通用区域在所有本地和服务编排区域的顶部。可以在辅助 NSX Manager 上查看通用区域和通用规则,但是不能进行编辑。通用区域相对于本地区域的位置不会干扰规则优先级。

表 1. 通用防火墙规则支持的对象
源和目标 应用对象 服务
  • 通用 MAC 集
  • 通用 IP 集
  • 可包含通用安全标记、IP 集、MAC 集或通用安全组的通用安全组
  • 可包含通用安全标记、IP 集、MAC 集或通用安全组的通用安全组
  • 通用逻辑交换机
  • 分布式防火墙 - 在已安装分布式防火墙的所有群集上应用规则
  • 预先创建的通用服务和服务组
  • 用户创建的通用服务和服务组
请注意,通用规则不支持其他 vCenter 对象。

前提条件

必须先创建通用规则区域,然后才能创建通用规则。请参见添加防火墙规则区域

过程

  1. 在 vSphere Web Client 中,导航到网络和安全 (Networking & Security) > 防火墙 (Firewall)
  2. 在 NSX Manager 中,确保选择主 NSX Manager。
    仅可在主 NSX Manager 上添加通用规则。
  3. 确保您处于常规 (General)选项卡中以添加 L3 通用规则。单击以太网 (Ethernet)选项卡可添加 L2 通用规则。
  4. 在通用区域中,单击添加规则 (Add rule) (“添加”图标) 图标,然后单击发布更改 (Publish Changes)
    任何一个允许的新规则将添加到通用区域的顶部。
  5. 指向新规则的名称 (Name)单元,并单击 。键入规则的名称。
  6. 指向新规则的源 (Source)单元。将显示其他图标,如下表中所述。
    选项 说明
    单击 IP 要将源指定为 IP 地址,请执行以下操作:
    1. 选择 IP 地址格式。

      防火墙同时支持 IPv4 和 IPv6 格式。

    2. 键入 IP 地址。
    单击 要将通用 IPSet、MACSet 或安全组指定为源,请执行以下操作:
    1. 对象类型 (Object Type)中,选择一个产生通信的容器。

      此时会显示选定容器的对象。

    2. 选择一个或多个对象,然后单击 添加

      可以创建一个新的安全组或 IPSet。创建新对象后,默认情况下它将添加到“源”列。有关创建新安全组或 IPSet 的信息,请参见网络对象和安全对象

    3. 要将某个源排除在规则之外,请单击高级选项 (Advanced options)
    4. 选择取消源 (Negate Source),以便将该源排除在规则之外。

      如果选择取消源 (Negate Source),则此规则将应用于来自所有源的流量,但在上一个步骤中指定的源的流量除外。

      如果未选择取消源 (Negate Source),则此规则将应用于来自在上一个步骤中指定的源的流量。

    5. 单击确定 (OK)
  7. 指向新规则的目标 (Destination)单元。将显示其他图标,如下表中所述。
    选项 说明
    单击 IP 要将目标指定为 IP 地址,请执行以下操作:
    1. 选择 IP 地址格式。

      防火墙同时支持 IPv4 和 IPv6 格式。

    2. 键入 IP 地址。
    单击 要将通用 IPSet、MACSet 或安全组指定为目标,请执行以下操作:
    1. 对象类型 (Object Type)中,选择一个通信流向的容器。

      此时会显示选定容器的对象。

    2. 选择一个或多个对象,然后单击 添加

      可以创建一个新的安全组或 IPSet。创建新对象后,默认情况下它将添加到“目标”列。有关创建新安全组或 IPSet 的信息,请参见网络对象和安全对象

    3. 要将某个目标排除在规则之外,请单击高级选项 (Advanced options)
    4. 选择取消目标 (Negate Destination),以便将该目标排除在规则之外。

      如果选择取消目标 (Negate Destination),则此规则将应用于流向所有目标的流量,但在上一个步骤中指定的目标的流量除外。

      如果未选择取消目标 (Negate Destination),则此规则将应用于流向在上一个步骤中指定的目标的流量。

    5. 单击确定 (OK)
  8. 指向新规则的服务 (Service)单元格。将显示其他图标,如下表中所述。
    选项 说明
    单击 端口 要将服务指定为端口协议组合,请执行以下操作:
    1. 选择服务协议。

      分布式防火墙支持以下协议的 ALG(应用程序级别网关):FTP、CIFS、ORACLE TNS、MS-RPC 和 SUN-RPC。

    2. 键入端口号,然后单击确定 (OK)
    单击 要选择预定义的通用服务/服务组或定义新的通用服务/服务组,请执行以下操作:
    1. 选择一个或多个对象,然后单击 添加

      可以创建新的服务或服务组。创建新对象后,默认情况下它将添加到“选定的对象”列。

    2. 单击确定 (OK)
    要保护您的网络以免受到 ACK 或 SYN 泛洪攻击,请将默认规则的“服务”设置为“TCP-all_ports”或“UDP-all_ports”,并将“操作”设置为“阻止”。有关修改默认规则的信息,请参见 编辑默认分布式防火墙规则
  9. 指向新规则的操作 (Action)单元,然后单击 。选择下表中所描述的相应选项,然后单击确定 (OK)
    操作 结果
    允许 允许来自或流向指定源、目标和服务的流量。
    阻止 阻止来自或流向指定源、目标和服务的流量。
    拒绝 针对不被接受的数据包发送拒绝消息。

    对于 TCP 连接,发送 RST 数据包。

    对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。

    日志 记录与此规则匹配的所有会话。启用日志记录可能会影响性能。
    不记录 不记录会话。
  10. 应用对象 (Applied To)单元中,接受默认设置分布式防火墙以在已启用分布式防火墙的所有群集上应用此规则,或单击编辑图标 以选择将应用此规则的通用逻辑交换机。
  11. 单击发布更改 (Publish Changes)

结果

将在所有辅助 NSX Manager 上复制此通用规则。所有 NSX 实例之间的规则 ID 保持相同。要显示规则 ID,请单击 选择列,然后单击“规则 ID”。

通用规则可在主 NSX Manager 上进行编辑,而在辅助 NSX Manager 上是只读的。

具有通用区域第 3 层和默认区域第 3 层的防火墙规则:

防火墙规则

后续步骤

  • 通过在“编号”列中单击 禁用 禁用规则,或通过单击 启用规则 启用规则。
  • 通过单击 选择列 并选择相应的列,显示规则表中的其他列。
    列名称 显示的信息
    规则 ID 系统为每个规则生成的唯一 ID
    日志 记录或不记录此规则的流量
    统计信息 单击 统计信息 将显示与此规则相关的流量(流量包和大小)
    备注 规则的备注
  • 通过在“搜索”字段中键入文本来搜索规则。
  • 在防火墙表中向上或向下移动规则。