添加 NSX Edge 防火墙规则

Edge 防火墙选项卡显示在集中式“防火墙”选项卡上采用只读模式创建的规则。您在此添加的任何规则都不显示在集中式“防火墙”选项卡上。

您可以添加多个 NSX Edge 接口和 IP 地址组作为防火墙规则的源和目标。

注：

在 Edge 防火墙上不支持 SCTP 协议。

注：

如果选择内部作为源，则配置其他内部接口时此规则将自动更新。

1. 在 vSphere Web Client 中，导航到网络和安全 > NSX Edge。
2. 双击一个 NSX Edge。
3. 单击管理选项卡，然后单击防火墙选项卡。
4. 执行以下操作之一。

   选项	说明
   在防火墙表中的特定位置添加规则	选择规则。 在“编号”列中，单击 或 ，然后选择添加到上方或添加到下方。 新的“任意 任意”允许规则将添加到选定规则的下方。如果系统定义的规则是防火墙表中的唯一规则，则新规则将添加到默认规则的上方。
   通过复制规则添加规则	选择规则。 单击“复制”() 图标或 ，然后选择复制。 选择规则。 在“编号”列中，单击 或 ，然后选择在上方粘贴或在下方粘贴。
   在防火墙表中的任意位置添加规则	单击添加 () 图标。 新的“任意 任意”允许规则将添加到选定规则的下方。如果系统定义的规则是防火墙表中的唯一规则，则新规则将添加到默认规则的上方。

   默认情况下启用新规则。

5. 指向新规则的名称单元格，然后单击 或 。
6. 输入规则名称。
7. 指向源单元格，并单击 或 。

   如果单击了 ，请输入一个 IP 地址。

   1. 如果选择了 或 ，请选择一种对象类型，然后选择相应的内容。

      • 如果选择 vNIC 组，然后选择 vse，则该规则将应用于 NSX Edge 生成的流量。

      • 如果选择内部或外部，则此规则将应用于来自所选 NSX Edge 实例的任何内部或上行链路接口的流量。当配置其他接口时，此规则将自动更新。内部接口上的防火墙规则对逻辑路由器不起作用。

      • 如果选择 IP 集，则可以创建 IP 地址组。创建组之后，它将自动添加到源列中。有关创建 IP 集的信息，请参见创建 IP 地址组。

   2. 单击确定。
8. 指向目标单元格，并单击 或 。
   1. 从下拉列表中选择一个对象，然后进行相应的选择。

      • 如果选择 vNIC 组，然后选择 vse，则该规则将应用于 NSX Edge 生成的流量。

      • 如果选择内部或外部，则此规则将应用于流向所选 NSX Edge 实例的任何内部或上行链路接口的流量。当配置其他接口时，此规则将自动更新。内部接口上的防火墙规则对逻辑路由器不起作用。

      • 选择 IP 集，可创建一个 IP 地址组。创建组之后，它将自动添加到源列中。有关创建 IP 集的信息，请参见创建 IP 地址组。

   2. 单击确定。
9. 指向服务单元格，并单击 或 。

   • 如果单击了 或 ，请选择一个服务。要创建新服务或服务组，请单击新建。创建新服务后，它将自动添加到“服务”列中。有关详细信息，请参见创建服务。

   • 如果单击了 ，则选择一个协议。单击“高级”选项旁的箭头可指定源端口。请避免在 5.1 版及更高版本中指定源端口。但可以为协议端口组合创建服务。

   注：

   NSX Edge 仅支持使用 L3 协议定义的服务。

10. 指向操作单元格，并单击 或 。选择下表中所描述的相应选项，然后单击确定。

    选定的操作	结果
    允许或接受	允许来自或流向指定源和目标的流量。
    阻止或拒绝	阻止来自或流向指定源和目标的流量。
    拒绝	针对不被接受的数据包发送拒绝消息。 为 TCP 数据包发送 RST 数据包。 为其他数据包发送 ICMP 不可访问（管理限制）数据包。
    日志	记录与此规则匹配的所有会话。启用日志记录可能会影响性能。
    不记录	不记录会话。
    备注	根据需要键入备注。
    高级选项 > 转换时匹配	如果是 NAT 规则，则将该规则应用于转换后的 IP 地址和服务
    启用规则方向	指出规则是入站规则还是出站规则。 VMware 建议不指定防火墙规则的方向。

11. 单击发布更改将新规则推送到 NSX Edge 实例中。