Edge 防火墙选项卡显示在集中式“防火墙”选项卡上采用只读模式创建的规则。您在此添加的任何规则都不显示在集中式“防火墙”选项卡上。

您可以添加多个 NSX Edge 接口和 IP 地址组作为防火墙规则的源和目标。

注:

在 Edge 防火墙上不支持 SCTP 协议。

图 1. 适用于从 NSX Edge 接口流向 HTTP 服务器的流量的防火墙规则
规则

图 2. 适用于从 NSX Edge 的所有内部接口(连接到内部接口的端口组上的子网)流向 HTTP 服务器的流量的防火墙规则
规则

注:

如果选择内部作为源,则配置其他内部接口时此规则将自动更新。

图 3. 允许通过 SSH 方式流入内部网络 m/c 的流量防火墙规则
规则

过程

  1. 在 vSphere Web Client 中,导航到网络和安全 > NSX Edge
  2. 双击一个 NSX Edge
  3. 单击管理选项卡,然后单击防火墙选项卡。
  4. 执行以下操作之一。

    选项

    说明

    在防火墙表中的特定位置添加规则

    1. 选择规则。

    2. 在“编号”列中,单击 编辑编辑,然后选择添加到上方添加到下方

    新的“任意 任意”允许规则将添加到选定规则的下方。如果系统定义的规则是防火墙表中的唯一规则,则新规则将添加到默认规则的上方。

    通过复制规则添加规则

    1. 选择规则。

    2. 单击“复制”(复制) 图标或 编辑,然后选择复制

    3. 选择规则。

    4. 在“编号”列中,单击 编辑编辑,然后选择在上方粘贴在下方粘贴

    在防火墙表中的任意位置添加规则

    1. 单击添加 (“添加”图标) 图标。

    新的“任意 任意”允许规则将添加到选定规则的下方。如果系统定义的规则是防火墙表中的唯一规则,则新规则将添加到默认规则的上方。

    默认情况下启用新规则。

  5. 指向新规则的名称单元格,然后单击 编辑编辑
  6. 输入规则名称。
  7. 指向单元格,并单击 编辑

    如果单击了 ,请输入一个 IP 地址。

    1. 如果选择了 编辑编辑,请选择一种对象类型,然后选择相应的内容。
      • 如果选择 vNIC 组,然后选择 vse,则该规则将应用于 NSX Edge 生成的流量。

      • 如果选择内部外部,则此规则将应用于来自所选 NSX Edge 实例的任何内部或上行链路接口的流量。当配置其他接口时,此规则将自动更新。内部接口上的防火墙规则对逻辑路由器不起作用。

      • 如果选择 IP 集,则可以创建 IP 地址组。创建组之后,它将自动添加到源列中。有关创建 IP 集的信息,请参见创建 IP 地址组

    2. 单击确定
  8. 指向目标单元格,并单击 编辑
    1. 从下拉列表中选择一个对象,然后进行相应的选择。
      • 如果选择 vNIC 组,然后选择 vse,则该规则将应用于 NSX Edge 生成的流量。

      • 如果选择内部外部,则此规则将应用于流向所选 NSX Edge 实例的任何内部或上行链路接口的流量。当配置其他接口时,此规则将自动更新。内部接口上的防火墙规则对逻辑路由器不起作用。

      • 选择 IP 集,可创建一个 IP 地址组。创建组之后,它将自动添加到源列中。有关创建 IP 集的信息,请参见创建 IP 地址组

    2. 单击确定
  9. 指向服务单元格,并单击 编辑
    • 如果单击了 编辑编辑,请选择一个服务。要创建新服务或服务组,请单击新建。创建新服务后,它将自动添加到“服务”列中。有关详细信息,请参见创建服务

    • 如果单击了 ,则选择一个协议。单击“高级”选项旁的箭头可指定源端口。请避免在 5.1 版及更高版本中指定源端口。但可以为协议端口组合创建服务。

    注:

    NSX Edge 仅支持使用 L3 协议定义的服务。

  10. 指向操作单元格,并单击 编辑编辑。选择下表中所描述的相应选项,然后单击确定

    选定的操作

    结果

    允许或接受

    允许来自或流向指定源和目标的流量。

    阻止或拒绝

    阻止来自或流向指定源和目标的流量。

    拒绝

    针对不被接受的数据包发送拒绝消息。

    为 TCP 数据包发送 RST 数据包。

    为其他数据包发送 ICMP 不可访问(管理限制)数据包。

    日志

    记录与此规则匹配的所有会话。启用日志记录可能会影响性能。

    不记录

    不记录会话。

    备注

    根据需要键入备注。

    高级选项 > 转换时匹配

    如果是 NAT 规则,则将该规则应用于转换后的 IP 地址和服务

    启用规则方向

    指出规则是入站规则还是出站规则。

    VMware 建议不指定防火墙规则的方向。

  11. 单击发布更改将新规则推送到 NSX Edge 实例中。

下一步做什么

  • 禁用规则,方法是单击 禁用(位于编号列中规则编号的旁边)。

  • 隐藏生成的规则或预规则(在集中式“防火墙”选项卡上添加的规则),方法是单击隐藏生成的规则隐藏预规则

  • 通过单击 选择列 并选择相应的列,显示规则表中的其他列。

    列名称

    显示的信息

    规则标记

    系统为每个规则生成的唯一 ID

    日志

    记录或不记录此规则的流量

    统计信息

    单击 统计 可显示受此规则影响的流量(会话数、通信包数和大小)

    备注

    规则的备注

  • 通过在“搜索”字段中键入文本来搜索规则。