对于防火墙规则,您可以创建新的服务组或使用预定义的服务组。

过程

  1. 选择一个要在防火墙规则中使用的预定义服务或服务组。
    选项 说明
    NSX 6.4.1
    1. 指向新规则的服务 (Service)单元格,然后单击 编辑
    2. 对象类型 (Object Type)下拉菜单中选择对象类型。您可以创建新的安全组或 IP 集。在创建新对象后,默认将其添加到源或目标列中。有关创建新安全组或 IP 集的信息,请参见网络对象和安全对象
    3. 选择一个或多个对象,并单击箭头以将它们移动到选定对象 (Selected Objects)列。
    NSX 6.4.0
    1. 指向新规则的服务 (Service)单元格,然后单击 编辑
    2. 选择一个或多个对象,然后单击 移动

      可以创建新的服务或服务组。创建新对象后,默认情况下它将添加到“选定的对象”列。

    3. 单击确定 (OK)
  2. 选择一个要在防火墙规则中使用的端口/协议,或者定义新的端口/协议。
    选项 说明
    NSX 6.4.1
    1. 指向新规则的服务 (Service)单元格,然后单击 编辑
    2. 选择原始端口协议 (Raw Port-Protocol),然后单击添加 (Add)
    3. 从列表中选择协议 (Protocol),然后单击确定 (OK)
    NSX 6.4.0
    1. 指向新规则的服务 (Service)单元格,然后单击 端口
    2. 选择服务协议。

      分布式防火墙支持以下协议的 ALG(应用程序级别网关):TFTP、FTP、ORACLE TNS、MS-RPC 和 SUN-RPC。

      对于 FTP、TFTP 和 SNMP_BASIC,Edge 支持 ALG。

      注意:从 6.1.5 迁移到 6.2.3 的虚拟机不支持 TFTP ALG。要在迁移后启用 TFTP ALG 支持,请在排除列表中添加虚拟机后再将其移除,或者重新启动虚拟机。这会创建支持 TFTP ALG 的新 6.2.3 筛选器。

    3. 键入端口号,然后单击确定 (OK)
    为了保护网络免受 ACK 或 SYN 泛洪攻击,可以针对默认规则将“服务”设置为“TCP-all_ports”或“UDP-all_ports”,并将“操作”设置为“阻止”。有关修改默认规则的信息,请参见 编辑默认分布式防火墙规则