可以在 NSX Manager 范围添加防火墙规则。然后,可以使用“应用对象”字段缩小要应用规则的范围。您可以在源级别和目标级别为每个规则添加多个对象,以帮助减少要添加的防火墙规则的总数。

前提条件

如果您正在根据 VMware vCenter 对象添加规则,请确保在虚拟机上安装了 VMware Tools。请参见NSX 安装指南

从 6.1.5 迁移到 6.2.3 的虚拟机不支持 TFTP ALG。要在迁移后启用 TFTP ALG 支持,请在排除列表中添加虚拟机后再将其移除,或者重新启动虚拟机。这会创建支持 TFTP ALG 的新 6.2.3 筛选器。

注: 基于身份的防火墙规则先决条件:
  • 已在 NSX Manager 中注册一个或多个域。NSX Manager 从向其注册的每个域获取组和用户信息以及两者之间的关系。请参见在 NSX Manager 中注册 Windows 域
  • 已基于 Active Directory 对象创建了可用作规则的源或目标的安全组。请参见创建安全组
  • Active Directory 服务器必须与 NSX Manager 集成。
  • 主机必须启用 DFW,并升级到 NSX 6.4.0。
  • 客户机必须运行更新的 VMware Tools。
  • GI SVM 的版本必须为 6.4 或更高版本。
  • 必须在防火墙规则的新区域中创建规则。
  • 规则必须选中在源中启用用户身份
  • 远程桌面访问规则不支持应用对象字段。
  • 适用于 RDSH 的 IDFW 不支持 ICMP。
注: 通用防火墙规则先决条件:

跨 vCenter NSX 环境中,通用规则指在通用规则区域中的主 NSX Manager 上定义的分布式防火墙规则。将在环境中的所有辅助 NSX Manager 上复制这些规则,以便您能够跨 vCenter 边界保持一致的防火墙策略。主 NSX Manager 可以包含多个用于通用 L2 规则的通用区域和多个用于通用 L3 规则的通用区域。通用区域在所有本地和服务编排区域的顶部。可以在辅助 NSX Manager 上查看通用区域和通用规则,但是不能进行编辑。通用区域相对于本地区域的位置不会干扰规则优先级。

多个 vCenter Server 之间的 vMotion 不支持 Edge 防火墙规则。

表 1. 通用防火墙规则支持的对象
源和目标 应用对象 服务
  • 通用 MAC 集
  • 通用 IP 集
  • 可包含通用安全标记、IP 集、MAC 集或通用安全组的通用安全组
  • 可包含通用安全标记、IP 集、MAC 集或通用安全组的通用安全组
  • 通用逻辑交换机
  • 分布式防火墙 - 在已安装分布式防火墙的所有群集上应用规则
  • 预先创建的通用服务和服务组
  • 用户创建的通用服务和服务组
请注意,通用规则不支持其他 vCenter 对象。

确保 NSX 分布式防火墙的状态未处于向后兼容模式。要检查当前状态,请使用以下 REST API 调用:GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state。如果当前状态为向后兼容模式,您可以使用以下 REST API 调用将状态更改为向前兼容:PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state。当分布式防火墙处于向后兼容模式时,请勿尝试发布分布式防火墙规则。

过程

  1. vSphere Web Client 中,导航到网络和安全 (Networking & Security) > 安全 (Security) > 防火墙 (Firewall)
  2. 确保您处于配置 (Configuration) > 常规 (General)选项卡中,以便添加 L3、 L4 或 L7 规则。单击以太网 (Ethernet)选项卡可添加 L2 规则。
    如果创建通用防火墙规则,请在通用规则区域中创建该规则。
  3. 指向新规则的名称 (Name)单元格,然后单击 编辑
  4. 键入新规则的名称。