安全策略是可以应用于安全组的一组 Guest Introspection、防火墙和网络自检服务。安全策略的显示顺序由与此策略相关联的权重决定。默认情况下,新策略分配有最高权重,因此位于表的顶部。但您可以修改建议的默认权重,以更改分配给新策略的顺序。

前提条件

请确保:
  • 安装了所需的 VMware 内置服务(例如分布式防火墙和 Guest Introspection)。
  • 已向 NSX Manager 注册了所需的合作伙伴服务。
  • 为服务编排防火墙规则设置了所需的默认应用对象值。请参见编辑服务编排防火墙应用对象设置

如果您要为 RDSH 身份防火墙创建安全策略框架:

  • Active Directory 服务器必须与 NSX Manager 集成。
  • 主机必须启用 DFW,并升级到 NSX 6.4.0。
  • 客户机必须运行更新的 VMware Tools。
  • GI SVM 的版本必须为 6.4 或更高版本。
  • 必须在防火墙规则的新区域中创建规则。
  • 规则必须选中在源中启用用户身份
  • 远程桌面访问规则不支持应用对象字段。
  • 适用于 RDSH 的 IDFW 不支持 ICMP。

过程

  1. vSphere Web Client 中,导航到网络和安全 (Networking & Security) > 安全 (Security) > 服务编排 (Service Composer)
  2. 单击安全策略 (Security Policies)选项卡。
  3. 要创建新的安全策略,请执行以下操作:
    • NSX 6.4.1 和更高版本中,单击添加 (Add)
    • NSX 6.4.0 中,单击创建安全策略 (Create Security Policy) (添加) 图标。
  4. 在“创建安全策略”或“新建安全策略”对话框中,键入安全策略的名称。
  5. 键入安全策略的描述。 描述不得超过 255 个字符。
    NSX 将为该策略分配默认权重(最高权重 + 1000)。例如,如果现有策略中的最高权重为 1200,则分配给新策略的权重为 2200。

    将根据安全策略的权重来应用安全策略 - 权重较高的策略优先于权重较低的策略。

  6. 如果您希望创建的策略接收来自其他安全策略的服务,请选择继承安全策略 (Inherit security policy)。选择父策略。
    新策略将继承来自父策略的所有服务。
  7. 单击下一步 (Next)
  8. 在“Guest Introspection 服务”页中,单击添加 (Add)添加 Guest Introspection 服务 (Add Guest Introspection Service) (“添加”图标) 图标。
    1. 在“添加 Guest Introspection 服务”对话框中,键入服务的名称和描述。
    2. 指定要应用服务还是阻止服务。
      继承安全策略后,可以选择阻止来自父策略的服务。

      如果应用服务,必须选择服务和服务配置文件。如果阻止服务,必须选择要阻止的服务的类型。

    3. 如果选择阻止服务,则要选择服务类型。
    4. 如果选择应用 Guest Introspection 服务, 将选择服务名称。
      将显示所选服务的默认服务配置文件,其中包括关联的供应商模板所支持的服务功能类型的相关信息。
    5. 状态 (State)中,指定要启用还是禁用选定的 Guest Introspection 服务。

      您可以添加 Guest Introspection 服务作为要在稍后启用的服务的占位符。此操作在需要按需应用服务的情况下尤其有用(例如,新应用程序)。

    6. 选择是否要强制执行 Guest Introspection 服务(即,不能覆盖此服务)。如果所选服务配置文件支持多个服务功能类型,则其默认设置为强制 (Enforce),且无法更改。

      如果在安全策略中强制执行 Guest Introspection 服务,则继承此安全策略的其他策略将要求在应用其他子策略之前应用此策略。如果未强制执行此服务,则继承选择会在应用子策略之后添加父策略。

    7. 单击确定 (OK)
    可按照上述步骤操作添加更多 Guest Introspection 服务。可通过服务表上方的图标来管理 Guest Introspection 服务。

    NSX 6.4.0 中,您可以单击“Guest Introspection 服务”页面右下角的 导出 图标以在该页上导出或复制服务。

  9. 单击下一步 (Next)
  10. 在“防火墙”页中,您可以为该安全策略将应用到的安全组定义防火墙规则。

    在为 RDSH 身份防火墙创建安全策略时,必须选中在源中启用用户身份。请注意,这会禁用“启用无状态防火墙”选项,因为系统会跟踪 TCP 连接状态来识别上下文。在更新策略时,无法更改此标记。使用在源中启用用户身份创建安全策略后,将不支持继承。

    1. 单击相应的复选框以启用以下可选参数:
      选项 说明
      在源中启用用户身份

      使用 RDSH 身份防火墙时,必须选中在源中启用用户身份。请注意,这会禁用“启用无状态防火墙”选项,因为系统会跟踪 TCP 连接状态来识别上下文。

      启用 TCP 严格策略 允许您为每个防火墙区域设置 TCP 严格策略。
      启用无状态防火墙 允许您为每个防火墙区域启用无状态防火墙。
    2. 单击添加 (Add)添加防火墙规则 (Add Firewall Rule) (“添加”图标) 图标。
    3. 键入所添加的防火墙规则的名称和描述。
    4. 选择允许 (Allow)阻止 (Block)拒绝 (Reject),以指示规则是需要允许、阻止还是拒绝发送到选定目标的流量。
    5. 为该规则选择源。默认情况下,此规则应用于来自应用此策略的安全组的流量。要更改默认源,请单击选择 (Select)更改 (Change),然后选择相应的安全组。
    6. 为该规则选择目标。
      注: “源”或“目标”(或两者)必须是应用此策略的安全组。
      假设您使用默认源创建规则,则将“目标”指定为“工资单”,然后选择 取消目标 (Negate Destination)。然后将此安全策略应用到“工程部”安全组。此操作将使“工程部”能够访问除“工资单”服务器以外的任何位置。
    7. 选择将应用此规则的服务和/或服务组。
    8. 选择已启用 (Enabled)已禁用 (Disabled),以指定规则状态。
    9. 选择日志 (Log)以记录与此规则相匹配的会话。
      启用日志记录功能可能会影响性能。
    10. 在添加或编辑防火墙规则时,在标记 (Tag)文本框中输入要添加的文本。
    11. 单击确定 (OK)
    可按照上述步骤操作添加更多防火墙规则。可通过防火墙表上方的图标来管理防火墙规则。

    NSX 6.4.0 中,您可以单击“防火墙”页面右下角的 导出 图标以在该页上导出或复制规则。

    您在此处添加的防火墙规则将显示在“防火墙”表中。VMware 建议您不要编辑防火墙表中的服务编排规则。如果必须这样做以进行紧急故障排除,您必须将服务编排规则与防火墙规则重新同步,如下所示:
    • NSX 6.4.1 和更高版本中,在“安全策略”选项卡上选择同步 (Synchronize)
    • NSX 6.4.0 中,从“安全策略”选项卡上的操作 (Actions)菜单中选择同步防火墙规则 (Synchronize Firewall Rules)
  11. 单击下一步 (Next)
    “网络自检服务”页面将显示已与您的 VMware 虚拟环境相集成的 NetX 服务。
  12. 单击相应的复选框以启用以下可选参数:
    选项 说明
    启用 TCP 严格策略 允许您为每个防火墙区域设置 TCP 严格策略。
    启用无状态防火墙 允许您为每个防火墙区域启用无状态防火墙。
  13. 单击添加 (Add)添加网络自检服务 (Add Network Introspection Service) (“添加”图标) 图标。
    1. 输入所添加的服务的名称和描述。
    2. 选择是否重定向到服务。
    3. 选择服务名称和配置文件。
    4. 选择源和目标
    5. 选择要添加的网络服务。
      可以根据所选服务进行更多选择。
    6. 选择是启用还是禁用服务。
    7. 选择“日志”以记录与此规则相匹配的会话。
    8. 标记 (Tag)文本框中输入要添加的文本。
    9. 单击确定 (OK)
    可按照上述步骤操作添加更多网络自检服务。可通过服务表上方的图标来管理网络自检服务。

    NSX 6.4.0 中,您可以单击“网络自检服务”页面右下角的 导出 图标以在该页上导出或复制服务。

    注: 为服务编排策略中使用的服务配置文件手动创建的绑定将被覆盖。
  14. 单击完成 (Finish)
    安全策略添加到策略表中。可以单击策略名称并选择相应的选项卡,以查看与该策略关联的服务摘要、查看服务错误或编辑服务。

后续步骤

将安全策略映射到安全组。