上下文感知防火墙专门用于东西向情况,而不适用于常规 Web 浏览分类。应用程序可以限制为在数据中心使用的特定应用程序,例如 SSH、FTP、TFTP、SQL、DNS、PCoIP 等。

下面是上下文感知防火墙的几个用例:

  • 用例 1:某个团队的 IT 总监 Don 指示他的 NSX 管理员限制特定虚拟机的所有 HTTP 流量。Don 希望不论该流量来自哪个端口,都对其进行限制。
  • 用例 2:某个团队的 IT 主管 Robert 希望当特定虚拟机的 HTTP 流量不是来自 TCP 端口 8080 时限制该流量。
  • 用例 3:现在有一个上下文感知防火墙,它还可以扩展到基于身份的登录,以便 Active Directory 用户在登录到其虚拟桌面后,将只能访问来自端口 8080 的 HTTP 请求。一位经理希望他的员工 John 能够访问仅来自端口 8080 的 HTTP,并且只能在 John 登录到 Active Directory 时访问。

场景 1:允许特定端口上的 Web 流量

您希望仅允许端口 80 上的 Web 流量。

要创建上下文感知防火墙规则,请执行以下步骤:

  1. 添加新的防火墙规则区域(如果需要)。
  2. 创建防火墙规则,即 HTTP to Web Server
  3. 选择所需的 Web 服务器作为目标 (Destination)
  4. 创建服务以通过以下参数识别应用程序:
    参数 选项
    L7
    应用程序 ID HTTP
    协议 TCP
    目标端口 80
  5. 将默认防火墙规则更改为阻止 (Block)
  6. 发布更改。

通过上下文感知防火墙规则,将只允许端口 80 上的 Web 流量。

场景 2:允许任何端口上的 SSH 流量

您希望允许任何端口上的 SSH 流量。

请执行以下步骤以创建上下文感知防火墙规则:

  1. 添加新的防火墙规则区域(如果需要)。
  2. 创建防火墙规则,即 SSH to SSH Server
  3. 选择所需的 SSH 服务器作为目标 (Destination)
  4. 创建服务以通过以下参数识别应用程序:
    参数 选项
    L7
    应用程序 ID SSH
    协议 TCP
    目标端口 将文本框保留为空
  5. 将默认防火墙规则更改为阻止 (Block)
  6. 发布更改。

通过上下文感知防火墙规则,将只允许任何端口上的 SSH 流量。

示例

有关使用 vSphere Web Client 创建上下文感知防火墙规则的详细步骤,请参见示例:创建上下文感知防火墙规则