您可以在防火墙表中添加区域以划分规则,或者创建通用区域以在跨 vCenter NSX 环境中使用。

前提条件

确定要对其进行更改的相应 NSX Manager。
  • 在独立或单个 vCenter NSX 环境中,仅有一个 NSX Manager,因此无需进行选择。
  • 必须从主 NSX Manager 管理通用对象。
  • 某个 NSX Manager 的本地对象必须使用该 NSX Manager 进行管理。
  • 在未启用增强型链接模式的跨 vCenter NSX 环境中,您必须从链接至您想要修改的 NSX Manager 的 vCenter 中更改配置。
  • 在处于增强型链接模式的跨 vCenter NSX 环境中,您可以从任意链接的 vCenter 更改任意 NSX Manager 的配置。从 NSX Manager 下拉菜单中选择相应的 NSX Manager。

过程

  1. vSphere Web Client 中,导航到网络和安全 (Networking & Security) > 安全 (Security) > 防火墙 (Firewall)
  2. 如果有多个 NSX Manager 可用,请选择一个。必须选择主 NSX Manager,才能添加通用区域。
  3. 确保您处于配置 (Configuration) > 常规 (General)选项卡中,以便添加 L3、 L4 或 L7 规则的区域。单击以太网 (Ethernet)选项卡可为 L2 规则添加区域。
  4. 单击添加区域 (Add Section) (“添加区域”图标“添加区域”图标)。
  5. 输入区域的名称。区域名称在 NSX Manager 中必须唯一。
  6. (可选) 在跨 vCenter NSX 环境中,您可以将区域配置为通用防火墙规则区域。
    • 在 NSX 6.4.1 和更高版本中,单击通用同步 (Universal Synchronization)按钮。
    • 在 NSX 6.4.0 中,选择标记此区域待进行通用同步 (Mark this section for Universal Synchronization)
  7. (可选) 选中相应的复选框以配置防火墙区域的防火墙规则属性。
    防火墙规则区域属性 说明
    在源中启用用户身份 (Enable User Identity at Source)

    使用 RDSH 身份防火墙时,必须选中在源中启用用户身份。请注意,这会禁用“启用无状态防火墙”选项,因为系统会跟踪 TCP 连接状态来识别上下文。

    启用 TCP 严格策略 (Enable TCP Strict) “TCP 严格”确定在防火墙看不到初始三向握手时是否中断建立的 TCP 连接。如果设置为“有效”,则会中断连接。
    启用无状态防火墙 (Enable Stateless Firewall) 为防火墙区域启用无状态防火墙。
  8. 单击确定 (OK),然后单击发布更改 (Publish Changes)

后续步骤

向区域添加规则。请参见添加防火墙规则