在应用程序规则管理器中可以编辑、删除、上移和下移防火墙规则。

前提条件

在分析流量记录后,ARM 会自动建议防火墙规则。您可以修改建议的规则,也可以创建新的防火墙规则。

过程

  1. 打开流量会话。如果您在已处理的视图 (Processed View)中。右键单击一个流量单元,或在按下 Shift 的同时单击第一个单元至最后一个单元,以选择多个单元,然后右键单击。如果您在已整合的视图 (Consolidated View)中,请选择一个流量单元并单击操作 (Action)图标。选择创建防火墙规则 (Create Firewall rule)
    将显示 新建防火墙规则 (New Firewall Rule)弹出窗口,并将基于选择的行数据填充所有单元。如果选定了多个单元,则所有源、目标、服务对象都会被添加到规则的对应字段。
  2. 输入新规则的名称。
  3. (可选) 要选择其他源或目标,请单击“源”或“目标”框旁边的选择 (Select)。从可用对象指定一个新源或目标,并单击确定 (OK)
  4. (可选) 要选择其他服务,请单击“服务”框旁边的选择 (Select)。分布式防火墙支持以下协议的 ALG(应用程序级别网关):FTP、CIFS、ORACLE TNS、MS-RPC 和 SUN-RPC。Edge 仅支持 FTP 的 ALG。从可用对象指定一个新服务,并单击确定 (OK)
  5. (可选) 要将规则应用到其他范围,请单击“应用对象”框旁边的选择 (Select)。选择下表中所描述的相应选项,然后单击确定 (OK)。默认情况下,此规则适用于您最初右键单击的虚拟网卡。
    要将规则应用于 请执行以下操作
    环境中准备好的所有群集 选择在已启用分布式防火墙的所有群集上应用此规则 (Apply this rule on all clusters on which Distributed Firewall is enabled)。单击确定 (OK)以后,此规则的“应用对象”列会显示分布式防火墙 (Distributed Firewall)
    一个或多个群集、数据中心、分布式虚拟端口组、NSX Edge、网络、虚拟机、虚拟网卡或逻辑交换机
    1. 容器类型 (Container type)中,选择相应对象。
    2. 可用 (Available)列表中,选择一个或多个对象,并单击 添加
    如果规则的源和目标字段中包含虚拟机和虚拟网卡,则必须将源和目标虚拟机及虚拟网卡都添加到 应用对象 (Applied To)中,规则才能正常运行。
  6. 选择下表中介绍的操作 (Action)
    操作 结果
    允许 允许来自或流向指定源、目标和服务的流量。
    阻止 阻止来自或流向指定源、目标和服务的流量。
    拒绝 针对不被接受的数据包发送拒绝消息。

    对于 TCP 连接,发送 RST 数据包。

    对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。

  7. 单击下拉箭头指定规则的方向 (Direction)
  8. 单击确定 (OK)

后续步骤

发布防火墙规则。请参见通过应用程序规则管理器发布和管理防火墙规则