在应用程序规则管理器中可以编辑、删除、上移和下移防火墙规则。
前提条件
在分析流量记录后,ARM 会自动建议防火墙规则。您可以修改建议的规则,也可以创建新的防火墙规则。
过程
- 打开流量会话。如果您在已处理的视图 (Processed View)中。右键单击一个流量单元,或在按下 Shift 的同时单击第一个单元至最后一个单元,以选择多个单元,然后右键单击。如果您在已整合的视图 (Consolidated View)中,请选择一个流量单元并单击操作 (Action)图标。选择创建防火墙规则 (Create Firewall rule)。
将显示
新建防火墙规则 (New Firewall Rule)弹出窗口,并将基于选择的行数据填充所有单元。如果选定了多个单元,则所有源、目标、服务对象都会被添加到规则的对应字段。
- 输入新规则的名称。
- (可选) 要选择其他源或目标,请单击“源”或“目标”框旁边的选择 (Select)。从可用对象指定一个新源或目标,并单击确定 (OK)。
- (可选) 要选择其他服务,请单击“服务”框旁边的选择 (Select)。分布式防火墙支持以下协议的 ALG(应用程序级别网关):FTP、CIFS、ORACLE TNS、MS-RPC 和 SUN-RPC。Edge 仅支持 FTP 的 ALG。从可用对象指定一个新服务,并单击确定 (OK)。
- (可选) 要将规则应用到其他范围,请单击“应用对象”框旁边的选择 (Select)。选择下表中所描述的相应选项,然后单击确定 (OK)。默认情况下,此规则适用于您最初右键单击的虚拟网卡。
| 要将规则应用于 |
请执行以下操作 |
| 环境中准备好的所有群集 |
选择在已启用分布式防火墙的所有群集上应用此规则 (Apply this rule on all clusters on which Distributed Firewall is enabled)。单击确定 (OK)以后,此规则的“应用对象”列会显示分布式防火墙 (Distributed Firewall)。 |
| 一个或多个群集、数据中心、分布式虚拟端口组、NSX Edge、网络、虚拟机、虚拟网卡或逻辑交换机 |
- 在容器类型 (Container type)中,选择相应对象。
- 在可用 (Available)列表中,选择一个或多个对象,并单击
 。
|
如果规则的源和目标字段中包含虚拟机和虚拟网卡,则必须将源和目标虚拟机及虚拟网卡都添加到
应用对象 (Applied To)中,规则才能正常运行。
- 选择下表中介绍的操作 (Action)。
| 操作 |
结果 |
| 允许 |
允许来自或流向指定源、目标和服务的流量。 |
| 阻止 |
阻止来自或流向指定源、目标和服务的流量。 |
| 拒绝 |
针对不被接受的数据包发送拒绝消息。 对于 TCP 连接,发送 RST 数据包。 对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。 |
- 单击下拉箭头指定规则的方向 (Direction)。
- 单击确定 (OK)
