您可以从全局管理器创建要应用于多个位置或特定位置的选定接口的网关防火墙策略和规则。
从全局管理器创建的 Tier-0 或 Tier-1 网关会跨所有位置或一组位置。应用从全局管理器创建的网关防火墙规则时,您可以选择以下几个选项:网关防火墙规则可应用于网关跨度中包含的所有位置,特定位置的所有接口,或者一个或多个位置的特定接口。
在本地管理器上,将按以下顺序强制实施规则:- 首先强制实施从全局管理器中创建且已在本地管理器上成功实现的任何规则。
- 接着强制实施从本地管理器创建的任何规则。
- 最后强制实施默认的网关防火墙规则。这是适用于所有位置和所有工作负载的全部允许或全部拒绝规则。您可以从全局管理器编辑此默认规则的行为。
过程
- 从浏览器中,使用企业管理员或安全管理员特权登录到全局管理器,网址为 https://<global-manager-ip-address>。
- 选择安全 > 网关防火墙。
- 确保您位于正确的预定义类别中。在全局管理器上仅支持预规则、本地网关和默认类别。要在本地网关类别下定义策略,请从所有共享规则选项卡中单击类别名称,或者直接单击网关特定的规则选项卡。
从网关旁边的下拉菜单中选择一个 Tier-0 或 Tier-1 网关。您选择的 Tier-0 或 Tier-1 网关的跨度将成为网关防火墙策略和规则的默认跨度。您可以缩小跨度,但不能扩大跨度。
- 单击添加策略。
- 输入新策略区域的名称。
- (可选) 单击齿轮图标以配置以下策略设置:
设置 说明 TCP 严格模式 TCP 连接以三向握手(SYN、SYN-ACK、ACK)开始,通常以双向交换(FIN、ACK)结束。在某些情况下,防火墙可能看不到特定流量的三向握手(例如由于非对称流量)。默认情况下,防火墙不强制要求看到三向握手,而是选取已建立的会话。可以在每个区域启用“TCP 严格模式”,以禁止在会话中途提取数据,并实现三向握手要求。如果为特定防火墙策略启用 TCP 严格模式,并使用默认“任意-任意”阻止规则,将丢弃该策略区域中不符合三向握手连接要求并与基于 TCP 的规则匹配的数据包。“严格模式”仅适用于有状态 TCP 规则,并在网关防火墙策略级别启用。对于与默认“任意-任意”允许规则(没有指定任何 TCP 服务)匹配的数据包,不会强制采用 TCP 严格模式。 有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。 已锁定 可以锁定策略,以防止多个用户对相同区域进行更改。锁定某个区域时,必须包含一条注释。 - 单击发布。可以添加多个策略,然后一起发布。
新策略将显示在屏幕上。
- 选择策略区域,然后单击添加规则。
- 输入规则的名称。
- 在源列中,单击编辑图标并选择规则的源。源组必须具有相同的网关跨度或网关跨度的子集。
- 在目标列中,单击编辑图标并选择规则的目标。如果未定义,目标将与任何内容匹配。目标组必须具有相同的网关跨度或网关跨度的子集。
- 在服务列中,单击铅笔图标并选择服务。如果未定义,服务将与任何内容匹配。单击应用以保存。
- 在配置文件列中,单击编辑图标并选择上下文配置文件,或单击添加新的上下文配置文件。请参见添加上下文配置文件。
注: Tier-0 网关不支持上下文配置文件。您可以将 L7 上下文配置文件应用于 Tier-1 网关。
- 单击应用对象列中的铅笔图标。在应用对象对话框中:
应用对象选择 结果 选择将规则应用于网关 网关防火墙规则将应用于网关跨度涵盖的所有位置。如果您将其他位置添加到网关,此网关防火墙规则将自动应用于该位置。 选择一个位置,然后选择将规则应用于所有实体 将此规则应用于所选位置中的所有接口。 选择一个位置,然后选择该位置的接口 仅将规则应用于一个或多个位置中的选定接口。 注: 应用对象默认不会选择任何内容。您必须做出选择才能发布此规则。 - 在操作列中,选择一个操作。
选项 说明 允许 允许具有指定的源、目标和协议的所有流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。 丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。 拒绝 拒绝具有指定的源、目标和协议的数据包。拒绝数据包将向发送方发送“目标无法访问 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。在尝试一次后,会向发送应用程序通知无法建立连接。
- 单击状态切换按钮以启用或禁用规则。
- 单击齿轮图标以设置日志记录、方向、IP 协议、标记和备注。
选项 说明 日志记录 可以禁用或启用日志记录。您可以在 NSX Edge 上使用以下 NSX CLI 命令来访问日志: get log-file syslog | find datapathd.firewallpkt
也可以将日志发送到外部 Syslog 服务器。方向 选项包括入站、出站和入站/出站。默认选项为入站/出站。此字段指从目标对象角度来看的流量方向。入站意味着只检查流入对象的流量,出站意味着只检查从对象流出的流量,入站/出站意味着检查两个方向的流量。 IP 协议 选项包括 IPv4、IPv6 和 IPv4_IPv6。默认选项为 IPv4_IPv6。 日志标签 已添加到规则的日志标签。 注: 单击图形图标可查看防火墙规则的流量统计信息。可以查看字节数、数据包计数和会话数等信息。 - 单击发布。可以添加多个规则,然后一起发布。
- 单击检查状态以查看通过不同位置的 Edge 节点应用到网关的策略的实现状态。您可以单击成功或失败以打开策略状态窗口。