您可以创建安全策略和 DFW 规则,以将其应用于在全局管理器中注册的多个位置。
前提条件
确保您已创建任何要用于防火墙规则的自定义区域。请参见从全局管理器创建区域。
过程
- 从浏览器中,使用企业管理员或安全管理员特权登录到全局管理器,网址为 https://<global-manager-ip-address>。
- 选择安全 > 分布式防火墙。
- 确保您处于正确的预定义类别,然后单击添加策略。有关类别的详细信息,请参见分布式防火墙。
注: 全局管理器 不支持以太网、紧急类别和默认策略。
- 单击添加策略。
- 输入新策略区域的名称。
- 单击应用对象旁边的铅笔图标以设置此策略的跨度。
- 在设置应用对象对话框中,您可以选择以下选项:
- 区域:选择要将策略应用到的本地管理器。每个本地管理器将自动作为一个区域添加。您也可以创建自定义区域。请参见从全局管理器创建区域。
- 选择应用对象:默认情况下,将策略应用于 DFW,即,根据策略的选定区域,将此策略应用于本地管理器上的所有工作负载。您还可以将策略应用于选定的组。“应用对象”按策略定义实施范围,主要用于 ESXi 和 KVM 主机上的资源优化。这有助于为特定区域、租户和应用程序定义目标策略,而不会干扰为其他租户、区域和应用程序定义的其他策略。 请参见NSX-T Data Center 3.0.1 中的 DFW 策略和规则以了解策略跨度如何确定 DFW 规则是否有效。
- 要配置以下策略设置,请单击齿轮图标:
选项 说明 TCP 严格模式 TCP 连接以三向握手(SYN、SYN-ACK、ACK)开始,通常以双向交换(FIN、ACK)结束。在某些情况下,分布式防火墙 (DFW) 可能看不到特定流的三向握手(由于非对称流量或在流存在时启用分布式防火墙)。默认情况下,分布式防火墙不强制要求看到三向握手,并选取已建立的会话。可以在每个区域启用“TCP 严格模式”,以禁止在会话中途提取数据,并实现三向握手要求。 如果为特定 DFW 策略启用 TCP 严格模式,并使用默认“任意-任意”阻止规则,将丢弃该区域中不符合三向握手连接要求并与基于 TCP 的规则匹配的数据包。“严格模式”仅适用于有状态 TCP 规则,并在分布式防火墙策略级别启用。对于与默认“任意-任意”允许规则(没有指定任何 TCP 服务)匹配的数据包,不会强制采用 TCP 严格模式。
有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。 已锁定 可以锁定策略,以防止多个用户对相同区域进行编辑。锁定某个区域时,必须包含一条注释。 有些角色(如企业管理员)具有完全访问凭据,无法锁定。请参见基于角色的访问控制。
- 单击发布。可以添加多个策略,然后一起发布。
新策略将显示在屏幕上。
- 选择策略区域,然后单击添加规则。
- 输入规则的名称。
- 根据 DFW 策略的跨度验证源和目标。有关详细信息,请参见NSX-T Data Center 3.0.1 中的 DFW 策略和规则。
-
如果将 DFW 策略应用于某个位置,例如 Loc1,源或目标可以是关键字任意或属于 Loc1 的组。
-
如果将 DFW 策略应用于用户创建的区域,例如 Region1,源或目标可以是关键字任意,也可以是具有与 Region1 相同跨度或跨 Region1 中某个位置的组。
-
如果将 DFW 策略应用于全局,则源或目标可以是任何内容。
注: NSX 联合 不支持 Active Directory 和 IDFW,也就是说,您无法从 全局管理器使用这些功能。- 在源列中,单击铅笔图标并选择规则的源。
- 在目标列中,单击铅笔图标并选择规则的目标。如果未定义,目标将与任何内容匹配。
-
- 在服务列中,单击铅笔图标并选择服务。如果未定义,服务将与任何内容匹配。
- 在配置文件列中,单击编辑图标并选择上下文配置文件,或单击添加新的上下文配置文件。请参见添加上下文配置文件。
- 单击应用以将上下文配置文件应用于规则。
- 默认情况下,应用对象列设置为 DFW,并且此规则应用于所有工作负载。您还可以将规则或策略应用于选定的组。应用对象按规则定义实施范围,主要用于 ESXi 和 KVM 主机上的资源优化。这有助于为特定区域、租户和应用程序定义目标策略,而不会干扰为其他租户、区域和应用程序定义的其他策略。
注: 您无法在 应用对象中选择以下类型的组:
- 具有 IP 或 MAC 地址的组
- Active Directory 用户组
- 在操作列中,选择一个操作。
选项 说明 允许 允许具有指定的源、目标和协议的所有 L3 或 L2 流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。 丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。 拒绝 拒绝具有指定的源、目标和协议的数据包。拒绝数据包是一种较友好的数据包阻止方式,因为将向发送方发送“无法到达目标 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。使用“拒绝”的一个好处是,在仅尝试一次后,就会向发送应用程序通知无法建立连接。 - 单击切换按钮以启用或禁用规则。
- 单击齿轮图标以配置以下规则选项:
选项 说明 日志记录 默认情况下,将禁用日志记录。日志存储在 ESXi 和 KVM 主机上的 /var/log/dfwpktlogs.log 中。 方向 指从目标对象角度来看的流量方向。IN 表示只检查流入对象的流量,OUT 表示只检查从对象流出的流量,IN/OUT 表示检查两个方向的流量。 IP 协议 基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。 日志标签 启用日志记录后,防火墙日志中将显示日志标签。 - 单击发布。可以添加多个规则,然后一起发布。
- 在每个策略上,单击检查状态以按位置查看其包含的规则的状态。您可以单击成功或失败以打开策略状态窗口。
- 单击检查状态,以查看应用于不同位置上传输节点的策略的实现状态。