可以通过将网关防火墙规则添加到属于预定义类别的防火墙策略区域下实施这些规则。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择安全 > 南北向安全 > 网关防火墙
  3. 要启用网关防火墙,请选择操作 > 常规设置,然后切换状态按钮。单击保存
  4. 单击添加策略,有关类别的详细信息,请参见网关防火墙
  5. 输入新策略区域的名称
  6. 选择策略目标
  7. 单击齿轮图标以配置以下策略设置:
    设置 说明
    TCP 严格模式 TCP 连接以三向握手(SYN、SYN-ACK、ACK)开始,通常以双向交换(FIN、ACK)结束。在某些情况下,防火墙可能看不到特定流量的三向握手(例如由于非对称流量)。默认情况下,防火墙不强制要求看到三向握手,而是选取已建立的会话。可以在每个区域启用“TCP 严格模式”,以禁止在会话中途提取数据,并实现三向握手要求。如果为特定防火墙策略启用 TCP 严格模式,并使用默认“任意-任意”阻止规则,将丢弃该策略区域中不符合三向握手连接要求并与基于 TCP 的规则匹配的数据包。“严格模式”仅适用于有状态 TCP 规则,并在网关防火墙策略级别启用。对于与默认“任意-任意”允许规则(没有指定任何 TCP 服务)匹配的数据包,不会强制采用 TCP 严格模式。
    有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。
    已锁定 可以锁定策略,以防止多个用户对相同区域进行更改。锁定某个区域时,必须包含一条注释。
  8. 单击发布。可以添加多个策略,然后一起发布。
    新策略将显示在屏幕上。
  9. 选择策略区域,然后单击添加规则
  10. 输入规则的名称。支持 IPv4、IPv6 和多播地址。
  11. 列中,单击编辑图标并选择规则的源。有关详细信息,请参见添加组
  12. 目标列中,单击编辑图标并选择规则的目标。如果未定义,目标将与任何内容匹配。有关详细信息,请参见添加组
  13. 服务列中,单击铅笔图标并选择服务。如果未定义,服务将与任何内容匹配。
  14. 配置文件列中,单击编辑图标并选择上下文配置文件,或单击添加新的上下文配置文件。请参见添加上下文配置文件
    网关防火墙规则不支持含有 FQDN 属性的上下文配置文件。上下文配置文件使用第 7 层应用程序 ID 属性用于分布式防火墙规则和网关防火墙规则。在将服务设置为 任意的防火墙规则中可以使用多个应用程序 ID 上下文配置文件。对于 ALG 配置文件(FTP 和 TFTP),每个规则支持一个上下文配置文件。
  15. 单击应用
  16. 应用对象列定义每个规则的实施范围,主要用于优化 ESXi 和 KVM 主机上的资源。可以为特定区域和租户定义有针对性的策略,而不会干扰为其他租户和区域定义的策略。可以在此列中选择逻辑路由器(Tier-0 或 Tier-1)或者逻辑路由器或基于路由的 VPN 会话上的接口。
  17. 操作列中,选择一个操作。
    选项 说明
    允许 允许具有指定的源、目标和协议的所有流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。
    丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。
    拒绝

    拒绝具有指定的源、目标和协议的数据包。拒绝数据包将向发送方发送“目标无法访问 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。在尝试一次后,会向发送应用程序通知无法建立连接。

  18. 单击状态切换按钮以启用或禁用规则。
  19. 单击齿轮图标以设置日志记录、方向、IP 协议、标记和备注。
    选项 说明
    日志记录 可以禁用或启用日志记录。日志存储在 Edge 上的 /var/log/syslog 中。
    方向 选项包括入站出站入站/出站。默认选项为入站/出站。此字段指从目标对象角度来看的流量方向。入站意味着只检查流入对象的流量,出站意味着只检查从对象流出的流量,入站/出站意味着检查两个方向的流量。
    IP 协议 选项包括 IPv4IPv6IPv4_IPv6。默认选项为 IPv4_IPv6
    标记 已添加到规则的标记。
    注: 单击图形图标可查看防火墙规则的流量统计信息。可以查看字节数、数据包计数和会话数等信息。
  20. 单击发布。可以添加多个规则,然后一起发布。
  21. 对于每个策略区域,单击信息图标以查看推送到 Edge 节点的 Edge 防火墙规则的当前状态。还会显示在将规则推送到 Edge 节点时生成的所有警报。
  22. 要查看应用于 Edge 节点的策略规则的合并状态,请进行 API 调用。
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true