可以通过将网关防火墙规则添加到属于预定义类别的防火墙策略区域下实施这些规则。
过程
- 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
- 选择安全 > 南北向安全 > 网关防火墙。
- 要启用网关防火墙,请选择操作 > 常规设置,然后切换状态按钮。单击保存。
- 单击添加策略,有关类别的详细信息,请参见网关防火墙。
- 输入新策略区域的名称。
- 选择策略目标。
- 单击齿轮图标以配置以下策略设置:
设置 说明 TCP 严格模式 TCP 连接以三向握手(SYN、SYN-ACK、ACK)开始,通常以双向交换(FIN、ACK)结束。在某些情况下,防火墙可能看不到特定流量的三向握手(例如由于非对称流量)。默认情况下,防火墙不强制要求看到三向握手,而是选取已建立的会话。可以在每个区域启用“TCP 严格模式”,以禁止在会话中途提取数据,并实现三向握手要求。如果为特定防火墙策略启用 TCP 严格模式,并使用默认“任意-任意”阻止规则,将丢弃该策略区域中不符合三向握手连接要求并与基于 TCP 的规则匹配的数据包。“严格模式”仅适用于有状态 TCP 规则,并在网关防火墙策略级别启用。对于与默认“任意-任意”允许规则(没有指定任何 TCP 服务)匹配的数据包,不会强制采用 TCP 严格模式。 有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。 已锁定 可以锁定策略,以防止多个用户对相同区域进行更改。锁定某个区域时,必须包含一条注释。 - 单击发布。可以添加多个策略,然后一起发布。
新策略将显示在屏幕上。
- 选择策略区域,然后单击添加规则。
- 输入规则的名称。支持 IPv4、IPv6 和多播地址。
- 在源列中,单击编辑图标并选择规则的源。有关详细信息,请参见添加组。
- 在目标列中,单击编辑图标并选择规则的目标。如果未定义,目标将与任何内容匹配。有关详细信息,请参见添加组。
- 在服务列中,单击铅笔图标并选择服务。如果未定义,服务将与任何内容匹配。
- 在配置文件列中,单击编辑图标并选择上下文配置文件,或单击添加新的上下文配置文件。请参见添加上下文配置文件。
- Tier-0 网关防火墙策略不支持上下文配置文件。
- 网关防火墙规则不支持具有 FQDN 属性或其他子属性的上下文配置文件。
- 单击应用。
- 应用对象列定义每个规则的实施范围,允许用户有选择地将规则应用于一个或多个上行链路接口或服务接口。默认情况下,网关防火墙规则将应用于选定网关上的所有可用上行链路和服务接口。
- 在操作列中,选择一个操作。
选项 说明 允许 允许具有指定的源、目标和协议的所有流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。 丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。 拒绝 拒绝具有指定的源、目标和协议的数据包。拒绝数据包将向发送方发送“目标无法访问 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。在尝试一次后,会向发送应用程序通知无法建立连接。
- 单击状态切换按钮以启用或禁用规则。
- 单击齿轮图标以设置日志记录、方向、IP 协议和备注。
选项 说明 日志记录 可以禁用或启用日志记录。日志存储在 Edge 上的 /var/log/syslog 中。 方向 选项包括入站、出站和入站/出站。默认选项为入站/出站。此字段指从目标对象角度来看的流量方向。入站意味着只检查流入对象的流量,出站意味着只检查从对象流出的流量,入站/出站意味着检查两个方向的流量。 IP 协议 选项包括 IPv4、IPv6 和 IPv4_IPv6。默认选项为 IPv4_IPv6。 注: 单击图形图标可查看防火墙规则的流量统计信息。可以查看字节数、数据包计数和会话数等信息。 - 单击发布。可以添加多个规则,然后一起发布。
- 对于每个策略区域,单击信息图标以查看推送到 Edge 节点的 Edge 防火墙规则的当前状态。还会显示在将规则推送到 Edge 节点时生成的所有警报。
- 要查看应用于 Edge 节点的策略规则的合并状态,请进行 API 调用。
GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true
