您可以编辑应用于与任何用户定义的防火墙规则均不匹配的流量的默认防火墙设置。

默认防火墙规则应用于与任何用户定义的防火墙规则均不匹配的流量。默认第 3 层规则位于常规选项卡下面,而默认第 2 层规则位于以太网选项卡下面。

默认防火墙规则允许所有 L3 和 L2 流量通过基础架构中所有准备好的集群。默认规则始终位于规则表的底部,无法删除。但是,您可以将规则的操作元素从允许更改为丢弃拒绝,并指示是否应记录该规则的流量。

默认第 3 层防火墙规则应用于所有流量,包括 DHCP。如果将操作更改为丢弃拒绝,则 DHCP 流量将被阻止。您将需要创建一个规则以允许 DHCP 流量。

前提条件

确认在 NSX Manager 用户界面中选择了管理器模式。请参见NSX Manager。如果看不到策略管理器模式按钮,请参见配置用户界面设置

过程

  1. 选择安全 > 分布式防火墙
  2. 对于 L3 规则,请单击常规选项卡;对于 L2 规则,请单击以太网选项卡。
  3. 名称列中,输入新名称。
  4. 操作列中,选择一个选项。
    • 允许 - 允许具有指定的源、目标和协议的所有 L3 或 L2 流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。
    • 丢弃 - 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。
    • 拒绝 - 拒绝具有指定的源、目标和协议的数据包。拒绝数据包是一种较友好的数据包阻止方式,因为将向发送方发送“无法到达目标 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。使用“拒绝”的一个好处是,在仅尝试一次后,就会向发送应用程序通知无法建立连接。
  5. 日志中,启用或禁用日志记录。
    启用日志记录功能可能会影响性能。
  6. 单击发布