防火墙是一个网络安全系统,它根据预定的防火墙规则监视和控制入站和出站的网络流量。

防火墙规则是在 NSX Manager 范围内添加的。然后,可以使用“应用对象”字段缩小要应用规则的范围。您可以在源级别和目标级别为每个规则添加多个对象,以帮助减少要添加的防火墙规则的总数。
注: 默认情况下,规则与任何源、目标和服务规则元素的默认值匹配,从而与所有接口和流量方向匹配。如果要限制规则对特定接口或流量方向的影响,必须在规则中指定该限制。

前提条件

  • 要使用一组地址,请先手动将每个虚拟机的 IP 和 MAC 地址与其逻辑交换机相关联。

  • 确认在 NSX Manager 用户界面中选择了管理器模式。请参见NSX Manager。如果看不到策略管理器模式按钮,请参见配置用户界面设置

过程

  1. 选择安全 > 分布式防火墙
  2. 对于 L3 规则,请单击常规选项卡;对于 L2 规则,请单击以太网选项卡。
  3. 单击一个现有的区域或规则。
  4. 单击规则第一列中的菜单图标,然后选择在上面添加规则在下面添加规则
    将显示一个新行以定义防火墙规则。
    注: 对于尝试通过防火墙的任何流量,将按照“规则”表中显示的顺序应用规则以处理数据包信息,从顶部开始并移到底部的默认规则。在某些情况下,两个或更多规则的优先级顺序在确定如何处理数据包方面可能是非常重要的。
  5. 名称列中,输入规则名称。
  6. 列中,单击编辑图标并选择规则的源。如果未定义,源将与任何内容匹配。
    选项 说明
    IP 地址 在以逗号分隔的列表中输入多个 IP 或 MAC 地址。该列表最多可以包含 255 个字符。支持 IPv4 和 IPv6 格式。
    容器对象 可用对象为 IP 集、逻辑端口、逻辑交换机和 NS 组。选择对象,然后单击确定
  7. 目标列中,单击编辑图标并选择目标。如果未定义,目标将与任何内容匹配。
    选项 说明
    IP 地址 您可以在以逗号分隔的列表中输入多个 IP 或 MAC 地址。该列表最多可以包含 255 个字符。支持 IPv4 和 IPv6 格式。
    容器对象 可用对象为 IP 集、逻辑端口、逻辑交换机和 NS 组。选择对象,然后单击确定
  8. 服务列中,单击编辑图标并选择服务。如果未定义,服务将与任何内容匹配。
  9. 要选择预定义的服务,请选择多个可用服务之一。
  10. 要定义新服务,请单击原始端口协议选项卡,然后单击添加
    选项 说明
    服务类型
    • ALG
    • ICMP
    • IGMP
    • IP
    • L4 端口集
    协议 选择一个可用的协议。
    源端口 输入源端口。
    目标端口 选择目标端口。
  11. 应用对象列中,单击编辑图标并选择对象。
  12. 日志列中,设置日志记录选项。
    在 ESXi 和 KVM 主机上,日志位于 /var/log/dfwpktlogs.log 文件中。启用日志记录功能可能会影响性能。
  13. 操作列中,选择一个操作。
    选项 说明
    允许 允许具有指定的源、目标和协议的所有 L3 或 L2 流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。
    丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。
    拒绝 拒绝具有指定的源、目标和协议的数据包。拒绝数据包是一种较友好的数据包阻止方式,因为将向发送方发送“无法到达目标 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。使用“拒绝”的一个好处是,在仅尝试一次后,就会向发送应用程序通知无法建立连接。
  14. 单击高级设置图标以指定 IP 协议、方向、规则标记和注释。
  15. 单击发布