分布式防火墙会监控虚拟机上的所有东西向流量。

本主题中的过程说明了添加防火墙策略的工作流,这些策略应用于 NSX 分布式防火墙或有 NSX 管理的对象的特定组。

如果您的 NSX-T Data Center 环境中注册了 Antrea 容器,则可以创建分布式防火墙策略并将其应用于 Antrea 容器集群。有关详细信息,请参见:
注: NSX-T Data Center 不支持创建的规则与 NSX 管理的对象以及同一分布式防火墙策略中的 Antrea 容器集群对象混合使用。换言之,应用于 NSX 分布式防火墙和 Antrea 容器集群的防火墙规则必须位于不同的策略中。

前提条件

NSX-T Data Center 3.2 之前,虚拟机的 vNIC 必须连接到要受 DFW 保护的 NSX 覆盖网络或 VLAN 分段。在 NSX-T Data Center 3.2 中,分布式防火墙会保护本机连接到 VDS 分布式端口组 (DVPG) 的工作负载。有关详细信息,请参见适用于 vSphere Distributed Switch 的 Distributed Security

如果您要为身份防火墙创建规则,首先创建一个具有 Active Directory 成员的组。要查看 IDFW 支持的协议,请参见 身份防火墙支持的配置。使用客户机侦测创建 DFW 规则时,请确保 应用对象字段应用于目标组。
注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机 开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。

请注意,如果您结合使用第 7 层和 ICMP 或者任何其他协议,则需要最后放置第 7 层防火墙规则。将不会执行排在第 7 层任意/任意规则之后的任何规则。

要了解有关分布式防火墙策略和规则创建的特定于联合的详细信息,请参见从全局管理器创建 DFW 策略和规则

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 从导航面板中选择安全 > 分布式防火墙
  3. 确保您处于正确的预定义类别,然后单击添加策略
    有关类别的详细信息,请参见 分布式防火墙
  4. 输入新策略区域的名称
  5. (可选) 使用应用对象将策略中的规则应用于选定的组。默认情况下,策略的应用对象字段设置为 DFW,并将策略规则应用于所有工作负载。在更改默认设置时,如果策略级别和其中的规则将应用对象设置为一个组,则策略级别的应用对象优先于规则级别的应用对象
    注: 不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。

    应用对象定义每个策略的实施范围,主要用于优化 ESXi 和 KVM 主机上的资源。这有助于为特定区域、租户或应用程序定义目标策略,而不会影响为其他应用程序、租户和区域定义的其他策略。

  6. (可选) 要配置以下策略设置,请单击齿轮图标。
    选项 描述
    TCP 严格模式 TCP 连接以三向握手(SYN、SYN-ACK、ACK)开始,通常以双向交换(FIN、ACK)结束。在某些情况下,分布式防火墙 (DFW) 可能看不到特定流的三向握手(由于非对称流量或在流存在时启用分布式防火墙)。默认情况下,分布式防火墙不强制要求看到三向握手,并选取已建立的会话。可以在每个区域启用“TCP 严格模式”,以禁止在会话中途提取数据,并实现三向握手要求。

    如果为特定 DFW 策略启用 TCP 严格模式,并使用默认“任意-任意”阻止规则,将丢弃该区域中不符合三向握手连接要求并与基于 TCP 的规则匹配的数据包。“严格模式”仅适用于有状态 TCP 规则,并在分布式防火墙策略级别启用。对于与默认“任意-任意”允许规则(没有指定任何 TCP 服务)匹配的数据包,不会强制采用 TCP 严格模式。
    有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。
    已锁定 可以锁定策略,以防止多个用户对相同区域进行编辑。锁定某个区域时,必须包含一条注释。

    有些角色(如企业管理员)具有完全访问凭据,无法锁定。请参见基于角色的访问控制
  7. 单击发布。可以添加多个策略,然后一起发布。
    新策略将显示在屏幕上。
  8. 选择一个策略区域,单击添加规则,然后输入规则名称。
  9. 列中,单击编辑图标并选择规则的源。具有 Active Directory 成员的组可用于 IDFW 规则的源文本框。
    有关详细信息,请参见 添加组

    支持 IPv4、IPv6 和多播地址。

    注意:IPv6 防火墙必须在已连接分段上启用 IPv6 IP 发现。有关详细信息,请参见 了解 IP 发现分段配置文件

  10. 目标列中,单击编辑图标并选择规则的目标。如果未定义,目标将与任何内容匹配。
    有关详细信息,请参见 添加组

    支持 IPv4、IPv6 和多播地址。

  11. 服务列中,单击编辑图标并选择服务。如果未定义,服务将与任意匹配。有关详细信息,请参见添加服务
  12. 将规则添加到以太网类别时,此配置文件列不可用。对于所有其他规则类别,在配置文件列中,单击编辑图标并选择上下文配置文件,或单击添加新的上下文配置文件。有关详细信息,请参见上下文配置文件

    上下文配置文件支持在分布式防火墙规则中使用含有属性类型“应用程序 ID”和“域名 (FQDN)”的配置文件。在将服务设置为任意的分布式防火墙规则中可以使用含有属性类型“应用”或“域名 (FQDN)”的多个上下文配置文件。

    创建 IDS 规则时,不支持使用上下文配置文件。

  13. 单击应用以将上下文配置文件应用于规则。
  14. 使用应用对象将规则应用于选定的组。使用客户机侦测创建 DFW 规则时,请确保应用对象字段应用于目标组。默认情况下,应用对象列设置为 DFW,并将规则应用于所有工作负载。在更改默认设置时,如果策略级别和其中的规则将应用对象设置为,则策略级别的应用对象优先于规则级别的应用对象
    注: 不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。
  15. 操作列中,选择一个操作。
    选项 描述
    允许 允许具有指定的源、目标和协议的所有 L3 或 L2 流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。
    丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。
    拒绝 拒绝具有指定的源、目标和协议的数据包。拒绝数据包是一种较友好的数据包阻止方式,因为将向发送方发送“无法到达目标 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。使用“拒绝”的一个好处是,在仅尝试一次后,就会向发送应用程序通知无法建立连接。
    跳至应用程序
    注: 此操作仅适用于“环境”类别。

    允许与“环境”类别规则匹配的流量继续应用“应用程序”类别规则。如果流量与“环境”类别规则匹配并退出,但您希望应用“应用程序”类别规则,请使用此操作。

    例如,如果某个“环境”类别规则针对特定源的操作是“允许”,并且某个“应用程序”类别规则针对同一源的操作是“丢弃”,则将允许与“环境”类别匹配的数据包通过防火墙,并且不再应用其他规则。通过“跳至应用程序”操作,即便数据包与“环境”类别规则匹配,也会继续应用“应用程序”类别规则,从而导致这些数据包被丢弃。
  16. 单击状态切换按钮以启用或禁用规则。
  17. 单击齿轮图标以配置以下规则选项:
    选项 描述
    日志记录 默认情况下,将禁用日志记录。日志存储在 ESXi 和 KVM 主机上的 /var/log/dfwpktlogs.log 文件中。
    方向 指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量,“出站”表示只检查从对象流出的流量,“双向”表示检查两个方向的流量。
    IP 协议 基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。
    日志标签

    启用日志记录后,防火墙日志中将带有日志标签。虽然可以输入更长的标签,但仅支持所生成日志中的前 31 个字符。
  18. 单击发布。可以添加多个规则,然后一起发布。
  19. 包含传输节点详细信息的策略的数据路径实现状态显示在策略表右侧。