要启用身份防火墙,请导航到 安全 > 网关防火墙,然后单击 操作 > 常规设置。切换该栏以启用身份防火墙,并指出您必须具有 Active Directory。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择安全 > 网关防火墙
  3. 要启用网关防火墙,请选择操作 > 常规设置,然后切换状态按钮。单击保存
  4. 单击添加策略,有关类别的详细信息,请参见网关防火墙
  5. 输入新策略区域的名称
  6. 选择策略目标
  7. 单击齿轮图标以配置以下策略设置:
    设置 描述
    TCP 严格模式 TCP 连接以三向握手(SYN、SYN-ACK、ACK)开始,通常以双向交换(FIN、ACK)结束。在某些情况下,防火墙可能看不到特定流量的三向握手(例如由于非对称流量)。默认情况下,防火墙不强制要求看到三向握手,而是选取已建立的会话。可以在每个区域启用“TCP 严格模式”,以禁止在会话中途提取数据,并实现三向握手要求。如果为特定防火墙策略启用 TCP 严格模式,并使用默认“任意-任意”阻止规则,将丢弃该策略区域中不符合三向握手连接要求并与基于 TCP 的规则匹配的数据包。“严格模式”仅适用于有状态 TCP 规则,并在网关防火墙策略级别启用。对于与默认“任意-任意”允许规则(没有指定任何 TCP 服务)匹配的数据包,不会强制采用 TCP 严格模式。
    有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。
    已锁定 可以锁定策略,以防止多个用户对相同区域进行更改。锁定某个区域时,必须包含一条注释。
  8. 单击发布
    可以添加多个策略,然后一起发布。
    新策略将显示在屏幕上。
  9. 选择策略区域,然后单击添加规则
  10. 输入规则的名称。支持 IPv4 和 IPv6 地址。
  11. 列中,单击编辑图标并选择规则的源。具有Active Directory成员的组可用于 IDFW 规则的源框。请参见添加组
  12. 目标列中,单击编辑图标并选择规则的目标。如果未定义,目标将与任何内容匹配。请参见添加组
  13. 服务列中,单击铅笔图标并选择服务。如果未定义,服务将与任何内容匹配。请参见添加服务
  14. 对于 Tier-1 网关,在配置文件列中,单击编辑图标并选择上下文配置文件或 L7 访问配置文件。或者,创建新的配置文件。请参见配置文件
    • 安全规则可以包含上下文配置文件或 L7 访问配置文件,但不能同时包含这两者。
    • Tier-0 网关防火墙策略不支持上下文配置文件和 L7 访问配置文件。
    • 网关防火墙规则不支持含有属性类型“域名 (FQDN)”的上下文配置文件。
    • 网关防火墙规则支持含有属性类型“应用程序 ID”、“URL 类别”、“自定义 URL”和“URL 信誉”的 L7 访问配置文件。属性类型“应用程序 ID”支持多个子属性。
    在将服务设置为 任意的防火墙规则中可以使用多个应用程序 ID 上下文配置文件。在单个网关防火墙规则中只能使用一个 L7 访问配置文件。
  15. 单击应用
  16. 单击应用对象列的铅笔图标,可更改每个规则的实施范围。在应用对象 | 新建规则对话框中,单击类别下拉菜单以按对象类型(如接口、标签和 VPI)进行筛选,以选择特定对象。
    默认情况下,网关防火墙规则将应用于选定网关上的所有可用上行链路和服务接口。

    对于 URL 筛选,应用对象只能是 Tier-1 网关。

  17. 操作列中,选择一个操作。
    选项 描述
    允许 允许具有指定的源、目标和协议的所有流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。

    L7 访问配置文件的规则操作必须为允许
    丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。
    拒绝

    拒绝具有指定的源、目标和协议的数据包。拒绝数据包将向发送方发送“目标无法访问 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。在尝试一次后,会向发送应用程序通知无法建立连接。
  18. 单击状态切换按钮以激活或停用规则。
  19. 单击齿轮图标以设置日志记录、方向、IP 协议和备注。
    选项 描述
    日志记录

    可以启用或禁用日志记录。网关防火墙日志提供网关虚拟路由和转发、网关接口信息以及流量详细信息。可以在 /var/log 目录中名为 firewallpkt.log 的文件中找到网关防火墙日志。
    方向 选项包括入站出站入站/出站。默认选项为入站/出站。此字段指从目标对象角度来看的流量方向。入站意味着只检查流入对象的流量,出站意味着只检查从对象流出的流量,入站/出站意味着检查两个方向的流量。
    IP 协议 选项包括 IPv4IPv6IPv4_IPv6。默认选项为 IPv4_IPv6
    注: 单击图形图标可查看防火墙规则的流量统计信息。可以查看字节数、数据包计数和会话数等信息。
  20. 单击发布。可以添加多个规则,然后一起发布。
  21. 对于每个策略区域,单击信息图标以查看推送到 Edge 节点的 Edge 防火墙规则的当前状态。还会显示在将规则推送到 Edge 节点时生成的所有警报。
  22. 要查看应用于 Edge 节点的策略规则的合并状态,请进行 API 调用。
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true