您可以将防火墙规则添加到 Tier-0 或 Tier-1 逻辑路由器以控制到该路由器的通信。

Edge 防火墙在上行链路路由器端口上实施,这意味着防火墙规则仅适用于流量流过 Edge 上上行链路路由器端口的情况。要将防火墙规则应用于特定的 IP 目标,必须使用 /32 网络配置组。如果提供的子网不是 /32,则防火墙规则将会应用到整个子网。

前提条件

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 网络 > Tier-0 逻辑路由器网络 > Tier-1 逻辑路由器中找到相应的路由器。
  3. 单击该逻辑路由器的名称。
  4. 选择服务 > Edge 防火墙
  5. 单击一个现有的区域或规则。
  6. 要添加规则,请单击菜单栏上的添加规则并选择在上面添加规则在下面添加规则,或者单击规则的第一列中的菜单图标并选择在上面添加规则在下面添加规则,然后指定规则参数。
    由于该规则仅适用于逻辑路由器,因此,不会显示“应用对象”字段。
  7. 要删除规则,请选择该规则,单击菜单栏上的删除,或者单击第一列中的菜单图标并选择删除

结果

注: 如果将防火墙规则添加到 Tier-0 逻辑路由器且支持该路由器的 NSX Edge 集群在活动-活动模式下运行,则防火墙只能在无状态模式下运行。如果使用 HTTP、SSL 和 TCP 等有状态服务配置防火墙规则,防火墙规则将不按预期工作。为了避免出现此问题,请将 NSX Edge 集群配置为在活动-备用模式下运行。