安全策略是可以应用于安全组的一组 Guest Introspection、防火墙和网络自检服务。安全策略的显示顺序由与此策略相关联的权重决定。默认情况下,新策略分配有最高权重,因此位于表的顶部。但您可以修改建议的默认权重,以更改分配给新策略的顺序。

先决条件

请确保:

  • 安装了所需的 VMware 内置服务(例如分布式防火墙和 Guest Introspection)。

  • 已向 NSX Manager 注册了所需的合作伙伴服务。

  • 为服务编排防火墙规则设置了所需的默认应用对象值。请参见编辑服务编排防火墙应用对象设置

过程

  1. 登录到 vSphere Web Client。
  2. 单击网络和安全 (Networking & Security),然后单击服务编排 (Service Composer)
  3. 单击安全策略 (Security Policies)选项卡。
  4. 单击创建安全策略 (Create Security Policy) (添加) 图标。
  5. 在“添加安全策略”对话框中,键入安全策略的名称。
  6. 键入安全策略的描述。

    NSX 会向策略分配默认权重(最高权重 + 1000)。例如,如果现有策略中的最高权重为 1200,则分配给新策略的权重为 2200。

    将根据安全策略的权重来应用安全策略 - 权重较高的策略优先于权重较低的策略。

  7. 如果您希望所创建的策略接收来自其他安全策略的服务,则选择从指定策略继承安全策略 (Inherit security policy from specified policy)。选择父策略。

    新策略将继承来自父策略的所有服务。

  8. 单击下一步 (Next)
  9. 在“Guest Introspection 服务”页面中,单击添加 Guest Introspection 服务 (Add Guest Introspection Service) (“添加”图标) 图标。
    1. 在“添加 Guest Introspection 服务”对话框中,键入服务的名称和描述。
    2. 指定要应用服务还是阻止服务。

      继承安全策略后,可以选择阻止来自父策略的服务。

      如果应用服务,必须选择服务和服务配置文件。如果阻止服务,必须选择要阻止的服务的类型。

    3. 如果选择阻止服务,则要选择服务类型。
    4. 如果选择应用 Guest Introspection 服务, 将选择服务名称。

      将显示所选服务的默认服务配置文件,其中包括关联的供应商模板所支持的服务功能类型的相关信息。

    5. 状态 (State)中,指定要启用还是禁用选定的 Guest Introspection 服务。

      您可以添加 Guest Introspection 服务作为要在稍后启用的服务的占位符。此操作在需要按需应用服务的情况下尤其有用(例如,新应用程序)。

    6. 选择是否要强制执行 Guest Introspection 服务(即,不能覆盖此服务)。如果所选服务配置文件支持多个服务功能类型,则其默认设置为强制 (Enforce),且无法更改。

      如果在安全策略中强制执行 Guest Introspection 服务,则继承此安全策略的其他策略将要求在应用其他子策略之前应用此策略。如果未强制执行此服务,则继承选择会在应用子策略之后添加父策略。

    7. 单击确定 (OK)

    可按照上述步骤操作添加更多 Guest Introspection 服务。可通过服务表上方的图标来管理 Guest Introspection 服务。

    可以在该页面上导出或复制服务,方法是单击位于“Guest Introspection 服务”页面右下方的 导出 图标。

  10. 单击下一步 (Next)
  11. 在“防火墙”页面上,单击添加防火墙规则 (Add Firewall Rule) (“添加”图标) 图标。

    可以在此处为将应用此安全策略的安全组定义防火墙规则。

    1. 键入所添加的防火墙规则的名称和描述。
    2. 选择允许 (Allow)阻止 (Block)以指示规则需要允许还是阻止流向选定目标的流量。
    3. 为该规则选择源。默认情况下,此规则应用于来自应用此策略的安全组的流量。要更改默认源,请单击更改 (Change),然后选择合适的安全组。
    4. 为该规则选择目标。
      注:

      “源”或“目标”(或两者)必须是应用此策略的安全组。

      假设您使用默认源创建规则,则将“目标”指定为“工资单”,然后选择取消目标 (Negate Destination)。然后将此安全策略应用到“工程部”安全组。此操作将使“工程部”能够访问除“工资单”服务器以外的任何位置。

    5. 选择将应用此规则的服务和/或服务组。
    6. 选择已启用 (Enabled)已禁用 (Disabled),以指定规则状态。
    7. 选择日志 (Log)以记录与此规则相匹配的会话。

      启用日志记录功能可能会影响性能。

    8. 单击确定 (OK)

    可按照上述步骤操作添加更多防火墙规则。可通过防火墙表上方的图标来管理防火墙规则。

    可以导出或复制此页面上的规则,方法是单击位于“防火墙”页面右下方的 导出 图标。

    您在此处添加的防火墙规则将显示在“防火墙”表中。VMware 建议您不要编辑防火墙表中的服务编排规则。如果在进行紧急故障排除时必须编辑,则必须从“安全策略”选项卡的操作 (Synchronize Firewall Rules)菜单中选择同步防火墙规则 (Actions),将服务编排规则与防火墙规则重新同步。

  12. 单击下一步 (Next)

    “网络自检服务”页面将显示已与您的 VMware 虚拟环境相集成的 NetX 服务。

  13. 单击添加网络自检服务 (Add Network Introspection Service) (“添加”图标) 图标。
    1. 在“添加网络自检服务”对话框中,键入所添加的服务的名称和描述。
    2. 选择是否重定向到服务。
    3. 选择服务名称和配置文件。
    4. 选择源和目标
    5. 选择要添加的网络服务。

      可以根据所选服务进行更多选择。

    6. 选择是启用还是禁用服务。
    7. 选择“日志”以记录与此规则相匹配的会话。
    8. 单击确定 (OK)

    可按照上述步骤操作添加更多网络自检服务。可通过服务表上方的图标来管理网络自检服务。

    可以在该页面上导出或复制服务,方法是单击位于“网络自检服务”页面右下方的 导出 图标。

    注:

    为服务编排策略中使用的服务配置文件手动创建的绑定将被覆盖。

  14. 单击完成 (Finish)

    安全策略添加到策略表中。可以单击策略名称并选择相应的选项卡,以查看与该策略关联的服务摘要、查看服务错误或编辑服务。

下一步做什么

将安全策略映射到安全组。