Edge 防火墙选项卡显示在集中式“防火墙”选项卡上采用只读模式创建的规则。您在此添加的任何规则都不显示在集中式“防火墙”选项卡上。

关于此任务

您可以添加多个 NSX Edge 接口和/或 IP 地址组作为防火墙规则的源和目标。

图 1. 适用于从 NSX Edge 接口流向 HTTP 服务器的流量的防火墙规则
规则

图 2. 适用于从 NSX Edge 的所有内部接口(连接到内部接口的端口组上的子网)流向 HTTP 服务器的流量的防火墙规则
规则

注:

如果选择内部 (internal)作为源,则配置其他内部接口时此规则将自动更新。

图 3. 允许通过 SSH 方式流入内部网络 m/c 的流量防火墙规则
规则

过程

  1. 在 vSphere Web Client 中,导航到网络和安全 (Networking & Security) > NSX Edge (NSX Edges)
  2. 双击一个 NSX Edge
  3. 单击管理 (Manage)选项卡,然后单击防火墙 (Firewall)选项卡。
  4. 执行以下操作之一。

    选项

    说明

    在防火墙表中的特定位置添加规则

    1. 选择规则。

    2. 在“编号”列中,单击 编辑,然后选择添加到上方 (Add Above)添加到下方 (Add Below)

    任何允许的新规则将添加到选定规则的下方。如果系统定义的规则是防火墙表中的唯一规则,则新规则将添加到默认规则的上方。

    通过复制规则添加规则

    1. 选择规则。

    2. 单击“复制”(复制) 图标。

    3. 选择规则。

    4. 在“编号”列中,单击 编辑 并选择在上方粘贴 (Paste Above)在下方粘贴 (Paste Below)

    在防火墙表中的任意位置添加规则

    1. 单击添加 (Add) (“添加”图标) 图标。

    任何允许的新规则将添加到选定规则的下方。如果系统定义的规则是防火墙表中的唯一规则,则新规则将添加到默认规则的上方。

    默认情况下启用新规则。

  5. 指向新规则的名称 (Name)单元,然后单击 编辑
  6. 键入新规则的名称。
  7. 指向新规则的源 (Source)单元,并单击 编辑

    如果单击了 ,则键入一个 IP 地址。

    1. 从下拉列表中选择一个对象,然后进行相应的选择。

      如果选择虚拟网卡组 (vNIC Group),然后选择 vse,则该规则将应用于 NSX Edge 生成的流量。如果选择内部 (internal)外部 (external),则此规则将应用于来自所选 NSX Edge 实例的任何内部或上行链路接口的流量。当配置其他接口时,此规则将自动更新。注意,内部接口上的防火墙规则对逻辑路由器不起作用。

      如果选择 IP 集 (IP Sets),则可以创建新的 IP 地址组。创建新组后,它将自动添加到源列中。有关创建 IP 集的信息,请参见创建 IP 地址组

    2. 单击确定 (OK)
  8. 指向新规则的目标 (Destination)单元,并单击 编辑
    1. 从下拉列表中选择一个对象,然后进行相应的选择。

      如果选择虚拟网卡组 (vNIC Group),然后选择 vse,则该规则将应用于 NSX Edge 生成的流量。如果选择内部 (internal)外部 (external),则此规则将应用于流向所选 NSX Edge 实例的任何内部或上行链路接口的流量。当配置其他接口时,此规则将自动更新。注意,内部接口上的防火墙规则对逻辑路由器不起作用。

      如果选择 IP 集 (IP Sets),则可以创建新的 IP 地址组。创建新组后,它将自动添加到源列中。有关创建 IP 集的信息,请参见创建 IP 地址组

    2. 单击确定 (OK)
  9. 指向新规则的服务 (Service)单元,并单击 编辑
    • 如果单击了 编辑,则选择一个服务。要创建新服务或服务组,请单击新建 (New)。创建新服务后,其自动添加到“服务”列中。有关创建新服务的详细信息,请参见创建服务

    • 如果单击了 ,则选择一个协议。可以通过单击“高级”选项旁的箭头指定源端口。VMware 建议您从版本 5.1 及更高版本开始不要指定源端口。但可以为协议-端口组合创建服务。

    注:

    NSX Edge 仅支持使用 L3 协议定义的服务。

  10. 指向新规则的操作 (Action)单元,然后单击 编辑。选择下表中所描述的相应选项,然后单击确定 (OK)

    选定的操作

    结果

    允许

    允许来自或流向指定源和目标的流量。

    阻止

    阻止来自或流向指定源和目标的流量。

    拒绝

    针对不被接受的数据包发送拒绝消息。

    为 TCP 数据包发送 RST 数据包。

    为其他数据包发送 ICMP 不可访问(管理限制)数据包。

    日志

    记录与此规则匹配的所有会话。启用日志记录功能可能会影响性能。

    不记录

    不记录会话。

    备注

    根据需要键入备注。

    高级选项 > 转换时匹配

    如果是 NAT 规则,则将该规则应用于转换后的 IP 地址和服务

    启用规则方向

    指出规则是入站规则还是出站规则。

    VMware 建议不指定防火墙规则的方向。

  11. 单击发布更改 (Publish Changes)将新规则推送到 NSX Edge 实例中。

下一步做什么

  • 禁用规则,方法是单击 禁用(位于编号 (No.)列中规则编号的旁边)。

  • 隐藏生成的规则或预规则(在集中式“防火墙”选项卡上添加的规则),方法是单击隐藏生成的规则 (Hide Generated rules)隐藏预规则 (Hide Pre rules)

  • 通过单击 选择列 并选择相应的列,显示规则表中的其他列。

    列名称

    显示的信息

    规则标记

    系统为每个规则生成的唯一 ID

    日志

    记录或不记录此规则的流量

    统计信息

    单击 统计 可显示受此规则影响的流量(会话数、通信包数和大小)

    备注

    规则的备注

  • 通过在“搜索”字段中键入文本来搜索规则。