可以在 NSX Manager 范围添加防火墙规则。然后,可以使用“应用对象”字段缩小要应用规则的范围。您可以在源级别和目标级别为每个规则添加多个对象,以帮助减少要添加的防火墙规则的总数。

关于此任务

可以将以下 vCenter 对象指定为防火墙规则的源或目标:

表 1. 防火墙规则支持的对象

源或目标

应用对象

  • 群集

  • 数据中心

  • 分布式端口组

  • IP 集

  • 传统端口组

  • 逻辑交换机

  • 资源池

  • 安全组

  • vApp

  • 虚拟机

  • 虚拟网卡

  • IP 地址(IPv4 或 IPv6)

  • 已安装分布式防火墙的所有群集(即已完成网络虚拟化准备的所有群集)

  • 准备好的群集上安装的所有 Edge 网关

  • 群集

  • 数据中心

  • 分布式端口组

  • Edge

  • 传统端口组

  • 逻辑交换机

  • 安全组

  • 虚拟机

  • 虚拟网卡

先决条件

确保 NSX 分布式防火墙的状态未处于向后兼容模式。要检查当前状态,请使用以下 REST API 调用:GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state。如果当前状态为向后兼容模式,则可以使用以下 REST API 调用将状态更改为向前兼容:PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state。当分布式防火墙处于向后兼容模式时,请勿尝试发布分布式防火墙规则。

如果您正在添加通用防火墙规则,请参见添加通用防火墙规则

如果您正在添加基于标识的防火墙规则,请确保:

  • 已在 NSX Manager 中注册一个或多个域。NSX Manager 从每个注册的域中获取组和用户信息以及两者之间的关系。请参见在 NSX Manager 中注册 Windows 域

  • 已基于 Active Directory 对象创建了可用作规则的源或目标的安全组。请参见创建安全组

如果您正在根据 VMware vCenter 对象添加规则,请确保在虚拟机上安装了 VMware Tools。请参见NSX 安装指南

从 6.1.5 迁移到 6.2.3 的虚拟机不支持 TFTP ALG。要在迁移后启用 TFTP ALG 支持,请在排除列表中添加虚拟机后再将其移除,或者重新启动虚拟机。这会创建支持 TFTP ALG 的新 6.2.3 筛选器。

过程

  1. 在 vSphere Web Client 中,导航到网络和安全 (Networking & Security) > 防火墙 (Firewall)
  2. 确保您处于常规 (General)选项卡中以添加 L3 规则。单击以太网 (Ethernet)选项卡可添加 L2 规则。
  3. 在添加规则的区域中,单击添加规则 (Add rule) (“添加”图标) 图标。
  4. 单击发布更改 (Publish Changes)

    任何一个允许的新规则将添加到区域的顶部。如果系统定义的规则是区域中的唯一规则,则新规则将添加到默认规则的上方。

    如果要将规则添加到区域中的特定位置,请选择一个规则。在“编号”列中,单击 ,并选择添加到上方 (Add Above)添加到下方 (Add Below)

  5. 指向新规则的名称 (Name)单元,然后单击 编辑
  6. 键入新规则的名称。
  7. 指向新规则的源 (Source)单元。将显示其他图标,如下表中所述。

    选项

    说明

    单击 IP

    要将源指定为 IP 地址,请执行以下操作:

    1. 选择 IP 地址格式。

      防火墙同时支持 IPv4 和 IPv6 格式。

    2. 键入 IP 地址。

      您可以在逗号分隔列表中输入多个 IP 地址。该列表最多可以包含 255 个字符。

    单击

    要将源指定为除特定 IP 地址以外的对象,请执行以下操作:

    1. 视图 (View)中,选择一个产生通信的容器。

      此时会显示选定容器的对象。

    2. 选择一个或多个对象,然后单击 添加

      可以创建一个新的安全组或 IPSet。创建新对象后,默认情况下它将添加到“源”列。有关创建新安全组或 IPSet 的信息,请参见网络对象和安全对象

    3. 要将某个源排除在规则之外,请单击高级选项 (Advanced options)

    4. 选择取消源 (Negate Source),以便将该源排除在规则之外。

      如果选择取消源 (Negate Source),则此规则将应用于来自所有源的流量,但在上一个步骤中指定的源的流量除外。

      如果未选择取消源 (Negate Source),则此规则将应用于来自在上一个步骤中指定的源的流量。

    5. 单击确定 (OK)

  8. 指向新规则的目标 (Destination)单元。将显示其他图标,如下表中所述。

    选项

    说明

    单击 IP

    要将目标指定为 IP 地址,请执行以下操作:

    1. 选择 IP 地址格式。

      防火墙同时支持 IPv4 和 IPv6 格式。

    2. 键入 IP 地址。

      您可以在逗号分隔列表中输入多个 IP 地址。该列表最多可以包含 255 个字符。

    单击

    要将目标指定为除特定 IP 地址以外的对象,请执行以下操作:

    1. 视图 (View)中,选择一个通信流向的容器。

      此时会显示选定容器的对象。

    2. 选择一个或多个对象,然后单击 添加

      可以创建一个新的安全组或 IPSet。创建新对象后,默认情况下它将添加到“目标”列。有关创建新安全组或 IPSet 的信息,请参见网络对象和安全对象

    3. 要排除某个目标端口,请单击高级选项 (Advanced options)

    4. 选择取消目标 (Negate Destination),以便将该目标排除在规则之外。

      如果选择取消目标 (Negate Destination),则此规则将应用于流向所有目标的流量,但在上一个步骤中指定的目标的流量除外。

      如果未选择取消目标 (Negate Destination),则此规则将应用于流向在上一个步骤中指定的目标的流量。

    5. 单击确定 (OK)

  9. 指向新规则的服务 (Service)单元格。将显示其他图标,如下表中所述。

    选项

    说明

    单击 端口

    要将服务指定为端口协议组合,请执行以下操作:

    1. 选择服务协议。

      分布式防火墙支持以下协议的 ALG(应用程序级别网关):TFTP、FTP、ORACLE TNS、MS-RPC 和 SUN-RPC。

      对于 FTP、TFTP 和 SNMP_BASIC,Edge 支持 ALG。

      注意:从 6.1.5 迁移到 6.2.3 的虚拟机不支持 TFTP ALG。要在迁移后启用 TFTP ALG 支持,请在排除列表中添加虚拟机后再将其移除,或者重新启动虚拟机。这会创建支持 TFTP ALG 的新 6.2.3 筛选器。

    2. 键入端口号,然后单击确定 (OK)

    单击

    要选择预定义的服务/服务组或定义新的服务/服务组,请执行以下操作:

    1. 选择一个或多个对象,然后单击 添加

      可以创建新的服务或服务组。创建新对象后,默认情况下它将添加到“选定的对象”列。

    2. 单击确定 (OK)

    为了保护网络免受 ACK 或 SYN 泛洪攻击,可以针对默认规则将“服务”设置为“TCP-all_ports”或“UDP-all_ports”,并将“操作”设置为“阻止”。有关修改默认规则的信息,请参见编辑默认分布式防火墙规则

  10. 指向新规则的操作 (Action)单元,然后单击 编辑。选择下表中所描述的相应选项,然后单击确定 (OK)

    操作

    结果

    允许

    允许来自或流向指定源、目标和服务的流量。

    阻止

    阻止来自或流向指定源、目标和服务的流量。

    拒绝

    针对不被接受的数据包发送拒绝消息。

    对于 TCP 连接,发送 RST 数据包。

    对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。

    日志

    记录与此规则匹配的所有会话。启用日志记录功能可能会影响性能。

    不记录

    不记录会话。

  11. 应用对象 (Applied To)中,定义此规则适用的范围。选择下表中所描述的相应选项,然后单击确定 (OK)

    要将规则应用于

    请执行以下操作

    环境中准备好的所有群集

    选择在已启用分布式防火墙的所有群集上应用此规则 (Apply this rule on all clusters on which Distributed Firewall is enabled)。单击“确定”后,此规则的“应用对象”列将显示分布式防火墙 (Distributed Firewall)

    环境中的所有 NSX Edge 网关

    选择在所有的 Edge 网关上应用此规则 (Apply this rule on all Edge gateways)。单击“确定”后,此规则的“应用对象”列将显示全部 Edge (All Edges)

    如果同时选择以上选项,则“应用对象”列将显示任意 (Any)

    一个或多个群集、数据中心、分布式虚拟端口组、NSX Edge、网络、虚拟机、虚拟网卡或逻辑交换机

    1. 容器类型 (Container type)中,选择相应对象。

    2. 在“可用”列表中,选择一个或多个对象,然后单击 添加

    如果规则的源和目标字段中包含虚拟机/虚拟网卡,则必须将源和目标虚拟机/虚拟网卡都添加到应用对象 (Applied To)中,规则才能正常运行。

  12. 单击发布更改 (Publish Changes)

    稍等片刻,将显示一条消息指示发布操作是否成功。如果出现任何故障,将列出未应用此规则的主机。有关发布失败的其他详细信息,请导航到 NSX Manager (NSX Managers) > NSX_Manager_IP_Address > 监控 (Monitor) > 系统事件 (System Events)

    单击发布更改 (Publish Changes)时,将自动保存防火墙配置。有关恢复为先前配置的信息,请参见加载保存的防火墙配置

下一步做什么

  • 通过单击 禁用 禁用规则,或通过单击 启用规则 启用规则。

  • 通过单击 选择列 并选择相应的列,显示规则表中的其他列。

    列名称

    显示的信息

    规则 ID

    系统为每个规则生成的唯一 ID

    日志

    记录或不记录此规则的流量

    统计信息

    单击 统计信息 将显示与此规则相关的流量(流量包和大小)

    备注

    规则的备注

  • 通过在“搜索”字段中键入文本来搜索规则。

  • 在防火墙表中向上或向下移动规则。

  • 通过单击合并区域 (Merge section)图标并选择与以上区域合并 (Merge with above section)与以下区域合并 (Merge with below section)合并区域。