通过设置时间范围,安全管理员可以限制特定时间段内从源流出的流量或流入目标的流量。

基于时间的规则适用于 ESXi 主机上的分布式防火墙和网关防火墙。时间范围应用于防火墙策略区域以及其中的所有规则。每个防火墙策略区域都可以有一个时间范围。同一个时间范围可以应用于多个策略区域。如果您希望在不同的日期或时间将同一规则应用于不同的站点,则必须创建多个策略区域。基于时间的规则适用于 ESXi 主机上的分布式防火墙和网关防火墙。

在 NSX 4.0.1.1 和更高版本中,NSX 联合中的本地管理器和全局管理器均支持基于时间的规则。可以为所有站点指定 UTC 时间,也可以按本地时区指定时间。如果您希望在不同的日期或时间将同一规则应用于不同的站点,则必须创建多个策略区域。

前提条件

网络时间协议 (Network Time Protocol, NTP) 是一种 Internet 协议,用于在计算机客户端和服务器之间进行时钟同步。在使用基于时间的规则发布时,必须在每个传输节点上运行 NTP 服务。

如果在部署 Edge 传输节点后更改了该节点上的时区,请重新加载 Edge 节点或重新启动数据平面,以使基于时间的网关防火墙策略生效。有关详细信息,请参见在设备和传输节点上配置 NTP

创建防火墙策略。

过程

  1. 单击要为其设置时间范围的防火墙策略上的时钟图标。
    此时将显示一个时间范围。
  2. 单击添加新的时间范围并输入名称
  3. 选择时区:UTC(协调世界时)或传输节点的本地时间。分布式防火墙仅在启用了 NTP 服务的情况下支持 UTC,不支持更改时区配置。
  4. 选择时间范围的频率 - 每周一次
  5. 选择时间范围在一周中的哪几天生效。
    当一个完整的时间范围在本地时区与在 UTC 时区中属于同一天时, NSX 支持为本地时区配置对应的每周 UTC 时间范围。例如,对于太平洋夏季时间 (PDT) 的上午 7 点到晚上 7 点,您无法配置对应的 UTC 时间范围,因为该时间范围会映射到 UTC 时间下午 2 点到次日凌晨 2 点。
  6. 选择时间范围的开始日期和结束日期,以及时间范围生效的时间。
  7. 单击保存
  8. 单击要为其设置时间范围的策略区域旁边的复选框。然后,单击时钟图标。
  9. 选择要应用的时间范围,然后单击应用
  10. 单击发布。该区域的时钟图标将变为绿色。

    当首次发布基于时间的规则时,将记录时间,且将在 2 分钟内开始实施规则。部署规则后,将立即按照时间范围实施。