可以为您的环境在预定义的类别下配置东西向和南北向防火墙策略。
分布式防火墙(东西向)和网关防火墙(南北向)提供了多组按类别划分的可配置规则。可以配置一个排除列表,其中包含要从防火墙实施中排除的逻辑交换机、逻辑端口或组。
NSX 防火墙提供了预定义类别来帮助组织规则,从而简化了策略定义。
- 网关防火墙策略类别:紧急、系统、预规则、本地网关、自动服务、默认。有关详细信息,请参见网关防火墙
- 分布式防火墙策略类别:以太网、紧急、基础架构、环境、应用程序、默认。有关详细信息,请参见分布式防火墙。
类别按从左到右的顺序排序,而规则按从上到下的顺序排序。将根据每个类别中的规则(按从上到下的顺序排序)来匹配数据包。将从最左边的类别规则表开始,根据最上面的规则检查每个数据包,然后向下移到该表中的后续规则。如果未找到匹配项,则会对下一个类别中的规则执行相同的检查。将实施与流量参数匹配的第一条规则。如果规则操作为“允许”、“丢弃”或“拒绝”,则无法实施任何后续规则,因为随后会终止对该数据包的搜索。“环境”类别中的规则具有额外的“跳至应用程序”操作;与此类规则匹配的任何数据包也将根据规则表进行匹配,并由“应用程序”类别的匹配规则(按从上到下排序)进行监管。由于这种行为,始终建议将最精细的策略放在规则表顶部。这可确保这些规则将在更泛型的规则之前加以实施。
如果默认 NSX 防火墙规则与未被更精细规则监管的任何数据包匹配,则会为该规则配置一个允许操作。建议您配置更具体的允许列表规则以允许应用程序所需的流量,然后将默认规则更改为“丢弃”或“拒绝”,以实现更安全的安全态势。在发生故障时,东西向或南北向防火墙是关闭还是打开取决于防火墙中的最后一个规则。
默认情况下,DFW 会实施大多数防火墙所使用的规则表和流量表模型。在下图中,标识为 pkt1 的 IP 数据包与规则编号 2 匹配。数据包的处理方式如下:
- 在连接跟踪器表中执行查找,以确定该流量的条目是否已存在。
- 由于连接跟踪器表中不存在流量 2,因此将在规则表中执行查找以确定适用于流量 2 的规则。将强制实施第一条与该流量匹配的规则。
- 规则 2 与流量 2 匹配。操作设置为“允许”。
- 由于流量 2 的操作设置为“允许”,因此将在连接跟踪器表中创建一个新条目。然后将数据包传输到 DFW 之外。