在 Tier-0 网关防火墙上创建应用程序防火墙规则之前,请务必手动添加网关防火墙规则,以允许使用 BGP、OSPF 和故障检测协议 BFD 等路由协议。应在任何应用程序规则之前添加这些规则,以确保在更改应用程序防火墙规则时,路由对等连接各自的故障检测协议不受影响。

前提条件

支持 IPv4 和 IPv6 地址。

要启用网关防火墙,请选择安全 > 网关防火墙 > 设置。对于要激活的 Tier-1 或 Tier-0 网关防火墙,单击打开

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择安全 > 网关防火墙
  3. 选择所有共享规则网关特定的规则选项卡。单击添加策略。有关规则类别的详细信息,请参见网关防火墙
  4. 输入新策略区域的名称
  5. 单击齿轮图标以配置以下策略设置:
    设置 描述
    TCP 严格模式 默认情况下,网关防火墙在严格 TCP 模式下运行。“TCP 严格模式”仅适用于有状态 TCP 规则,并在网关防火墙策略级别启用。对于与默认“任意-任意”允许规则(没有指定任何 TCP 服务)匹配的数据包,不会强制采用 TCP 严格模式。
    有状态 默认情况下,将启用“有状态”。有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。
    已锁定 默认情况下,将禁用“已锁定”。可以锁定策略,以防止多个用户对相同区域进行更改。锁定某个区域时,必须包含一条注释。
  6. 选择策略区域,然后单击添加规则
  7. 输入规则的名称。
  8. 列中,单击铅笔图标,然后选择IP 地址。对于 IP 地址,您可以输入 IP 地址、CIDR 或 IP 地址范围。具有Active Directory成员的组可用于 IDFW 规则的源框。请参见添加组
  9. 目标列中,单击铅笔图标,然后选择IP 地址。对于 IP 地址,您可以输入 IP 地址、CIDR 或 IP 地址范围。如果未定义,目标将与任何内容匹配。请参见添加组
  10. 服务列中,单击铅笔图标并选择服务。如果未定义,服务将与任何内容匹配。请参见添加服务
  11. 对于 Tier-1 网关,在配置文件列中,单击铅笔图标,然后选择上下文配置文件或 L7 访问配置文件。或者,创建新的配置文件。请参见配置文件。有关上下文配置文件的设计准则,请参见 L7 防火墙规则工作流
    • 网关防火墙规则可以包含上下文配置文件或 L7 访问配置文件,但不能同时包含两者。
    • 网关防火墙规则不支持含有属性类型“域名 (FQDN)”的上下文配置文件。
    • 在单个网关防火墙规则中只能使用一个 L7 访问配置文件。
  12. 在 4.1.2 及更高版本中,对于 Tier-0 网关,在配置文件列中单击铅笔图标,然后选择 L7 访问配置文件。请参见L7 访问配置文件。Tier-0 网关防火墙策略不支持上下文配置文件。
  13. 单击应用
  14. 单击应用对象列的铅笔图标,可更改每个规则的实施范围。在应用对象对话框中,单击类别下拉菜单按对象类型(如接口、标签和 VTI)进行筛选,以选择特定对象。
    默认情况下,网关防火墙规则将应用于选定网关上的所有可用上行链路和服务接口。

    对于 URL 筛选,应用对象只能是 Tier-1 网关。

  15. 操作列中,选择一个操作。
    选项 描述
    允许 允许具有指定的源、目标和协议的所有流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。

    L7 访问配置文件的规则操作必须为允许

    丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。
    拒绝

    拒绝具有指定的源、目标和协议的数据包。拒绝数据包将向发送方发送“目标无法访问 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。在尝试一次后,会向发送应用程序通知无法建立连接。

  16. 单击状态切换按钮以激活或停用规则。
  17. 单击齿轮图标以设置日志记录、方向、IP 协议和备注。
    选项 描述
    日志记录

    可以启用或禁用日志记录。网关防火墙日志提供网关虚拟路由和转发、网关接口信息以及流量详细信息。可以在 /var/log 目录中名为 firewallpkt.log 的文件中找到网关防火墙日志。

    方向 选项包括入站出站入站/出站。默认选项为入站/出站。此字段指从目标对象角度来看的流量方向。入站意味着只检查流入对象的流量,出站意味着只检查从对象流出的流量,入站/出站意味着检查两个方向的流量。
    IP 协议 选项包括 IPv4IPv6IPv4_IPv6。默认选项为 IPv4_IPv6
    日志标签 日志标签是启用日志记录时日志的名称。最大字符数为 39。
    注释 向防火墙规则添加注释。
    注: 单击图形图标可查看防火墙规则的流量统计信息。可以查看字节数、数据包计数和会话数等信息。
  18. 单击发布。可以添加多个规则,然后一起发布。
  19. 对于每个策略区域,单击信息图标以查看推送到 Edge 节点的 Edge 防火墙规则的当前状态。还会显示在将规则推送到 Edge 节点时生成的所有警报。
  20. 要查看应用于 Edge 节点的网关防火墙规则的合并状态,请进行 API 调用。
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true