防火墙规则区域是单独编辑和保存的,用于将单独的防火墙配置应用于租户。

前提条件

确认在 NSX Manager 用户界面中选择了管理器模式。请参见NSX Manager。如果看不到策略管理器模式按钮,请参见配置用户界面设置

过程

  1. 选择安全 > 分布式防火墙
  2. 对于第 3 层 (L3) 规则,请单击常规选项卡;对于第 2 层 (L2) 规则,请单击以太网选项卡。
  3. 单击一个现有的区域或规则。
  4. 单击菜单栏上的区域图标,然后选择在上方添加区域在下方添加区域
    注: 对于尝试通过防火墙的任何流量,将按照“规则”表中显示的顺序应用规则以处理数据包信息,从顶部开始并移到底部的默认规则。在某些情况下,两个或更多规则的优先级顺序在确定如何处理数据包方面可能是非常重要的。
  5. 输入区域名称。
  6. 要将防火墙设为无状态,请选择启用无状态防火墙。此选项仅适用于 L3。
    无状态防火墙监控网络流量,并根据源和目标地址或其他静态值限制或阻止数据包。对于 TCP 和 UDP 流量,如果防火墙结果为 ALLOW,则在第一个数据包之后,将为任一方向的流量元组创建并维护缓存。这意味着流量不再需要通过防火墙规则进行检查,从而降低延迟。因此,在较高的流量负载下,无状态防火墙通常速度更快,性能更好。

    有状态防火墙可以监控从一端到另一端的流量流。将始终针对每个数据包查询防火墙,以验证状态和序列号。有状态防火墙在识别未授权和伪造的通信方面更好。

    在定义后,就不会在有状态和无状态之间进行切换。
  7. 选择一个或多个对象以应用区域。
    对象类型包括逻辑端口、逻辑交换机和 NS 组。如果您选择 NS 组,则它必须包含一个或多个逻辑交换机或逻辑端口。如果 NS 组仅包含 IP 集或 MAC 集,则将被忽略。
    注: 如果区域及其所含规则的 应用对象均设置为 NS 组,则区域中的 应用对象将覆盖该区域所含规则中的所有 应用对象设置。这是因为防火墙区域级别的 应用对象优先于规则级别的 应用对象
  8. 单击确定

下一步做什么

将防火墙规则添加到区域。