NSX 使用防火墙规则指定流入和流出网络的流量处理。

防火墙提供了多组可配置的规则:第 3 层规则(“常规”选项卡)和第 2 层规则(“以太网”选项卡)。先处理第 2 层防火墙规则,然后再处理第 3 层规则,如果第 2 层规则允许,则将由第 3 层规则进行处理。您可以配置一个排除列表,其中包含要从防火墙实施中排除的逻辑交换机、逻辑端口或组。

防火墙规则是按以下方式强制实施的:

  • 规则是按从上到下的顺序处理的。
  • 根据规则表中的最上面规则检查每个数据包,然后向下移到表中的后续规则。
  • 强制实施表中与流量参数匹配的第一个规则。

无法强制实施后续规则,因为随后将停止为该数据包搜索规则。由于这种行为,始终建议将最精细的策略放在规则表顶部。这将确保在较具体的规则之前强制实施这些规则。

默认规则(位于规则表底部)是一个总括性规则;将为与任何其他规则不匹配的数据包强制实施默认规则。在执行主机准备操作后,默认规则将设置为允许操作。这可确保虚拟机到虚拟机的通信在暂存或迁移阶段不会中断。最佳做法是将该默认规则更改为阻止操作,并通过积极控制模式强制实施访问控制(即,仅允许将防火墙规则中定义的流量传输到网络上)。
注: 可以在每个区域启用“TCP 严格模式”,以禁止在会话中途提取数据,并实现三向握手要求。当为某个特定的分布式防火墙区域启用“TCP 严格模式”,并使用默认的“任意-任意”阻止规则时,将丢弃此区域中不满足三向握手连接要求且与基于 TCP 的规则相匹配的数据包。“严格模式”仅适用于有状态 TCP 规则,并在分布式防火墙区域级别启用。对于符合默认的“任意-任意”允许规则的数据包,因为其没有指定任何 TCP 服务,因此不会对其强制执行“TCP 严格模式”。
表 1. 防火墙规则的属性
属性 描述
名称 防火墙规则的名称。
ID 系统为每个规则生成的唯一 ID。
规则源可以是 IP 或 MAC 地址或者 IP 地址以外的对象。如果未定义,源将与任何内容匹配。源或目标范围都支持 IPv4 和 IPv6。
目标 受规则影响的连接的目标 IP 或 MAC 地址/网络掩码。如果未定义,目标将与任何内容匹配。源或目标范围都支持 IPv4 和 IPv6。
服务 对于 L3,服务可以是预定义的端口协议组合。对于 L2,服务可以是以太网类型。对于 L2 和 L3,您可以手动定义新的服务或服务组。如果未指定,服务将与任何内容匹配。
应用对象 定义该规则的适用范围。如果未定义,范围将是所有逻辑端口。如果在某个区域中添加了“应用对象”,它将覆盖规则。
日志 可以禁用或启用日志记录。日志存储在 ESXi 主机上的 /var/log/dfwpktlogs.log 文件中。
操作 规则应用的操作可以是允许丢弃拒绝。默认操作为允许
IP 协议 选项包括 IPv4IPv6IPv4_IPv6。默认选项为 IPv4_IPv6。要访问此属性,请单击高级设置图标。
方向 选项包括入站出站入站/出站。默认选项为入站/出站。此字段指从目标对象角度来看的流量方向。入站意味着只检查流入对象的流量,出站意味着只检查从对象流出的流量,入站/出站意味着检查两个方向的流量。要访问此属性,请单击高级设置图标。
规则标记 已添加到规则的标记。要访问此属性,请单击高级设置图标。
流量统计信息 这是一个只读字段,其中显示了字节数、数据包计数和会话数。要访问此属性,请单击图形图标。
注: 如果未启用 SpoofGuard,则无法保证自动发现的地址绑定是可信的,因为恶意虚拟机可能声称具有另一个虚拟机的地址。如果启用,SpoofGuard 将验证每个发现的绑定,以便仅提供批准的绑定。