NSX 项目中的防火墙策略

成功实现 NSX 项目后，系统会创建默认网关防火墙和分布式防火墙规则，以控制 NSX 项目中工作负载的南北向流量和东西向流量的默认行为。

概览

项目中的防火墙规则仅适用于项目中的虚拟机。即连接到项目中分段的虚拟机。项目中的防火墙规则不会影响项目外部的工作负载。

在以下小节中，术语“基本许可证”是指以下两个许可证中的任何一个：

分布式防火墙

基本许可证仅授权系统使用 NSX 网络功能。您无法配置分布式防火墙安全功能。要在 NSX 项目中添加或编辑分布式防火墙规则，必须在系统中应用相应的安全许可证。

如果未应用安全许可证，则不会在项目中激活系统创建的默认分布式防火墙规则。默认防火墙规则存在于项目中，但它们在项目中处于非活动状态。您无法编辑默认防火墙规则，也无法在项目中激活这些规则。

网关防火墙

基本许可证仅授权系统在项目中添加或编辑无状态网关防火墙规则。要在项目中添加或编辑有状态网关防火墙规则和无状态网关防火墙规则，必须在系统中应用相应的安全许可证。

项目中的默认网关防火墙策略是有状态策略。如果未在系统中应用安全许可证，则只能编辑有状态网关防火墙规则的规则操作。不允许在默认规则中进行任何其他编辑。无法将默认网关防火墙策略的状态从有状态更改为无状态。

默认分布式防火墙 (DFW) 策略显示在“应用程序防火墙”类别的策略列表底部。默认策略将定义项目中的虚拟机在未遇到任何其他规则时的行为。

以下命名约定用于标识项目中的默认 DFW 策略：

PROJECT-<Project_Name>-Default Layer 3 section

Project_Name 将替换为系统中的实际值。

例如，以下屏幕截图显示了项目中的默认 DFW 策略规则。

如此屏幕截图所示，默认策略将应用于 DFW，并包含以下防火墙规则：

默认 DFW 策略可确保项目中的虚拟机只能访问同一项目中的其他虚拟机，包括 DHCP 服务器。与项目外部的虚拟机进行的通信将被阻止。默认情况下，连接到项目中分段的虚拟机无法对其默认网关执行 ping 操作。如果需要进行此类通信，您必须在默认 DFW 策略中添加新的规则或修改现有规则。

组织中的项目支持“基础架构”、“环境”和“应用程序”DFW 防火墙类别。在每个防火墙类别中，将按照以下优先级顺序强制执行 DFW 规则：

默认空间中的 DFW 规则可以扩展到项目。

注：默认空间中的 DFW 规则将应用于 NSX 部署中的每个虚拟机，包括项目中的虚拟机。但是，您可以从 UI 的应用对象设置中选择组选项，以限制默认空间中的规则范围。

例如，您可以选择将规则应用于项目默认组 (PROJECT-<Project_Name>-default)。项目默认组仅包含项目的工作负载虚拟机。

项目内的 DFW 规则可以访问以下组：

与项目共享的组只能在防火墙规则的源或目标字段中使用，而不能在防火墙规则的应用对象字段中使用。

如果在项目中添加了 NSX VPC，则可以在项目防火墙规则的源、目标和应用对象字段中使用系统在 NSX VPC 中创建的默认组。但是，不能在项目防火墙规则中使用用户在 NSX VPC 中创建的组。

用于在项目中添加 DFW 策略的 UI 工作流与当前在 NSX 部署的默认视图（默认空间）中添加策略的工作流相同。

唯一的区别在于，在 UI 中，您必须先从顶部应用程序栏上的项目切换器下拉菜单中选择一个项目，然后导航到安全 > 分布式防火墙，才能在该选定项目中添加 DFW 策略。

项目的默认网关防火墙策略是有状态策略，其中包含单个防火墙规则，如以下屏幕截图中所示。

默认情况下，默认规则允许所有流量通过项目网关防火墙。您只能修改此默认规则的规则操作。此规则中的所有其他字段均不可编辑。

如之前在本文档的概览部分中所述，基本许可证仅授权系统在项目中添加或编辑无状态网关防火墙规则。要在项目中同时添加或编辑有状态网关防火墙规则和无状态网关防火墙规则，必须在系统中应用相应的安全许可证。

用于在项目中添加网关防火墙策略的 UI 工作流与当前在 NSX 部署的“默认”视图（默认空间）中添加网关防护墙策略的工作流相同。

唯一的区别在于，在 UI 中，您必须先从顶部应用程序栏上的项目切换器下拉菜单中选择一个项目，然后导航到安全 > 网关防火墙 > 网关特定的规则，才能在该选定项目 Tier-1 网关中添加网关防火墙策略。