防火墙规则表实施了 NSX 安全性策略,您可以使用 NSX Manager GUI 或 REST API 框架来创建该策略。

以下是了解并准备定义安全策略的简要步骤。
  • VM Inventory Collection:您可以确定和组织 NSX 传输节点上所有托管虚拟化工作负载的列表。该清单由 NSX Manager 动态收集并保存为节点 - 作为 NSX 传输节点添加的 ESXi 或 KVM。您可以通过导航到清单 > 虚拟机菜单来查看清单列表。
  • TagNSX 允许标记虚拟机、分段和分段端口。要标记其中的每个对象,请转到相关对象页面或转到清单 > 标记。对象可以有一个或多个标记。例如,虚拟机可以具有 Tag = PRODTag = HR-APPTag = WEB-Tier
  • Group Workloads:您可以根据虚拟机名称、标记、分段、分段端口、IP 或其他属性,将 NSX 逻辑分组构造与动态或静态成员资格条件结合使用。
  • Define Security Policy:您可以使用安全 > 分布式防火墙中提供的分布式防火墙规则表来定义安全策略。您可以根据预定义的类别(如以太网、紧急、基础架构、环境和应用程序)来组织策略。

有关详细信息,请参见NSX 管理指南

添加标记

可以选择清单中可用的现有标记,也可以创建新标记以添加到对象。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 确保您处于对象的编辑模式,以便为其分配标记。对象可以是分段、组、Tier-0 网关、Tier-1 网关等。
    例如,要标记分段,请单击 网络 > 分段。单击要编辑的分段旁边的 “操作”菜单,然后单击 编辑
  3. 标记下拉菜单中,输入标记名称。完成后,单击添加项目
    标记名称的最大长度为 256 个字符。

    如果清单中存在标记,标记下拉菜单将显示可用标记及其范围的列表。您可以从下拉菜单中选择现有标记,并将其分配给分段。

    注: 如果要为虚拟机分配标记,请不要将 Edge_NSGroup 标记分配给虚拟机。系统会自动将此标记分配给 Edge 虚拟机,以将其包含在 DFW 排除列表中。
  4. (可选) 输入标记范围。
    例如,假设您希望根据组织中的部门名称(如销售、营销、财务等)来标记分段。创建销售、营销、财务等标记,并将每个标记的范围设置为“部门”。
    范围的最大长度为 128 个字符。

    如果从清单中选择了现有标记,则会自动应用所选标记的范围。否则,您可以为要创建的新标记输入一个范围。

  5. 单击 + 图标或按 Enter 键。
    该标记将会添加到分段。
  6. 如果需要,请向分段添加更多标记。
  7. 单击保存

添加组

组包括以静态和动态方式添加的不同对象,可用作防火墙规则的源和目标。

过程

  1. 从导航面板中选择清单 >
  2. 单击添加组,然后输入组名称。
  3. 单击设置
  4. 设置成员窗口中,选择组类型
    表 1.
    组类型 描述
    通用

    此组类型是默认选择。“通用”组定义可以由成员资格条件、手动添加的成员、IP 地址、MAC 地址和 Active Directory 的组合组成。

    在组中定义成员资格条件时,将根据一个或多个条件在组中动态添加成员。手动添加的成员包括分段端口、分布式端口、分布式端口组、VIF、虚拟机等对象。
    仅限 IP 地址

    此组类型仅包含 IP 地址(IPv4 或 IPv6)。不支持在 DFW 规则中的应用对象中使用仅具有手动添加的 IP 地址成员的仅限 IP 地址组。可以创建规则,但不会强制执行。

    如果组类型为通用,则可以将其类型编辑为仅限 IP 地址组,但不可以编辑为包含恶意 IP 的仅限 IP 地址组。在这种情况下,仅在组中保留 IP 地址。所有成员资格条件和其他组定义都将丢失。在 NSX 中实现仅限 IP 地址或者包含恶意 IP 的仅限 IP 地址组类型后,无法将组类型编辑为通用
  5. 成员资格条件页面上,单击添加成员资格条件,根据一个或多个成员资格条件动态添加通用组中的成员。
  6. 单击成员以在组中添加静态成员。
  7. (可选) 单击 IP 地址MAC 地址以将 IP 地址和 MAC 地址添加为组成员。支持 IPv4 地址、IPv6 地址和多播地址。
    单击 操作 > 导入从包含以逗号分隔的 IP/MAC 值的 .TXT 文件或 .CSV 文件导入 IP/MAC 地址。
  8. 单击 AD 组以添加 Active Directory 组。这用于身份防火墙。可以在身份防火墙的分布式防火墙规则的源中使用具有 Active Directory 成员的组。组可以同时包含 AD 成员和计算成员。
  9. (可选) 输入说明和标记。
  10. 单击应用
    将列出组,并提供用于查看成员及组使用位置的选项。

分布式防火墙策略

分布式防火墙附带有防火墙规则的预定义类别。您可以使用类别来组织安全策略。

类别将按照从左到右(即:以太网 > 紧急 > 基础架构 > 环境 > 应用程序)的顺序进行评估,而类别中的分布式防火墙规则将按照从上到下的顺序进行评估。

表 2. 分布式防火墙规则类别
以太网

建议在此类别中包含第 2 层规则。

 紧急

建议在此类别中包含隔离和允许规则。

 基础架构

建议在此类别中包含定义共享服务访问权限的规则。例如:

  • AD
  • DNS
  • NTP
  • DHCP
  • 备份
  • 管理服务器
 环境

建议在此类别中包含区域之间的规则。例如:

  • 生产与开发
  • PCI 与非 PCI
  • 业务单位间规则
 应用程序

建议包含以下两者之间的规则:

  • 应用程序
  • 应用程序层
  • 微服务

添加分布式防火墙策略

分布式防火墙会监控虚拟机上的所有东西向流量。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 从导航面板中选择安全 > 分布式防火墙
  3. 确保您处于正确的预定义类别,然后单击添加策略
  4. 输入新策略区域的名称
  5. (可选) 使用应用对象将策略中的规则应用于选定的组。默认情况下,策略的应用对象字段设置为 DFW,并将策略规则应用于所有工作负载。在更改默认设置时,如果策略级别和其中的规则将应用对象设置为一个组,则策略级别的应用对象优先于规则级别的应用对象
    注: 不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。

    应用对象定义每个策略的实施范围,主要用于优化 ESXi 主机上的资源。这有助于为特定区域、租户或应用程序定义目标策略,而不会影响为其他应用程序、租户和区域定义的其他策略。

  6. 要配置以下策略设置,请单击齿轮图标。
  7. 单击发布。可以添加多个策略,然后一起发布。
    新策略将显示在屏幕上。
  8. 选择一个策略区域,单击添加规则,然后输入规则名称。
  9. 列中,单击编辑图标并选择规则的源。可以将具有 Active Directory 成员的组用于 IDFW 规则的源文本框。支持 IPv4、IPv6 和多播地址。IPv6 防火墙必须在连接的分段上启用 IPv6 的 IP 发现。有关详细信息,请参见#GUID-F481E554-F39D-4091-BA19-0D9F585F97F1
  10. 目标列中,单击编辑图标并选择规则的目标。如果未定义,目标将与任何内容匹配。支持 IPv4、IPv6 和多播地址。
  11. 服务列中,单击编辑图标并选择服务。如果未定义,服务将与任意匹配。
  12. 将规则添加到以“太网”类别时,此上下文配置文件列不可用。对于所有其他规则类别,在上下文配置文件列中,单击编辑图标并选择上下文配置文件,或单击添加上下文配置文件
    此参数用于 L7 应用程序 ID 筛选和 FQDN 筛选。
  13. 单击应用以将上下文配置文件应用于规则。
  14. 使用应用对象将规则应用于选定的组。使用客户机侦测创建 DFW 规则时,请确保应用对象字段应用于目标组。默认情况下,应用对象列设置为 DFW,并将规则应用于所有工作负载。在更改默认设置时,如果策略级别和其中的规则将应用对象设置为,则策略级别的应用对象优先于规则级别的应用对象
    注: 不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。
  15. 操作列中,选择一个操作。
    选项 描述
    允许 允许具有指定的源、目标和协议的所有 L3 或 L2 流量通过当前防火墙上下文。与规则匹配并接受的数据包将通过系统,就好像没有防火墙一样。
    丢弃 丢弃具有指定的源、目标和协议的数据包。丢弃数据包是一个静默操作,不会向源或目标系统发送通知。丢弃数据包将导致重试连接,直到达到重试阈值。
    拒绝 拒绝具有指定的源、目标和协议的数据包。拒绝数据包是一种较友好的数据包阻止方式,因为将向发送方发送“无法到达目标 (destination unreachable)”消息。如果协议是 TCP,则会发送 TCP RST 消息。对于 UDP、ICMP 和其他 IP 连接,发送包含管理上被禁止的代码的 ICMP 消息。使用“拒绝”的一个好处是,在仅尝试一次后,就会向发送应用程序通知无法建立连接。
    跳至应用程序
    注: 此操作仅适用于“环境”类别。

    允许与“环境”类别规则匹配的流量继续应用“应用程序”类别规则。如果流量与“环境”类别规则匹配并退出,但您希望应用“应用程序”类别规则,请使用此操作。

    例如,如果某个“环境”类别规则针对特定源的操作是“允许”,并且某个“应用程序”类别规则针对同一源的操作是“丢弃”,则将允许与“环境”类别匹配的数据包通过防火墙,并且不再应用其他规则。通过“跳至应用程序”操作,即便数据包与“环境”类别规则匹配,也会继续应用“应用程序”类别规则,从而导致这些数据包被丢弃。
  16. 单击状态切换按钮以启用或禁用规则。
  17. 单击齿轮图标以配置以下规则选项:
    选项 描述
    日志记录 默认情况下,将禁用日志记录。日志存储在 ESXi 主机上的 /var/log/dfwpktlogs.log 文件中。
    方向 指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量,“出站”表示只检查从对象流出的流量,“双向”表示检查两个方向的流量。
    IP 协议 基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。
    日志标签

    启用日志记录后,防火墙日志中将带有日志标签。最大字符数为 39。

  18. 单击发布。可以在同一个区域中添加 1,000 条规则,然后一起发布。
  19. 包含传输节点详细信息的策略的数据路径实现状态显示在策略表右侧。

添加分布式 IDS/IPS 策略

IDS/IPS 规则的创建方式与分布式防火墙 (DFW) 规则相同。首先,创建一个 IDS 策略,然后为此策略创建规则。

过程

  1. 导航到安全 > IDS/IPS > 分布式防火墙规则
  2. 单击添加策略以创建策略,然后输入策略名称。
  3. 单击齿轮图标以配置所需的策略设置。
    选项 描述
    有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。
    已锁定 可以锁定策略,以防止多个用户对相同区域进行编辑。锁定某个区域时,必须包含一条注释。

    有些角色(如企业管理员)具有完全访问凭据,无法锁定。

  4. 单击添加规则以添加规则,然后输入规则名称。
  5. 配置源、目标和服务,以确定哪些流量需要进行 IDS 检查。IDS 支持将任何类型的组用作源和目标。
  6. 安全配置文件列中,选择规则所需的配置文件。
  7. 应用对象列中,选择相应的选项以限制规则的范围。默认情况下,应用对象列设置为 DFW,并将规则应用于所有工作负载。您还可以将规则或策略应用于选定的组。不能在应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。
  8. 从以下选项中选择所需的模式
    • 仅检测 - 根据特征码检测入侵情况,而不采取任何措施。
    • 检测并阻止 - 根据特征码检测入侵情况,并通过配置文件或全局设置执行相应的操作以丢弃或拒绝特征码中指定的内容。
  9. 单击齿轮图标以配置以下规则选项。
    选项 描述
    日志记录 默认情况下,将禁用日志记录。日志存储在 ESXi 主机和 KVM 主机上的 /var/log/dfwpktlogs.log 文件中。
    方向 指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量。“出站”表示只检查从对象流出的流量。“双向”表示检查两个方向的流量。
    IP 协议 基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。
    日志标签 启用日志记录后,防火墙日志中将带有日志标签。
  10. 单击发布。在将规则成功推送到主机时,状态将显示成功
  11. 单击图标以查看
    • 策略状态 - 规则已成功推送到主机
    • 传输节点状态和错误
    有关高级策略配置,请参阅 NSX 管理指南

网关防火墙策略

可以通过将相关规则添加到属于预定义类别的防火墙策略区域下来配置网关防火墙。

过程

  1. 转到安全 > 网关防火墙 > 网关特定的规则
  2. 选择 T0-Gateway,然后单击添加策略
    添加 GFW 策略
  3. 添加规则。
  4. 为规则添加服务。
  5. 提供源、目标、服务和网关等详细信息,并选择操作。
  6. 发布策略和规则。