Aggiungere innanzitutto una regola del firewall distribuito nell'ambito del virtual data center dell'organizzazione. È quindi possibile restringere l'ambito in cui si desidera applicare la regola. Il firewall distribuito consente di aggiungere più oggetti a livello di origine e destinazione per ogni regola. In questo modo, è possibile ridurre il numero totale di regole del firewall da aggiungere.

Per informazioni sui servizi e sui gruppi di servizi predefiniti che possono essere utilizzati in una regola, vedere Visualizzazione dei servizi disponibili per le regole del firewall e Visualizzazione dei gruppi di servizi disponibili per le regole del firewall.

Prerequisiti

Procedura

  1. Nella schermata del dashboard Virtual data center fare clic sulla scheda del virtual data center che si desidera esplorare e in Reti selezionare Sicurezza.
  2. Selezionare la rete VDC dei servizi di sicurezza per cui si desidera modificare le regole del firewall e fare clic su Configura servizi.
    Verrà visualizzata la schermata Servizi di sicurezza.
  3. Selezionare il tipo di regola che si desidera creare. È possibile creare una regola generale o una regola Ethernet.
    Le regole di livello 3 (L3) vengono configurate nella scheda Generale. Le regole di livello 2 (L2) vengono configurate nella scheda Ethernet.
  4. Per aggiungere una regola sotto una regola esistente nella tabella del firewall, fare clic nella riga esistente e quindi fare clic sul pulsante Crea (Pulsante Crea).
    Sotto la regola selezionata verrà aggiunta una riga per la nuova regola a cui verranno assegnati qualsiasi destinazione, qualsiasi servizio e l'azione Consenti per impostazione predefinita. Se la regola Consenti assegnata dal sistema per impostazione predefinita rappresenta la sola regola nella tabella del firewall, la nuova regola viene aggiunta sopra la regola predefinita.
  5. Fare clic nella cella Nome e digitare un nome.
  6. Fare clic nella cella Origine e utilizzare le icone ora visibili per selezionare un'origine da aggiungere alla regola:
    Azione Descrizione
    Fare clic sull'icona IP Applicabile alle regole definite nella scheda Generale.

    Digitare il valore di origine che si desidera utilizzare. I valori validi sono un indirizzo IP, CIDR, un intervallo IP o la parola chiave qualsiasi. Il firewall distribuito supporta solo il formato IPv4.

    Fare clic sull'icona + Utilizzare l'icona + per specificare l'origine come oggetto diverso rispetto a un indirizzo IP specifico:
    • Utilizzare la finestra Seleziona oggetti per aggiungere oggetti che corrispondano alle proprie selezioni e fare clic su Mantieni per aggiungerli alla regola.
    • Per escludere un'origine dalla regola, aggiungerla alla regola utilizzando la finestra Seleziona oggetti e quindi selezionare l'icona dell'interruttore di esclusione per escludere tale origine dalla regola.

    Quando si seleziona l'interruttore di esclusione nell'origine, la regola viene applicata al traffico proveniente da tutte le origini ad eccezione dell'origine esclusa. Quando non si seleziona l'interruttore di esclusione, la regola viene applicata al traffico proveniente dall'origine specificata nella finestra Seleziona oggetti.

  7. Fare clic nella cella Destinazione ed eseguire una delle seguenti azioni:
    Azione Descrizione
    Fare clic sull'icona IP Applicabile alle regole definite nella scheda Generale.

    Digitare il valore di destinazione che si desidera utilizzare. I valori validi sono un indirizzo IP, CIDR, un intervallo IP o la parola chiave qualsiasi. Il firewall distribuito supporta solo il formato IPv4.

    Fare clic sull'icona + Utilizzare l'icona + per specificare l'origine come oggetto diverso rispetto a un indirizzo IP specifico:
    • Utilizzare la finestra Seleziona oggetti per aggiungere oggetti che corrispondano alle proprie selezioni e fare clic su Mantieni per aggiungerli alla regola.
    • Per escludere un'origine dalla regola, aggiungerla alla regola utilizzando la finestra Seleziona oggetti e quindi selezionare l'icona dell'interruttore di esclusione per escludere tale origine dalla regola.

    Quando si seleziona l'interruttore di esclusione nell'origine, la regola viene applicata al traffico proveniente da tutte le origini ad eccezione dell'origine esclusa. Quando non si seleziona l'interruttore di esclusione, la regola viene applicata al traffico proveniente dall'origine specificata nella finestra Seleziona oggetti.

  8. Fare clic nella cella Servizio della nuova regola ed eseguire una delle seguenti azioni:
    Azione Descrizione
    Fare clic sull'icona IP Per specificare il servizio come combinazione di porta e protocollo:
    1. Selezionare il protocollo del servizio.
    2. Digitare i numeri di porta per le porta di origine e quella di destinazione oppure specificare qualsiasi e fare clic su Mantieni.
    Fare clic sull'icona + Per selezionare un servizio o un gruppo di servizi predefinito oppure per definirne uno nuovo:
    1. Selezionare uno o più oggetti e aggiungerli al filtro.
    2. Fare clic su Mantieni.
  9. Nella cella Azione della nuova regola, configurare l'azione per la regola.
    Opzione Descrizione
    Consenti Consente il traffico da o per le origini, le destinazioni e i servizi specificati.
    Nega Blocca il traffico da o per le origini, le destinazioni e i servizi specificati.
  10. Nella cella Direzione della nuova regola, selezionare se la regola si applica al traffico in entrata, a quello in uscita oppure a entrambi.
  11. Se si tratta di una regola nella scheda Generale, nella cella Tipo di pacchetto della nuova regola, selezionare un tipo di pacchetto, ovvero Qualsiasi, IPV4 o IPV6.
  12. Selezionare la cella Applicato a e utilizzare l'icona + per definire l'ambito dell'oggetto a cui la regola è applicabile.
    Quando la regola contiene macchine virtuali nelle celle Origine e Destinazione, è necessario aggiungere la macchina virtuale di origine e quella di destinazione alla cella Applicato a della regola affinché la regola funzioni correttamente.
    Importante: I gruppi di indirizzi IP (set di IP), i gruppi di indirizzi MAC (set di MAC) e i gruppi di sicurezza che contengono set di IP o set di MAC non sono parametri di input validi.
  13. Fare clic su Salva modifiche.