Per proteggere il traffico da e verso un gateway edge, è possibile creare e gestire le regole del firewall in tale gateway edge.

Per informazioni sulla protezione del traffico tra le macchine virtuali in un virtual data center dell'organizzazione, vedere Gestione del firewall distribuito in un virtual data center dell'organizzazione di VMware Cloud Director.

Le regole create nella schermata Firewall distribuito in cui è specificato un gateway edge avanzato nella colonna Applicato a non vengono visualizzate nella schermata Firewall di tale gateway edge avanzato.

Le regole del firewall del gateway edge per un gateway edge vengono visualizzate nella schermata Firewall e vengono applicate nell'ordine seguente:

  1. Regole interne, note anche come regole con plumbing automatico. Queste regole abilitano il flusso del traffico di controllo per i servizi del gateway edge.
  2. Regole definite dall'utente.
  3. Regola predefinita.

Le impostazioni della regola predefinita vengono applicate al traffico che non corrisponde ad alcuna delle regole del firewall definite dall'utente. La regola predefinita viene visualizzata in fondo all'elenco delle regole nella schermata Firewall.

Nel portale tenant, utilizzare l'opzione Abilita nella schermata Regole firewall del gateway edge per attivare o disattivare un firewall del gateway edge.

Aggiunta di una regola del firewall del gateway edge di NSX Data Center for vSphere nel VMware Cloud Director Service Provider Admin Portal

Utilizzare la scheda Firewall del gateway edge per aggiungere regole del firewall per il gateway edge. È possibile aggiungere più interfacce edge e più gruppi di indirizzi IP come origine e destinazione per queste regole del firewall.

Se si specifica interna per un'origine o una destinazione di una regola, si indica il traffico per tutte le subnet nei gruppi di porte connessi al gateway edge NSX. Se si seleziona Interna come origine, la regola viene aggiornata automaticamente quando nel gateway NSX vengono configurate interfacce interne aggiuntive.

Nota: Le regole del firewall gateway edge sulle interfacce interne non funzionano quando il gateway edge è configurato per il routing dinamico.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare la scheda Risorse cloud.
    2. Nel riquadro secondario a sinistra, selezionare Gateway edge.
    3. Fare clic sul pulsante di opzione accanto al nome del gateway edge di destinazione e fare clic su Servizi.
  2. Se la schermata Regole firewall non è ancora visibile, fare clic sulla scheda Firewall.
  3. Per aggiungere una regola sotto una regola esistente nella tabella delle regole del firewall, fare clic nella riga esistente e quindi fare clic sul pulsante Crea.
    Sotto la regola selezionata verrà aggiunta una riga per la nuova regola a cui verranno assegnati qualsiasi destinazione, qualsiasi servizio e l'azione Consenti per impostazione predefinita. Quando la regola predefinita definita dal sistema rappresenta l'unica regola nella tabella del firewall, la nuova regola viene aggiunta sopra la regola predefinita.
  4. Fare clic nella cella Nome e digitare un nome.
  5. Fare clic nella cella Origine e utilizzare le icone ora visibili per selezionare un'origine da aggiungere alla regola:
    Opzione Descrizione
    Fare clic sull'icona IP Digitare il valore di origine che si desidera utilizzare. I valori validi sono un indirizzo IP, CIDR, un intervallo IP o la parola chiave qualsiasi. Il firewall del gateway edge supporta entrambi i formati IPv4 e IPv6.
    Fare clic sull'icona + Utilizzare l'icona + per specificare l'origine come oggetto diverso rispetto a un indirizzo IP specifico:
    • Utilizzare la finestra Seleziona oggetti per aggiungere oggetti che corrispondano alle proprie selezioni e fare clic su Mantieni per aggiungerli alla regola.
    • Per escludere un'origine dalla regola, aggiungerla alla regola utilizzando la finestra Seleziona oggetti e quindi selezionare l'icona dell'interruttore di esclusione per escludere tale origine dalla regola.

    Quando si seleziona l'interruttore di esclusione nell'origine, la regola viene applicata al traffico proveniente da tutte le origini ad eccezione dell'origine esclusa. Quando non si seleziona l'interruttore di esclusione, la regola viene applicata al traffico proveniente dall'origine specificata nella finestra Seleziona oggetti.

  6. Fare clic nella cella Destinazione ed eseguire una delle seguenti opzioni:
    Opzione Descrizione
    Fare clic sull'icona IP Digitare il valore di destinazione che si desidera utilizzare. I valori validi sono un indirizzo IP, CIDR, un intervallo IP o la parola chiave qualsiasi. Il firewall del gateway edge supporta entrambi i formati IPv4 e IPv6.
    Fare clic sull'icona + Utilizzare l'icona + per specificare l'origine come oggetto diverso rispetto a un indirizzo IP specifico:
    • Utilizzare la finestra Seleziona oggetti per aggiungere oggetti che corrispondano alle proprie selezioni e fare clic su Mantieni per aggiungerli alla regola.
    • Per escludere un'origine dalla regola, aggiungerla alla regola utilizzando la finestra Seleziona oggetti e quindi selezionare l'icona dell'interruttore di esclusione per escludere tale origine dalla regola.

    Quando si seleziona l'interruttore di esclusione nell'origine, la regola viene applicata al traffico proveniente da tutte le origini ad eccezione dell'origine esclusa. Quando non si seleziona l'interruttore di esclusione, la regola viene applicata al traffico proveniente dall'origine specificata nella finestra Seleziona oggetti.

  7. Fare clic nella cella Servizio della nuova regola e fare clic sull'icona + per specificare il servizio come una combinazione di porta e protocollo:
    1. Selezionare il protocollo del servizio.
    2. Digitare i numeri di porta per la porta di origine e quella di destinazione oppure specificare qualsiasi.
    3. Fare clic su Mantieni.
  8. Nella cella Azione della nuova regola, configurare l'azione per la regola.
    Opzione Descrizione
    Accetta Consente il traffico da o per le origini, le destinazioni e i servizi specificati.
    Nega Blocca il traffico da o per le origini, le destinazioni e i servizi specificati.
  9. Fare clic su Salva modifiche.
    Il completamento dell'operazione di salvataggio può richiedere un minuto.

Modifica delle regole del firewall del gateway edge di NSX Data Center for vSphere nel VMware Cloud Director Service Provider Admin Portal

È possibile modificare ed eliminare solo le regole del firewall definite dall'utente che sono state aggiunte a un gateway edge. Non è possibile modificare o eliminare una regola generata automaticamente o una regola predefinita. È possibile modificare solo l'impostazione dell'azione della regola predefinita. È possibile modificare l'ordine di priorità delle regole definite dall'utente.

Per informazioni dettagliate sulle impostazioni disponibili per le varie celle di una regola, vedere Aggiunta di una regola del firewall del gateway edge di NSX Data Center for vSphere nel VMware Cloud Director Service Provider Admin Portal.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare la scheda Risorse cloud.
    2. Nel riquadro secondario a sinistra, selezionare Gateway edge.
    3. Fare clic sul pulsante di opzione accanto al nome del gateway edge di destinazione e fare clic su Servizi.
  2. Fare clic sulla scheda Firewall.
  3. Consente di gestire le regole firewall.
    • Per disattivare una regola, fare clic sul segno di spunta verde nella relativa cella N.. Il segno di spunta verde diventa un'icona di disattivazione di colore rosso. Se la regola è disattivata e si desidera attivarla, fare clic sull'icona di disattivazione rossa.
    • Per modificare il nome di una regola, fare doppio clic nella relativa cella Nome e digitare il nuovo nome.
    • Per modificare le impostazioni di una regola, ad esempio le impostazioni dell'origine o dell'azione, selezionare la cella appropriata e utilizzare i controlli visualizzati.
    • Per eliminare una regola, selezionarla e fare clic sul pulsante Elimina che si trova al di sopra della tabella delle regole.
    • Per nascondere le regole generate dal sistema, utilizzare l'interruttore Mostra solo regole definite dall'utente.
    • Per spostare una regola in alto o in basso nella tabella delle regole, selezionare la regola e fare clic sui pulsanti freccia giù e freccia su che si trovano al di sopra della tabella.
  4. Fare clic su Salva modifiche.

Applicazione delle impostazioni del server syslog a un gateway edge di NSX Data Center for vSphere in VMware Cloud Director

Se è stata abilitata la registrazione per una o più regole del firewall del gateway edge, il gateway edge si connette al server syslog. Se è stato creato un gateway edge prima della configurazione iniziale del server syslog o se sono state modificate le impostazioni del server syslog, è necessario sincronizzare le impostazioni del server syslog per questo gateway edge.

Procedura

  1. Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare Risorse cloud.
  2. Nel riquadro secondario a sinistra, selezionare Gateway edge.
  3. Fare clic sul pulsante di opzione accanto al nome del gateway edge di destinazione e quindi su Sincronizza syslog.
  4. Per confermare, fare clic su OK.