Come descritto nella documentazione di NSX Data Center for vSphere, le impostazioni del firewall predefinito si applicano al traffico che non corrisponde ad alcuna delle regole del firewall definite dall'utente. In VMware Cloud Director Tenant Portal, la regola del firewall distribuito predefinita è etichettata come regola Consenti predefinita.

Prima di poter gestire le impostazioni del firewall distribuito tramite VMware Cloud Director Tenant Portal, è necessario abilitare la funzionalità del firewall distribuito in un virtual data center dell'organizzazione.

La regola del firewall distribuito predefinita è configurata per consentire il passaggio di tutto il traffico di livello 3 e di livello 2 attraverso il virtual data center dell'organizzazione. Questa impostazione è indicata dall'opzione Consenti impostata nella colonna Azione nell'interfaccia utente. La regola predefinita si trova sempre nella parte inferiore della tabella delle regole.

Importante: Non è possibile eliminare o modificare le regole del firewall distribuito predefinito.

Aggiunta di una regola del firewall distribuito tramite il VMware Cloud Director Tenant Portal

Utilizzando VMware Cloud Director Tenant Portal, aggiungere innanzitutto una regola del firewall distribuito nell'ambito del virtual data center dell'organizzazione. È quindi possibile restringere l'ambito in cui si desidera applicare la regola. Il firewall distribuito consente di aggiungere più oggetti a livello di origine e destinazione per ogni regola. In questo modo, è possibile ridurre il numero totale di regole del firewall da aggiungere.

Per informazioni sui servizi e sui gruppi di servizi predefiniti che possono essere utilizzati in una regola, vedere Visualizzazione dei servizi disponibili per le regole del firewall tramite il VMware Cloud Director Tenant Portal e Visualizzazione dei gruppi di servizi disponibili per le regole del firewall tramite il VMware Cloud Director Tenant Portal.

Prerequisiti

Procedura

  1. Nella schermata del dashboard Virtual data center fare clic sulla scheda del virtual data center che si desidera esplorare e in Reti selezionare Sicurezza.
  2. Selezionare la rete VDC dei servizi di sicurezza per cui si desidera modificare le regole del firewall e fare clic su Configura servizi.
    Verrà visualizzata la schermata Servizi di sicurezza.
  3. Selezionare il tipo di regola che si desidera creare. È possibile creare una regola generale o una regola Ethernet.
    Le regole di livello 3 (L3) vengono configurate nella scheda Generale. Le regole di livello 2 (L2) vengono configurate nella scheda Ethernet.
  4. Per aggiungere una regola sotto una regola esistente nella tabella del firewall, fare clic nella riga esistente e quindi fare clic sul pulsante Crea (Pulsante Crea).
    Sotto la regola selezionata verrà aggiunta una riga per la nuova regola a cui verranno assegnati qualsiasi destinazione, qualsiasi servizio e l'azione Consenti per impostazione predefinita. Se la regola Consenti assegnata dal sistema per impostazione predefinita rappresenta la sola regola nella tabella del firewall, la nuova regola viene aggiunta sopra la regola predefinita.
  5. Fare clic nella cella Nome e digitare un nome.
  6. Fare clic nella cella Origine e utilizzare le icone ora visibili per selezionare un'origine da aggiungere alla regola:
    Azione Descrizione
    Fare clic sull'icona IP Applicabile alle regole definite nella scheda Generale.

    Immettere il valore di origine che si desidera utilizzare. I valori validi sono un indirizzo IP, CIDR, un intervallo IP o la parola chiave qualsiasi. Il firewall distribuito supporta solo il formato IPv4.

    Fare clic sull'icona + Utilizzare l'icona + per specificare l'origine come oggetto diverso rispetto a un indirizzo IP specifico:
    • Utilizzare la finestra Seleziona oggetti per aggiungere oggetti che corrispondano alle proprie selezioni e fare clic su Mantieni per aggiungerli alla regola.
    • Per escludere un'origine dalla regola, aggiungerla alla regola utilizzando la finestra Seleziona oggetti e quindi selezionare l'icona dell'interruttore di esclusione per escludere tale origine dalla regola.

    Quando si seleziona l'interruttore di esclusione nell'origine, la regola viene applicata al traffico proveniente da tutte le origini ad eccezione dell'origine esclusa. Quando non si seleziona l'interruttore di esclusione, la regola viene applicata al traffico proveniente dall'origine specificata nella finestra Seleziona oggetti.

  7. Fare clic nella cella Destinazione ed eseguire una delle seguenti azioni:
    Azione Descrizione
    Fare clic sull'icona IP Applicabile alle regole definite nella scheda Generale.

    Immettere il valore di destinazione che si desidera utilizzare. I valori validi sono un indirizzo IP, CIDR, un intervallo IP o la parola chiave qualsiasi. Il firewall distribuito supporta solo il formato IPv4.

    Fare clic sull'icona + Utilizzare l'icona + per specificare l'origine come oggetto diverso rispetto a un indirizzo IP specifico:
    • Utilizzare la finestra Seleziona oggetti per aggiungere oggetti che corrispondano alle proprie selezioni e fare clic su Mantieni per aggiungerli alla regola.
    • Per escludere un'origine dalla regola, aggiungerla alla regola utilizzando la finestra Seleziona oggetti e quindi selezionare l'icona dell'interruttore di esclusione per escludere tale origine dalla regola.

    Quando si seleziona l'interruttore di esclusione nell'origine, la regola viene applicata al traffico proveniente da tutte le origini ad eccezione dell'origine esclusa. Quando non si seleziona l'interruttore di esclusione, la regola viene applicata al traffico proveniente dall'origine specificata nella finestra Seleziona oggetti.

  8. Fare clic nella cella Servizio della nuova regola ed eseguire una delle seguenti azioni:
    Azione Descrizione
    Fare clic sull'icona IP Per specificare il servizio come combinazione di porta e protocollo:
    1. Selezionare il protocollo del servizio.
    2. Immettere i numeri di porta per la porta di origine e quella di destinazione oppure specificare qualsiasi e fare clic su Mantieni.
    Fare clic sull'icona + Per selezionare un servizio o un gruppo di servizi predefinito oppure per definirne uno nuovo:
    1. Selezionare uno o più oggetti e aggiungerli al filtro.
    2. Fare clic su Mantieni.
  9. Nella cella Azione della nuova regola, configurare l'azione per la regola.
    Opzione Descrizione
    Consenti Consente il traffico da o per le origini, le destinazioni e i servizi specificati.
    Nega Blocca il traffico da o per le origini, le destinazioni e i servizi specificati.
  10. Nella cella Direzione della nuova regola, selezionare se la regola si applica al traffico in entrata, a quello in uscita oppure a entrambi.
  11. Se si tratta di una regola nella scheda Generale, nella cella Tipo di pacchetto della nuova regola, selezionare un tipo di pacchetto, ovvero Qualsiasi, IPV4 o IPV6.
  12. Selezionare la cella Applicato a e utilizzare l'icona + per definire l'ambito dell'oggetto a cui la regola è applicabile.
    Quando la regola contiene macchine virtuali nelle celle Origine e Destinazione, è necessario aggiungere la macchina virtuale di origine e quella di destinazione alla cella Applicato a della regola affinché la regola funzioni correttamente.
    Importante: I gruppi di indirizzi IP (set di IP), i gruppi di indirizzi MAC (set di MAC) e i gruppi di sicurezza che contengono set di IP o set di MAC non sono parametri di input validi.
  13. Fare clic su Salva modifiche.

Modifica di una regola del firewall distribuito tramite il VMware Cloud Director Tenant Portal

In un ambiente VMware Cloud Director, per modificare una regola del firewall distribuito esistente di un virtual data center dell'organizzazione, utilizzare la schermata Firewall distribuito.

Per informazioni dettagliate sulle impostazioni disponibili per le varie celle di una regola, vedere Aggiunta di una regola del firewall distribuito tramite il VMware Cloud Director Tenant Portal.

Procedura

  1. Nella schermata del dashboard Virtual data center fare clic sulla scheda del virtual data center che si desidera esplorare e in Reti selezionare Sicurezza.
  2. Selezionare la rete VDC dei servizi di sicurezza per cui si desidera modificare le regole del firewall e fare clic su Configura servizi.
    Verrà visualizzata la schermata Servizi di sicurezza.
  3. Per gestire le regole del firewall distribuito, eseguire una delle seguenti azioni:
    • Per disattivare una regola, fare clic sul segno di spunta verde nella relativa cella N..

      Il segno di spunta verde diventa un'icona di disattivazione di colore rosso. Se la regola è disattivata e si desidera attivarla, fare clic sull'icona di disattivazione rossa.

    • Per modificare il nome di una regola, fare doppio clic nella relativa cella Nome e immettere il nuovo nome.
    • Per modificare le impostazioni di una regola, ad esempio le impostazioni dell'origine o dell'azione, selezionare la cella appropriata e utilizzare i controlli visualizzati.
    • Per eliminare una regola, selezionarla e fare clic sul pulsante Elimina che si trova al di sopra della tabella delle regole.
    • Per spostare una regola in alto o in basso nella tabella delle regole, selezionare la regola e fare clic sui pulsanti freccia giù e freccia su che si trovano al di sopra della tabella.
  4. Fare clic su Salva modifiche.