Le regole del firewall distribuito si applicano a livello di macchina virtuale (vNIC) e controllano il traffico est-ovest all'interno dell'SDDC.

Tutto il traffico che tenta di passare attraverso il firewall distribuito è soggetto alle regole nell'ordine indicato nella tabella delle regole, a partire dall'alto. Un pacchetto consentito dalla prima regola viene passato alla seconda regola e così via per le regole successive finché non viene eliminato o rifiutato. Se soddisfa la regola predefinita, tutto il traffico viene abilitato.

Le regole del firewall distribuito sono raggruppate in criteri. I criteri sono organizzati per categoria. Ogni categoria ha una precedenza di valutazione. Le regole di una categoria con una precedenza superiore vengono valutate prima delle regole della categoria con una precedenza inferiore.
Tabella 1. Categorie delle regole del firewall distribuito
Precedenza di valutazione della categoria Nome categoria Descrizione
1 Ethernet Si applica a tutto il traffico di rete SDDC di livello 2.
Nota: Le regole in questa categoria richiedono indirizzi MAC come origini e destinazioni. Gli indirizzi IP vengono accettati ma ignorati.
2 Emergenza Viene utilizzata per la quarantena e le regole Consenti.
3 Infrastruttura Definisce l'accesso ai servizi condivisi. Regole globali, AD, DNS, NTP, DHCP, backup e server di gestione.
4 Ambiente Regole tra zone di sicurezza, ad esempio zone di produzione, zone di sviluppo o zone dedicate a scopi aziendali specifici.
5 Applicazione Regole tra applicazioni, livelli di applicazioni o microservizi.
Per ulteriori informazioni sulla terminologia relativa al firewall distribuito, vedere Terminologia relativa alla sicurezza nella Guida all'amministrazione NSX-T Data Center.

Prerequisiti

Le regole del firewall distribuito richiedono gruppi di inventario come origini e destinazioni e devono essere applicate a un servizio, che può essere un servizio predefinito o un servizio personalizzato definito per l'SDDC. Tali gruppi e servizi possono essere creati durante la creazione di una regola, ma è possibile velocizzare il processo creandone alcuni in anticipo. Vedere Aggiunta o modifica di un gruppo di elaborazione e Aggiunta di un servizio personalizzato.

Procedura

  1. Effettuare l'accesso alla Console VMC su https://vmc.vmware.com.
  2. Selezionare Rete e sicurezza > Firewall distribuito.
    Fare clic su REGOLE SPECIFICHE CATEGORIA e selezionare una categoria per visualizzare e modificare i criteri e le regole in tale categoria oppure fare clic su TUTTE LE REGOLE per visualizzare (ma non modificare) le regole in tutti i criteri e le categorie.
  3. (Facoltativo) Modificare la strategia di connettività predefinita.
    Il firewall distribuito include regole predefinite che si applicano a tutto il traffico di livello 2 e di livello 3. Queste regole vengono valutate dopo tutte le altre regole della loro categoria e consentono al traffico che non soddisfa una regola precedente di passare attraverso il firewall. È possibile modificare una o entrambe queste regole in modo che siano più restrittive, ma non è possibile disabilitarle.
    • Per modificare la Regola livello 2 predefinita, espandere la Sezione livello 2 predefinita nella categoria Ethernet e modificare l'opzione Azione relativa a tale regola impostandola su Rimuovi.
    • Per modificare la Regola livello 3 predefinita, espandere la Sezione livello 3 predefinita nella categoria Applicazione e modificare l'opzione Azione relativa a tale regola impostandola su Rimuovi o Rifiuta.
    Fare clic su PUBBLICA per aggiornare la regola.
  4. Per aggiungere un criterio, fare clic su AGGIUNGI CRITERIO e assegnare un Nome al nuovo criterio.

    Viene aggiunto un nuovo criterio nella parte superiore dell'elenco dei criteri per la categoria. Per aggiungere un criterio prima o dopo un criterio esistente, fare clic sul pulsante con i puntini di sospensione verticali all'inizio della riga del criterio per aprire il menu delle impostazioni del criterio, quindi fare clic su Aggiungi criterio sopra o su Aggiungi criterio sotto.

    Per impostazione predefinita, la colonna Si applica a è impostata su DFW e la regola viene applicata a tutti i carichi di lavoro. È inoltre possibile applicare la regola o il criterio a gruppi selezionati. L'opzione Si applica a definisce l'ambito di imposizione di ogni regola e viene utilizzata principalmente per l'ottimizzazione del consumo delle risorse dell'host. Consente di definire un criterio di destinazione per zone e tenant specifici senza interferire con gli altri criteri definiti per altri tenant e zone.

    Nota: I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.
  5. Per aggiungere una regola, selezionare un criterio, fare clic su AGGIUNGI NUOVA REGOLA e assegnare un nome alla regola.
  6. Immettere i parametri per la nuova regola.
    I parametri vengono inizializzati con i valori predefiniti (ad esempio, Tutti per Origini e Destinazioni). Per modificare un parametro, spostare il cursore del mouse sul valore del parametro e fare clic sull'icona a forma di matita ( ) per aprire un editor specifico del parametro.
    Opzione Descrizione
    Fonti Fare clic su Qualsiasi nella colonna Origini e selezionare un gruppo di inventario per il traffico di rete di origine oppure fare clic su AGGIUNGI GRUPPO per creare un nuovo gruppo di inventario definito dall'utente da utilizzare per questa regola. Fare clic su SALVA.
    Destinazioni Fare clic su Qualsiasi nella colonna Destinazioni e selezionare un gruppo di inventario per il traffico di rete di destinazione oppure fare clic su CREA NUOVO GRUPPO per creare un nuovo gruppo di inventario definito dall'utente da utilizzare per questa regola. Fare clic su SALVA.
    Servizi Fare clic su Qualsiasi nella colonna Servizi e selezionare un servizio nell'elenco. Fare clic su SALVA.
    Si applica a La regola eredita il valore di SI APPLICA A dal criterio contenitore.
    Azione
    • Selezionare Consenti per consentire il passaggio di tutto il traffico L2 e L3 attraverso il firewall.
    • Selezionare Rimuovi per rimuovere i pacchetti che corrispondono a Origini, Destinazioni e Servizi specifici. Si tratta di un'azione invisibile all'utente che non viene notificata ai sistemi di origine e di destinazione. A causa della rimozione del pacchetto, la connessione viene ritentata finché non viene raggiunta la soglia massima di tentativi consentita.
    • Selezionare Rifiuta per rifiutare i pacchetti che corrispondono a Origini, Destinazioni e Servizi specifici. Questa azione restituisce al mittente un "messaggio che indica che la destinazione è irraggiungibile". Per i pacchetti TCP, la risposta include un messaggio RST TCP. Per UDP, ICMP e altri protocolli, la risposta include un codice "non consentito a livello amministrativo" (9 o 10). Quando non è possibile stabilire la connessione al mittente viene inviata immediatamente una notifica (e non vengono eseguiti altri tentativi).
    La nuova regola è abilitata per impostazione predefinita. Far scorrere l'interruttore verso sinistra per disabilitarla.
  7. (Facoltativo) Configurare le impostazioni avanzate.
    Per modificare il comportamento relativo alla direzione o alla registrazione della regola, fare clic sull'icona a forma di ingranaggio per aprire la pagina Impostazioni.
    Direzione
    Per impostazione predefinita, questo valore è Ingresso/uscita e applica la regola a tutte le origini e le destinazioni. È possibile impostare l'opzione su In entrata per applicare la regola solo al traffico in entrata da un'origine oppure su In uscita per applicarla solo al traffico in uscita verso una destinazione. Se si modifica questo valore, è possibile che si verifichino routing asimmetrici e altre anomalie del traffico. Prima di modificare il valore predefinito per Direzione, assicurarsi di comprendere i possibili risultati per tutte le origini e le destinazioni.
    Registrazione
    La registrazione per una nuova regola è disabilitata per impostazione predefinita. Far scorrere l'interruttore verso destra per abilitare la registrazione delle azioni delle regole.
  8. Fare clic su PUBBLICA per creare la regola.

    Il sistema assegna alla nuova regola un valore ID intero che viene utilizzato per identificare la regola nelle voci di registro che genera.

Operazioni successive

È possibile eseguire una qualsiasi oppure tutte queste azioni facoltative con una regola del firewall esistente.

  • Fare clic sull'icona dell'ingranaggio per visualizzare o modificare le impostazioni di registrazione delle regole. Le voci di registro vengono inviate al servizio vRealize Log Insight Cloud di VMware. Consultare Utilizzo di vRealize Log Insight Cloud in Guida al funzionamento di VMware Cloud on AWS.

  • Fare clic sull'icona del grafico per visualizzare le statistiche relative a flusso e riscontri regola per la regola.
    Tabella 2. Statistiche riscontri regola
    Indice popolarità Numero di volte in cui la regola è stata attivata nelle ultime 24 ore.
    Conteggio riscontri Numero di volte in cui la regola è stata attivata dal momento della sua creazione.
    Tabella 3. Statistiche flusso
    Conteggio pacchetti Flusso totale di pacchetti tramite questa regola.
    Conteggio byte Flusso totale di byte tramite questa regola.
    Le statistiche iniziano a essere raccolte non appena la regola viene abilitata.
  • Riordinare le regole del firewall.

    Una regola creata tramite il pulsante AGGIUNGI NUOVA REGOLA viene posizionata in cima all'elenco di regole del criterio. Le regole del firewall in ogni criterio vengono applicate nell'ordine dall'alto verso il basso. Per modificare la posizione di una regola nell'elenco, selezionarla e trascinarla in una nuova posizione. Fare clic su PUBBLICA per pubblicare la modifica.