Per impostazione predefinita, il gateway di elaborazione blocca il traffico verso tutti gli uplink. Aggiungere le regole del firewall del gateway di elaborazione per autorizzare il traffico come necessario.

Le regole firewall del gateway di elaborazione specificano le azioni da eseguire per il traffico di rete da un'origine specificata a una destinazione specificata. Le azioni possono essere di permesso (per consentire il traffico) o di rilascio (per rilasciare tutti i pacchetti che corrispondono all'origine e alla destinazione specificati). Le origini e le destinazioni possono essere scelte da un elenco di interfacce di rete fisiche o tramite la specifica generale Tutti gli uplink che fa riferimento a tutto il traffico in uscita dal gateway e diretto all'interfaccia VPC, all'interfaccia Internet o all'interfaccia Direct Connect.
Nota: Una regola del firewall applicata a Tutti gli uplink non si applica alla Interfaccia del tunnel VPN (VTI), che è un'interfaccia virtuale e non un uplink fisico. La Interfaccia del tunnel VPN deve essere chiaramente specificata nel parametro Si applica a di qualsiasi regola firewall che gestisce le comunicazioni della macchina virtuale del carico di lavoro su una VPN basata su route.
Il gateway di elaborazione include una Regola VTI predefinita che elimina tutto il traffico verso VTI e una Regola di uplink predefinita che elimina il traffico verso Tutti gli uplink. Per consentire alle macchine virtuali del carico di lavoro di comunicare tramite la VTI, modificare questa regola oppure spostarla in una posizione più bassa nella gerarchia delle regole, dopo le regole più permissive.

Tutto il traffico che tenta di passare attraverso il firewall è soggetto alle regole nell'ordine mostrato nella tabella delle regole, a partire dalla parte superiore. Un pacchetto consentito dalla prima regola viene passato alla seconda regola e così via, per regole successive, fino a quando il pacchetto viene eliminato, rifiutato oppure corrisponde a una regola predefinita.

Prerequisiti

Le regole firewall Gateway di elaborazione richiedono gruppi di inventario che vengono denominati in base ai valori di origine e destinazione. Vedere Aggiunta o modifica di un gruppo di elaborazione.

Procedura

  1. Effettuare l'accesso alla Console VMC su https://vmc.vmware.com.
  2. Nella scheda Rete e sicurezza, fare clic su Firewall del gateway.
  3. Nella pagina Firewall del gateway fare clic su Gateway di elaborazione.
  4. Per aggiungere una regola, fai clic su AGGIUNGI REGOLA e assegna alla nuova regola un Nome.
  5. Immettere i parametri per la nuova regola.
    I parametri vengono inizializzati con i valori predefiniti (ad esempio, Tutti per Origini e Destinazioni). Per modificare un parametro, spostare il cursore del mouse sul valore del parametro e fare clic sull'icona a forma di matita ( ) per aprire un editor specifico del parametro.
    Opzione Descrizione
    Fonti Fare clic su Qualsiasi nella colonna Origini e selezionare un gruppo di inventario per il traffico di rete di origine oppure fare clic su AGGIUNGI GRUPPO per creare un nuovo gruppo di inventario definito dall'utente da utilizzare per questa regola. Fare clic su SALVA.
    Destinazioni Fare clic su Qualsiasi nella colonna Destinazioni e selezionare un gruppo di inventario per il traffico di rete di destinazione oppure fare clic su CREA NUOVO GRUPPO per creare un nuovo gruppo di inventario definito dall'utente da utilizzare per questa regola. Fare clic su SALVA.
    Servizi Fare clic su Qualsiasi nella colonna Servizi e selezionare un servizio nell'elenco. Fare clic su SALVA.
    Si applica a Definire il tipo di traffico a cui si applica la regola:
    • Selezionare Interfaccia del tunnel VPN se si desidera che la regola venga applicata al traffico tramite la VPN basata su route.
    • Selezionare Interfaccia VPC se si desidera che la regola venga applicata al traffico sulla connessione VPC AWS collegata.
    • Selezionare Interfaccia Internet se si desidera che la regola venga applicata al traffico su Internet, incluse le VPN basate su criteri che utilizzano l'IP pubblico.
    • Selezionare Interfaccia Direct Connect se si desidera che la regola consenta il traffico su AWS Direct Connect (VIF privato), incluse le VPN basate su criteri che utilizzano l'IP privato.
    • Tutti gli uplink se si desidera che la regola venga applicata alla Interfaccia VPC, alla Interfaccia Internet e alla Interfaccia Direct Connect, ma non alla Interfaccia del tunnel VPN.
      Nota: La Interfaccia del tunnel VPN non è classificata come uplink.
    Azione
    • Selezionare Consenti per consentire il passaggio di tutto il traffico L2 e L3 attraverso il firewall.
    • Selezionare Rimuovi per rimuovere i pacchetti che corrispondono a Origini, Destinazioni e Servizi specifici. Si tratta di un'azione invisibile all'utente che non viene notificata ai sistemi di origine e di destinazione. A causa della rimozione del pacchetto, la connessione viene ritentata finché non viene raggiunta la soglia massima di tentativi consentita.
    • Selezionare Rifiuta per rifiutare i pacchetti che corrispondono a Origini, Destinazioni e Servizi specifici. Questa azione restituisce al mittente un "messaggio che indica che la destinazione è irraggiungibile". Per i pacchetti TCP, la risposta include un messaggio RST TCP. Per UDP, ICMP e altri protocolli, la risposta include un codice "non consentito a livello amministrativo" (9 o 10). Quando non è possibile stabilire la connessione al mittente viene inviata immediatamente una notifica (e non vengono eseguiti altri tentativi).
    La nuova regola è abilitata per impostazione predefinita. Far scorrere l'interruttore verso sinistra per disabilitarla.
  6. Fare clic su PUBBLICA per creare la regola.

    Il sistema assegna alla nuova regola un valore intero ID utilizzato nelle voci di registro generate dalla regola.

Operazioni successive

È possibile eseguire una qualsiasi oppure tutte queste azioni facoltative con una regola del firewall esistente.

  • Fare clic sull'icona dell'ingranaggio per visualizzare o modificare le impostazioni di registrazione delle regole. Le voci di registro vengono inviate al servizio vRealize Log Insight Cloud di VMware. Consultare Utilizzo di vRealize Log Insight Cloud in Guida al funzionamento di VMware Cloud on AWS.

  • Fare clic sull'icona del grafico per visualizzare le statistiche relative a flusso e riscontri regola per la regola.
    Tabella 1. Statistiche riscontri regola
    Indice popolarità Numero di volte in cui la regola è stata attivata nelle ultime 24 ore.
    Conteggio riscontri Numero di volte in cui la regola è stata attivata dal momento della sua creazione.
    Tabella 2. Statistiche flusso
    Conteggio pacchetti Flusso totale di pacchetti tramite questa regola.
    Conteggio byte Flusso totale di byte tramite questa regola.
    Le statistiche iniziano a essere raccolte non appena la regola viene abilitata.
  • Riordinare le regole del firewall.

    Una regola creata dal pulsante AGGIUNGI NUOVA REGOLA viene posizionata in cima all'elenco delle regole. Le regole del firewall vengono applicate nell'ordine dall'alto verso il basso. Per modificare la posizione di una regola nell'elenco, selezionarla e trascinarla in una nuova posizione. Fare clic su PUBBLICA per pubblicare la modifica.