Un firewall è un sistema di sicurezza della rete che monitora e controlla il traffico di rete in entrata e in uscita in base a regole del firewall precedentemente definite.

Le regole del firewall vengono aggiunte nell'ambito NSX Manager. Utilizzando il campo Si applica a, è possibile limitare l'ambito a cui si desidera applicare la regola. È possibile aggiungere più oggetti ai livelli di origine e destinazione per ogni regola. In questo modo, è possibile ridurre il numero totale di regole del firewall da aggiungere.
Nota: Per impostazione predefinita, una regola corrisponde al valore predefinito di qualsiasi elemento di regola origine, destinazione e servizio, il che corrisponde a tutte le interfacce e le direzioni del traffico. Se si desidera limitare l'effetto della regola a determinate interfacce o direzioni del traffico, è necessario specificare la restrizione nella regola.

Prerequisiti

  • Per utilizzare un gruppo di indirizzi, innanzitutto associare manualmente gli indirizzi IP e MAC di ciascuna macchina virtuale al rispettivo commutatore logico.

  • Verificare che sia selezionata la modalità Manager nell'interfaccia utente di NSX Manager. Vedere NSX Manager. Se non sono presenti i pulsanti delle modalità Criterio e Manager, vedere Configurazione delle impostazioni dell'interfaccia utente.

Procedura

  1. Selezionare Sicurezza > Firewall distribuito.
  2. Fare clic sulla scheda Generale per le regole L3 o sulla scheda Ethernet per le regole L2.
  3. Fare clic su una sezione o una regola esistente.
  4. Fare clic sull'icona del menu nella prima colonna di una regola e selezionare Aggiungi regola sopra o Aggiungi regola sotto.
    Viene visualizzata una nuova riga per definire una regola del firewall.
    Nota: Alle informazioni del pacchetto di qualsiasi traffico che tenta di passare attraverso il firewall, vengono applicate le regole nell'ordine visibile nella tabella delle regole, iniziando dalla parte superiore e continuando con le regole predefinite nella parte inferiore. In alcuni casi, l'ordine di precedenza di due o più regole può essere importante per determinare la strada che seguirà un pacchetto.
  5. Nella colonna Nome, immettere il nome della regola.
  6. Nella colonna Origine, fare clic sull'icona di modifica e selezionare l'origine della regola. Se non definita, l'origine corrisponderà a Qualsiasi (ANY).
    Opzione Descrizione
    Indirizzi IP Immettere più indirizzi IP o MAC in un elenco separato da virgole. L'elenco può contenere fino a 255 caratteri. Sono supportati entrambi i formati IPv4 e IPv6.
    Oggetti container Gli oggetti disponibili sono Set di IP, Porta logica, Commutatore logico e Gruppo NS. Selezionare gli oggetti e fare clic su OK.
  7. Nella colonna Destinazione, fare clic sull'icona di modifica e selezionare la destinazione. Se non definita, la destinazione corrisponderà a Qualsiasi (ANY).
    Opzione Descrizione
    Indirizzi IP È possibile immettere più indirizzi IP o MAC in un elenco separato da virgole. L'elenco può contenere fino a 255 caratteri. Sono supportati entrambi i formati IPv4 e IPv6.
    Oggetti container Gli oggetti disponibili sono Set di IP, Porta logica, Commutatore logico e Gruppo NS. Selezionare gli oggetti e fare clic su OK.
  8. Nella colonna Servizio, fare clic sull'icona di modifica e selezionare i servizi. Se non definito, un servizio corrisponderà a qualsiasi (ANY).
  9. Per selezionare un servizio predefinito, selezionare uno o più servizi disponibili.
  10. Per definire un nuovo servizio, fare clic sulla scheda Protocollo porta raw, quindi su Aggiungi.
    Opzione Descrizione
    Tipo di servizio
    • ALG
    • ICMP
    • IGMP
    • IP
    • Set di porte L4
    Protocollo Selezionare uno dei protocolli disponibili.
    Porte di origine Immettere la porta di origine.
    Porte di destinazione Selezionare la porta di destinazione.
  11. Nella colonna Si applica a, fare clic sull'icona di modifica e selezionare gli oggetti.
  12. Nella colonna Registro, impostare l'opzione di registrazione.
    I registri si trovano nel file /var/log/dfwpktlogs.log negli host ESXi e KVM. L'abilitazione della registrazione può influire sulle prestazioni.
  13. Nella colonna Azione, selezionare un'azione.
    Opzione Descrizione
    Consenti Consente a tutto il traffico L3 o L2 con l'origine, la destinazione e il protocollo specificati di passare attraverso il contesto del firewall corrente. I pacchetti che corrispondono alla regola e sono accettati, attraversano il sistema come se il firewall non fosse presente.
    Elimina Elimina i pacchetti con l'origine, la destinazione e il protocollo specificati. L'eliminazione di un pacchetto è un'azione invisibile all'utente senza notifica ai sistemi di origine o destinazione. Con l'eliminazione del pacchetto viene riprovata la connessione finché non viene raggiunta la soglia dei tentativi ripetuti.
    Rifiuta Rifiuta i pacchetti con l'origine, la destinazione e il protocollo specificati. Il rifiuto di un pacchetto è un modo più gestibile per negare un pacchetto, perché invia al mittente un messaggio di destinazione irraggiungibile. Se il protocollo è TCP, viene inviato un messaggio TCP RST. I messaggi ICMP con codice vietato a livello amministrativo vengono inviati per UDP, ICMP e altre connessioni IP. Uno dei vantaggi di Rifiuta è che l'applicazione mittente viene informata che la connessione non può essere stabilita dopo un solo tentativo.
  14. Fare clic sull'icona Impostazioni avanzate per specificare protocollo IP, direzione, tag regola e commenti.
  15. Fare clic su Pubblica.