Prerequisiti

Per attivare il firewall del gateway, selezionare la scheda Impostazioni. Fare clic su ATTIVA per il firewall del gateway di livello 1 o di livello 0 che si desidera attivare.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sicurezza > Firewall del gateway.
  3. Fare clic su Aggiungi criterio .
  4. Immettere un Nome per la sezione del nuovo criterio.
  5. Selezionare il criterio Destinazione.
  6. Fare clic sull'icona dell'ingranaggio per configurare le seguenti impostazioni dei criteri:
    Impostazioni Descrizione
    TCP restrittivo Per impostazione predefinita, il firewall del gateway funziona in modalità TCP restrittivo. La modalità TCP restrittivo viene applicata solo alle regole TCP stateful ed è abilitata a livello del criterio del firewall del gateway. TCP restrittivo non viene applicato per i pacchetti che corrispondono a una regola Consenti ANY-ANY predefinita che non presenta alcun servizio TCP specificato.
    Stateful Per impostazione predefinita, l'impostazione Stateful è attivata. Un firewall stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.
    Bloccato Per impostazione predefinita, l'impostazione Bloccato è disattivata. Il criterio può essere bloccato per impedire a più utenti di apportare modifiche alle stesse sezioni. Quando si blocca una sezione, è necessario includere un commento.
  7. Fare clic su Pubblica.
    È possibile aggiungere più criteri, quindi pubblicarli insieme contemporaneamente.
    Il nuovo criterio viene mostrato nella schermata.
  8. Selezionare una sezione del criterio e fare clic su Aggiungi regola.
  9. Immettere un nome per la regola. Sono supportati gli indirizzi IPv4 e IPv6.
  10. Nella colonna Origini, fare clic sull'icona di modifica e selezionare l'origine della regola. I gruppi con membri di Active Directory possono essere utilizzati per la casella di origine di una regola IDFW. Vedere Aggiunta di un gruppo.
  11. Nella colonna Destinazioni, fare clic sull'icona di modifica e selezionare la destinazione della regola. Se non è definita, la destinazione corrisponde a qualsiasi (ANY). Vedere Aggiunta di un gruppo.
  12. Nella colonna Servizi, fare clic sull'icona della matita e selezionare i servizi. Se non definito, il servizio corrisponde a Qualsiasi. Vedere Aggiunta di un servizio.
  13. Per i gateway di livello 1, nella colonna Profili fare clic sull'icona di modifica e selezionare un profilo di contesto o un profilo di accesso L7. Oppure creare nuovi profili. Vedere Profili.
    • Una regola di sicurezza può contenere un profilo di contesto o un profilo di accesso L7, ma non entrambi.
    • I profili di contesto e i profili di accesso L7 non sono supportati nel criterio del firewall del gateway di livello 0.
    • Le regole del firewall del gateway non supportano i profili di contesto con tipo di attributo Nome dominio (FQDN).
    • Le regole del firewall del gateway supportano i profili di accesso L7 con tipo di attributo ID app, Categoria URL, URL personalizzato e Reputazione URL. L'ID app del tipo di attributo supporta più attributi secondari.
    In una regola del firewall è possibile utilizzare più profili contesto dell'ID app con i servizi impostati su Qualsiasi. All'interno di una singola regola del firewall del gateway è possibile utilizzare un solo profilo di accesso L7.
  14. Fare clic su Applica.
  15. Fare clic sull'icona a forma di matita per la colonna Si applica a per modificare l'ambito di imposizione per regola. Nella finestra di dialogo Si applica a | Nuova regola fare clic sul menu a discesa Categorie per applicare un filtro in base al tipo di oggetto, ad esempio interfacce, etichette e VTI, e selezionare oggetti specifici.
    Per impostazione predefinita, le regole del firewall del gateway vengono applicate a tutte le interfacce di uplink e servizio disponibili in un gateway selezionato.

    Per il filtro degli URL, in Si applica a è possibile specificare solo gateway di livello 1.

  16. Nella colonna Azione, selezionare un'azione.
    Opzione Descrizione
    Consenti Consente a tutto il traffico con l'origine, la destinazione e il protocollo specificati di passare attraverso il contesto del firewall corrente. I pacchetti che corrispondono alla regola e sono accettati, attraversano il sistema come se il firewall non fosse presente.

    L'azione della regola con un profilo di accesso L7 deve essere Consenti.

    Elimina Elimina i pacchetti con l'origine, la destinazione e il protocollo specificati. L'eliminazione di un pacchetto è un'azione invisibile all'utente senza notifica ai sistemi di origine o destinazione. Con l'eliminazione del pacchetto viene riprovata la connessione finché non viene raggiunta la soglia dei tentativi ripetuti.
    Rifiuta

    Rifiuta i pacchetti con l'origine, la destinazione e il protocollo specificati. Il rifiuto di un pacchetto comporta l'invio di un messaggio di destinazione irraggiungibile al mittente. Se il protocollo è TCP, viene inviato un messaggio TCP RST. I messaggi ICMP con codice vietato a livello amministrativo vengono inviati per UDP, ICMP e altre connessioni IP. L'applicazione mittente dell'invio viene informata dopo un tentativo in cui non è possibile stabilire la connessione.

  17. Fare clic sull'interruttore dello stato per attivare o disattivare la regola.
  18. Fare clic sull'icona dell'ingranaggio per impostare la registrazione, la direzione, il protocollo IP e i commenti.
    Opzione Descrizione
    Registrazione

    La registrazione può essere attivata o disattivata. I registri del firewall del gateway includono informazioni sul gateway di routing e inoltro virtuale e sull'interfaccia del gateway, insieme ai dettagli del flusso. I registri del firewall del gateway si trovano nel file denominato firewallpkt.log nella directory /var/log.

    Direzione Le opzioni sono In entrata, In uscita e In entrata-In uscita. L'impostazione predefinita è In entrata-In uscita. Questo campo si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. In entrata significa che viene controllato solo il traffico verso l'oggetto, In uscita significa che viene controllato solo il traffico che parte dall'oggetto, In entrata-In uscita significa che viene controllato il traffico in entrambe le direzioni.
    Protocollo IP Le opzioni sono IPv4, IPv6 e IPv4_IPv6. Il valore predefinito è IPv4_IPv6.
    Nota: Fare clic sull'icona del grafico per visualizzare le statistiche del flusso della regola del firewall. È possibile visualizzare informazioni come byte, numero di pacchetti e sessioni.
  19. Fare clic su Pubblica. È possibile aggiungere più regole e poi pubblicarle insieme contemporaneamente.
  20. In ogni sezione del criterio, fare clic sull'icona Info per visualizzare lo stato corrente delle regole del firewall Edge inviate ai nodi Edge. Vengono visualizzati anche tutti gli allarmi generati quando vengono inviate regole ai nodi Edge.
  21. Per visualizzare lo stato consolidato delle regole dei criteri applicate ai nodi Edge, effettuare la chiamata API.
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true