È possibile modificare le impostazioni predefinite del firewall che si applicano al traffico che non corrisponde ad alcuna delle regole firewall definite dall'utente.

Le regole firewall predefinite si applicano al traffico che non corrisponde ad alcuna delle regole firewall definite dall'utente. La regola predefinita di livello 3 si trova nella scheda Generale e la regola predefinita di livello 2 si trova nella scheda Ethernet.

Le regole firewall predefinite consentono il passaggio di tutto il traffico L3 e L2 attraverso tutti i cluster preparati nell'infrastruttura. La regola predefinita si trova sempre in fondo alla tabella delle regole e non può essere eliminata. Tuttavia, è possibile modificare l'elemento Azione della regola da Consenti a Elimina o Rifiuta e indicare se il traffico per tale regola deve essere registrato.

La regola firewall predefinita di livello 3 si applica a tutto il traffico, incluso DHCP. Se si modifica Azione in Elimina o Rifiuta, il traffico DHCP verrà bloccato. Sarà necessario creare una regola per consentire il traffico DHCP.

Prerequisiti

Verificare che sia selezionata la modalità Manager nell'interfaccia utente di NSX Manager. Vedere NSX Manager. Se non sono presenti i pulsanti delle modalità Criterio e Manager, vedere Configurazione delle impostazioni dell'interfaccia utente.

Procedura

  1. Selezionare Sicurezza > Firewall distribuito.
  2. Fare clic sulla scheda Generale per le regole L3 o sulla scheda Ethernet per le regole L2.
  3. Nella colonna Nome immettere un nuovo nome.
  4. Nella colonna Azione selezionare una delle opzioni.
    • Consenti: consente a tutto il traffico L3 o L2 con origine, destinazione e protocollo specificati di passare attraverso il contesto del firewall corrente. I pacchetti che corrispondono alla regola e sono accettati, attraversano il sistema come se il firewall non fosse presente.
    • Elimina: elimina i pacchetti con origine, destinazione e protocollo specificati. L'eliminazione di un pacchetto è un'azione invisibile all'utente senza notifica ai sistemi di origine o destinazione. Con l'eliminazione del pacchetto viene riprovata la connessione finché non viene raggiunta la soglia dei tentativi ripetuti.
    • Rifiuta: rifiuta i pacchetti con origine, destinazione e protocollo specificati. Il rifiuto di un pacchetto è un modo più gestibile per negare un pacchetto, perché invia al mittente un messaggio di destinazione irraggiungibile. Se il protocollo è TCP, viene inviato un messaggio TCP RST. I messaggi ICMP con codice vietato a livello amministrativo vengono inviati per UDP, ICMP e altre connessioni IP. Uno dei vantaggi di Rifiuta è che l'applicazione mittente viene informata che la connessione non può essere stabilita dopo un solo tentativo.
  5. In Registro abilitare o disabilitare la registrazione.
    L'abilitazione della registrazione può influire sulle prestazioni.
  6. Fare clic su Pubblica.