NSX utilizza regole firewall per definire come gestire il traffico che entra e che esce dalla rete.
Il firewall offre svariati set di regole configurabili: regole di livello 3 (scheda Generale) e regole di livello 2 (scheda Ethernet). Le regole del firewall di livello 2 vengono elaborate prima delle regole di livello 3 e, se consentito nelle regole di livello 2, verranno elaborate dalle regole di livello 3. È possibile configurare un elenco di esclusioni che contenga commutatori logici, porte logiche o gruppi che devono essere esclusi dall'applicazione del firewall.
Le regole del firewall vengono applicate come segue:
- Le regole vengono elaborate nell'ordine dall'alto al basso.
- Ogni pacchetto viene controllato in base alla prima regola della tabella delle regole prima di passare alle regole successive della tabella.
- Viene applicata la prima regola della tabella che corrisponde ai parametri del traffico.
Non è possibile applicare le regole successive perché a questo punto la ricerca viene terminata per tale pacchetto. A causa di questo comportamento, è sempre consigliabile inserire i criteri più granulari nella parte superiore della tabella delle regole. In questo modo, verranno applicate prima le regole più specifiche.
La regola predefinita, che si trova in fondo alla tabella delle regole, è una regola catchall. Questo significa che la regola predefinita sarà applicata per tutti i pacchetti che non corrispondono a nessun'altra regola. Dopo l'operazione di preparazione dell'host, la regola predefinita viene impostata per consentire l'azione. In questo modo, la comunicazione da macchina virtuale a macchina virtuale non viene interrotta durante le fasi di staging o migrazione. È quindi consigliabile modificare questa regola predefinita per bloccare l'azione e applicare il controllo degli accessi tramite un modello di controllo positivo (ad esempio, nella rete è consentito solo il traffico definito nella regola del firewall).
Nota: Il protocollo TCP restrittivo può essere abilitato in base alla sezione per disattivare la selezione a centro sessione e imporre il requisito per un handshake a tre vie. Quando si abilita la modalità TCP restrittiva per una particolare sezione del firewall distribuito e si utilizza una regola predefinita di blocco ANY-ANY, i pacchetti che non soddisfano tutti i requisiti di connessione dell'handshake a tre vie e che corrispondono a una regola basata su TCP in questa sezione vengono eliminati. La modalità restrittiva viene applicata solo alle regole TCP stateful ed è abilitata al livello della sezione del firewall distribuito. TCP restrittivo non viene applicato per i pacchetti che corrispondono a una regola Consenti ANY-ANY predefinita che non è stato specificata come servizio TCP.
| Proprietà | Descrizione |
|---|---|
| Nome | Nome della regola del firewall. |
| ID | ID univoco generato dal sistema per ogni regola. |
| Origine | L'origine della regola può essere un indirizzo IP o MAC o un oggetto diverso da un indirizzo IP. Se non definita, l'origine corrisponderà a Qualsiasi (ANY). Per l'intervallo di origine o destinazione sono supportati sia IPv4 che IPv6. |
| Destinazione | Indirizzo IP o MAC di destinazione/netmask della connessione interessata dalla regola. Se non definita, la destinazione corrisponderà a Qualsiasi (ANY). Per l'intervallo di origine o destinazione sono supportati sia IPv4 che IPv6. |
| Servizio | Il servizio può essere una combinazione porta-protocollo predefinita per L3. Per L2 può essere di tipo Ether. Sia per L2 che per L3 è possibile definire manualmente un nuovo servizio o gruppo di servizi. Se non specificato, il servizio corrisponderà a Qualsiasi (ANY). |
| Si applica a | Definisce l'ambito in cui la regola è applicabile. Se non definito, l'ambito corrisponderà a tutte le porte logiche. Se in una sezione è stato aggiunto "Si applica a", questo sovrascriverà la regola. |
| Registro | La registrazione può essere disattivata o attivata. I registri vengono archiviati nel file /var/log/dfwpktlogs.log negli host ESXi. |
| Azione | L'azione applicata dalla regola può essere Consenti, Elimina o Rifiuta. L'azione predefinita è Consenti. |
| Protocollo IP | Le opzioni sono IPv4, IPv6 e IPv4_IPv6. Il valore predefinito è IPv4_IPv6. Per accedere a questa proprietà, fare clic sull'icona Impostazioni avanzate. |
| Direzione | Le opzioni sono In entrata, In uscita e In entrata-In uscita. L'impostazione predefinita è In entrata-In uscita. Questo campo si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. In entrata significa che viene controllato solo il traffico verso l'oggetto, In uscita significa che viene controllato solo il traffico che parte dall'oggetto, In entrata-In uscita significa che viene controllato il traffico in entrambe le direzioni. Per accedere a questa proprietà, fare clic sull'icona Impostazioni avanzate. |
| Tag regola | Tag che sono stati aggiunti alla regola. Per accedere a questa proprietà, fare clic sull'icona Impostazioni avanzate. |
| Statistiche flusso | Campo di sola lettura contenente byte, numero di pacchetti e sessioni. Per accedere a questa proprietà, fare clic sull'icona del grafico. |
Nota: Se SpoofGuard non è abilitato, i binding degli indirizzi rilevati automaticamente non possono essere garantiti come affidabili perché una macchina virtuale predisposta con intento fraudolento può richiedere l'indirizzo di un'altra macchina virtuale. Se abilitato, SpoofGuard verifica ogni binding rilevato in modo che vengano presentati solo i binding approvati.
