Prima di creare regole del firewall dell'applicazione nel firewall del gateway di livello 0, è importante aggiungere manualmente le regole del firewall del gateway per consentire protocolli di routing come BGP, OSPF e il protocollo di rilevamento degli errori BFD. Queste regole devono essere aggiunte prima di qualsiasi regola di applicazione per assicurarsi che il rispettivo protocollo di rilevamento degli errori del peering di routing non sia interessato quando si modificano le regole del firewall dell'applicazione.

Prerequisiti

Sono supportati gli indirizzi IPv4 e IPv6.

Per attivare il firewall del gateway, selezionare Sicurezza > Firewall gateway > Impostazioni. Fare clic su ATTIVA per il firewall del gateway di livello 1 o di livello 0 che si desidera attivare.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sicurezza > Firewall del gateway.
  3. Selezionare la scheda Tutte le regole condivise o Regole specifiche del gateway. Fare clic su Aggiungi criterio. Per ulteriori informazioni sulle categorie di regole, vedere Firewall del gateway.
  4. Immettere un Nome per la sezione del nuovo criterio.
  5. Fare clic sull'icona dell'ingranaggio per configurare le seguenti impostazioni dei criteri:
    Impostazioni Descrizione
    TCP restrittivo Per impostazione predefinita, il firewall del gateway funziona in modalità TCP restrittivo. La modalità TCP restrittivo viene applicata solo alle regole TCP stateful ed è abilitata a livello del criterio del firewall del gateway. TCP restrittivo non viene applicato per i pacchetti che corrispondono a una regola Consenti ANY-ANY predefinita che non presenta alcun servizio TCP specificato.
    Stateful Per impostazione predefinita, l'impostazione Stateful è attivata. Un firewall stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.
    Bloccato Per impostazione predefinita, l'impostazione Bloccato è disattivata. Il criterio può essere bloccato per impedire a più utenti di apportare modifiche alle stesse sezioni. Quando si blocca una sezione, è necessario includere un commento.
  6. Selezionare una sezione del criterio e fare clic su Aggiungi regola.
  7. Immettere un nome per la regola.
  8. Nella colonna Origini fare clic sull'icona a forma di matita e selezionare Gruppi o Indirizzi IP . Per gli indirizzi IP è possibile immettere un indirizzo IP, un CIDR o un intervallo di indirizzi IP. I gruppi con membri di Active Directory possono essere utilizzati per la casella di origine di una regola IDFW. Vedere Aggiunta di un gruppo.
  9. Nella colonna Destinazioni fare clic sull'icona a forma di matita e selezionare Gruppi o Indirizzi IP. Per gli indirizzi IP è possibile immettere un indirizzo IP, un CIDR o un intervallo di indirizzi IP. Se non è definita, la destinazione corrisponde a qualsiasi (ANY). Vedere Aggiunta di un gruppo.
  10. Nella colonna Servizi, fare clic sull'icona della matita e selezionare i servizi. Se non definito, il servizio corrisponde a Qualsiasi. Vedere Aggiunta di un servizio.
  11. Per i gateway di livello 1, nella colonna Profili fare clic sull'icona a forma di matita e selezionare un profilo di contesto o un profilo di accesso L7. Oppure creare nuovi profili. Vedere Profili. Per le linee guida di progettazione per i profili di contesto, vedere Workflow delle regole firewall di livello 7.
    • Una regola del firewall del gateway può contenere un profilo di contesto o un profilo di accesso L7, ma non entrambi.
    • Le regole del firewall del gateway non supportano i profili di contesto con tipo di attributo Nome dominio (FQDN).
    • All'interno di una singola regola del firewall del gateway è possibile utilizzare un solo profilo di accesso L7.
  12. Nelle versioni 4.2.1 e successive, per i gateway di livello 0, nella colonna Profili fare clic sull'icona a forma di matita e selezionare un profilo di accesso L7. Vedere Profili di accesso L7. I profili di contesto non sono supportati nel criterio del firewall del gateway di livello 0.
  13. Fare clic su Applica.
  14. Fare clic sull'icona a forma di matita per la colonna Si applica a per modificare l'ambito di imposizione per regola. Nella finestra di dialogo Si applica a fare clic sul menu a discesa Categoria per applicare un filtro in base al tipo di oggetto, ad esempio interfacce, etichette e VTI, e selezionare tali oggetti specifici.
    Per impostazione predefinita, le regole del firewall del gateway vengono applicate a tutte le interfacce di uplink e servizio disponibili in un gateway selezionato.

    Per il filtro degli URL, in Si applica a è possibile specificare solo gateway di livello 1.

  15. Nella colonna Azione, selezionare un'azione.
    Opzione Descrizione
    Consenti Consente a tutto il traffico con l'origine, la destinazione e il protocollo specificati di passare attraverso il contesto del firewall corrente. I pacchetti che corrispondono alla regola e sono accettati, attraversano il sistema come se il firewall non fosse presente.

    L'azione della regola con un profilo di accesso L7 deve essere Consenti.

    Elimina Elimina i pacchetti con l'origine, la destinazione e il protocollo specificati. L'eliminazione di un pacchetto è un'azione invisibile all'utente senza notifica ai sistemi di origine o destinazione. Con l'eliminazione del pacchetto viene riprovata la connessione finché non viene raggiunta la soglia dei tentativi ripetuti.
    Rifiuta

    Rifiuta i pacchetti con l'origine, la destinazione e il protocollo specificati. Il rifiuto di un pacchetto comporta l'invio di un messaggio di destinazione irraggiungibile al mittente. Se il protocollo è TCP, viene inviato un messaggio TCP RST. I messaggi ICMP con codice vietato a livello amministrativo vengono inviati per UDP, ICMP e altre connessioni IP. L'applicazione mittente dell'invio viene informata dopo un tentativo in cui non è possibile stabilire la connessione.
  16. Fare clic sull'interruttore dello stato per attivare o disattivare la regola.
  17. Fare clic sull'icona dell'ingranaggio per impostare la registrazione, la direzione, il protocollo IP e i commenti.
    Opzione Descrizione
    Registrazione

    La registrazione può essere attivata o disattivata. I registri del firewall del gateway includono informazioni sul gateway di routing e inoltro virtuale e sull'interfaccia del gateway, insieme ai dettagli del flusso. I registri del firewall del gateway si trovano nel file denominato firewallpkt.log nella directory /var/log.
    Direzione Le opzioni sono In entrata, In uscita e In entrata-In uscita. L'impostazione predefinita è In entrata-In uscita. Questo campo si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. In entrata significa che viene controllato solo il traffico verso l'oggetto, In uscita significa che viene controllato solo il traffico che parte dall'oggetto, In entrata-In uscita significa che viene controllato il traffico in entrambe le direzioni.
    Protocollo IP Le opzioni sono IPv4, IPv6 e IPv4_IPv6. Il valore predefinito è IPv4_IPv6.
    Etichetta registro L'etichetta del registro è il nome del registro quando la registrazione è attivata. Il numero massimo di caratteri è 39.
    Commenti Aggiungere commenti alla regola del firewall.
    Nota: Fare clic sull'icona del grafico per visualizzare le statistiche del flusso della regola del firewall. È possibile visualizzare informazioni come byte, numero di pacchetti e sessioni.
  18. Fare clic su Pubblica. È possibile aggiungere più regole e poi pubblicarle insieme contemporaneamente.
  19. In ogni sezione del criterio, fare clic sull'icona Info per visualizzare lo stato corrente delle regole del firewall Edge inviate ai nodi Edge. Vengono visualizzati anche tutti gli allarmi generati quando vengono inviate regole ai nodi Edge.
  20. Per visualizzare lo stato consolidato delle regole del firewall del gateway applicate ai nodi Edge, effettuare la chiamata API.
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true