まず組織仮想データセンターの範囲に分散ファイアウォール ルールを追加します。次に、ルールを適用する範囲を絞り込むことができます。分散ファイアウォールでは、各ルールのソースおよびターゲットのレベルに複数のオブジェクトを追加して、追加する必要のあるファイアウォール ルールの総数を減らすことができます。
ルール内で使用できる事前定義済みのサービスおよびサービス グループの詳細については、ファイアウォール ルールで使用可能なサービスの表示およびファイアウォール ルールで使用可能なサービス グループの表示を参照してください。
手順
- [仮想データセンター] ダッシュボード画面で、確認する仮想データセンターのカードをクリックし、[ネットワーク] で [セキュリティ] を選択します。
- ファイアウォール ルールを変更するセキュリティ サービスの仮想データセンター ネットワークを選択し、[サービスの構成]をクリックします。
[セキュリティ サービス] 画面が表示されます。
- 作成するルールのタイプを選択します。一般的なルールまたはイーサネット ルールを作成するオプションがあります。
レイヤー 3 (L3) ルールは
[全般] タブで構成されます。レイヤー 2 (L2) ルールは
[イーサネット] タブで構成されます。
- ファイアウォール テーブルの既存のルールの下にルールを追加するには、既存の行をクリックし、[作成]()ボタンをクリックします。
新しいルールの行が選択したルールの下に追加され、デフォルトでは、すべてのターゲット、すべてのサービス、および
[許可] アクションが割り当てられます。ファイアウォール テーブルにシステム定義のデフォルトの許可ルールしかない場合には、新しいルールはデフォルトのルールの上に追加されます。
- [名前] セルをクリックし、名前を入力します。
- [ソース] セルをクリックし、表示されているアイコンを使用して、ルールに追加するソースを選択します。
アクション |
説明 |
[IP] アイコンをクリック |
[全般] タブで定義されたルールを適用します。 使用するソースの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。分散ファイアウォールは、IPv4 形式のみをサポートします。 |
[+] アイコンをクリック |
[+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
- [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
- ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。
ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。 |
- [ターゲット] セルをクリックし、次のアクションのいずれかを実行します。
アクション |
説明 |
[IP] アイコンをクリック |
[全般] タブで定義されたルールを適用します。 使用するターゲットの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。分散ファイアウォールは、IPv4 形式のみをサポートします。 |
[+] アイコンをクリック |
[+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
- [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
- ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。
ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。 |
- 新しいルールの [サービス] セルをクリックし、次のいずれかのアクションを実行します。
アクション |
説明 |
[IP] アイコンをクリック |
サービスをポートとプロトコルの組み合わせとして指定します。
- サービス プロトコルを選択します。
- ソースとターゲット ポートのポート番号を入力するか、または 任意 を指定し、[保持] をクリックします。
|
[+] アイコンをクリック |
事前定義済みサービスまたはサービス グループを選択するか、または新規のものを定義するには、次のようにします。
- 1 つまたは複数のオブジェクトを選択し、フィルタに追加します。
- [保持] をクリックします。
|
- 新しいルールの [アクション] セルで、ルールのアクションを設定します。
オプション |
説明 |
許可 |
指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可します。 |
拒否 |
指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックします。 |
- 新しいルールの [方向] セルで、ルールを受信トラフィック、送信トラフィック、またはその両方のいずれに適用するかを選択します。
- これが [全般] タブのルールである場合、新しいルールの [パケット タイプ] セルで、パケット タイプとして [任意]、[IPV4]、または [IPV6] のいずれかを選択します。
- [適用対象] セルを選択し、[+] アイコンを使用してこのルールが適用されるオブジェクト範囲を定義します。
ルールに
[ソース] と
[ターゲット] セル内の仮想マシンが含まれている場合は、ルールが正常に機能するように、ソースとターゲットの両方の仮想マシンをルールの
[適用対象] に追加する必要があります。
重要: IP アドレス グループ(IP セット)、MAC アドレス グループ(MAC セット)、および IP セットまたは MAC セットを含むセキュリティ グループは、有効な入力パラメータではありません。
- [変更を保存] をクリックします。