まず組織仮想データセンターの範囲に分散ファイアウォール ルールを追加します。次に、ルールを適用する範囲を絞り込むことができます。分散ファイアウォールでは、各ルールのソースおよびターゲットのレベルに複数のオブジェクトを追加して、追加する必要のあるファイアウォール ルールの総数を減らすことができます。

ルール内で使用できる事前定義済みのサービスおよびサービス グループの詳細については、ファイアウォール ルールで使用可能なサービスの表示およびファイアウォール ルールで使用可能なサービス グループの表示を参照してください。

前提条件

手順

  1. [仮想データセンター] ダッシュボード画面で、確認する仮想データセンターのカードをクリックし、[ネットワーク][セキュリティ] を選択します。
  2. ファイアウォール ルールを変更するセキュリティ サービスの仮想データセンター ネットワークを選択し、[サービスの構成]をクリックします。
    [セキュリティ サービス] 画面が表示されます。
  3. 作成するルールのタイプを選択します。一般的なルールまたはイーサネット ルールを作成するオプションがあります。
    レイヤー 3 (L3) ルールは [全般] タブで構成されます。レイヤー 2 (L2) ルールは [イーサネット] タブで構成されます。
  4. ファイアウォール テーブルの既存のルールの下にルールを追加するには、既存の行をクリックし、[作成]作成ボタン)ボタンをクリックします。
    新しいルールの行が選択したルールの下に追加され、デフォルトでは、すべてのターゲット、すべてのサービス、および [許可] アクションが割り当てられます。ファイアウォール テーブルにシステム定義のデフォルトの許可ルールしかない場合には、新しいルールはデフォルトのルールの上に追加されます。
  5. [名前] セルをクリックし、名前を入力します。
  6. [ソース] セルをクリックし、表示されているアイコンを使用して、ルールに追加するソースを選択します。
    アクション 説明
    [IP] アイコンをクリック [全般] タブで定義されたルールを適用します。

    使用するソースの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。分散ファイアウォールは、IPv4 形式のみをサポートします。

    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  7. [ターゲット] セルをクリックし、次のアクションのいずれかを実行します。
    アクション 説明
    [IP] アイコンをクリック [全般] タブで定義されたルールを適用します。

    使用するターゲットの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。分散ファイアウォールは、IPv4 形式のみをサポートします。

    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  8. 新しいルールの [サービス] セルをクリックし、次のいずれかのアクションを実行します。
    アクション 説明
    [IP] アイコンをクリック サービスをポートとプロトコルの組み合わせとして指定します。
    1. サービス プロトコルを選択します。
    2. ソースとターゲット ポートのポート番号を入力するか、または 任意 を指定し、[保持] をクリックします。
    [+] アイコンをクリック 事前定義済みサービスまたはサービス グループを選択するか、または新規のものを定義するには、次のようにします。
    1. 1 つまたは複数のオブジェクトを選択し、フィルタに追加します。
    2. [保持] をクリックします。
  9. 新しいルールの [アクション] セルで、ルールのアクションを設定します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可します。
    拒否 指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックします。
  10. 新しいルールの [方向] セルで、ルールを受信トラフィック、送信トラフィック、またはその両方のいずれに適用するかを選択します。
  11. これが [全般] タブのルールである場合、新しいルールの [パケット タイプ] セルで、パケット タイプとして [任意][IPV4]、または [IPV6] のいずれかを選択します。
  12. [適用対象] セルを選択し、[+] アイコンを使用してこのルールが適用されるオブジェクト範囲を定義します。
    ルールに [ソース][ターゲット] セル内の仮想マシンが含まれている場合は、ルールが正常に機能するように、ソースとターゲットの両方の仮想マシンをルールの [適用対象] に追加する必要があります。
    重要: IP アドレス グループ(IP セット)、MAC アドレス グループ(MAC セット)、および IP セットまたは MAC セットを含むセキュリティ グループは、有効な入力パラメータではありません。
  13. [変更を保存] をクリックします。