テナント ポータルを使用して、NSX Data Center for vSphere が提供するファイアウォール機能を VMware Cloud Director 組織仮想データセンター内に構成できます。分散ファイアウォールのファイアウォール ルールを作成して、組織仮想データセンターの仮想マシン間でセキュリティを確保できます。また、外部のネットワーク トラフィックから組織仮想データセンター内の仮想マシンを保護するためのファイアウォール ルールを作成して Edge Gateway のファイアウォールに適用できます。
NSX Data Center for vSphere の論理ファイアウォール テクノロジーは、異なるデプロイ ユースケースに対応する 2 つのコンポーネントから構成されます。Edge Gateway のファイアウォールは North-South トラフィックの強制に重点を置き、分散ファイアウォールは East-West アクセスの制御に重点を置いています。
Edge Gateway のファイアウォールと分散ファイアウォールの主な相違点
Edge Gateway のファイアウォールは、North-South トラフィックを監視し、ファイアウォールやネットワーク アドレス変換 (NAT) を含む境界セキュリティ機能のほか、サイト間の IPSec および SSL VPN 機能を提供します。
分散ファイアウォールは、レイヤー 2 (L2) レベルまでの各仮想マシンとアプリケーションを隔離し、保護するための機能を提供します。分散ファイアウォールを構成すると、外部または内部ネットワークのあらゆるセキュリティ侵害を効果的に検疫できます。また、同じネットワーク セグメント上の仮想マシン間の East-West トラフィックを隔離できます。セキュリティ ポリシーは一元的に管理され、継承可能であり、入れ子構造にすることができます。このため、ネットワーク管理者とセキュリティ管理者はセキュリティ ポリシーを大きな規模で管理できます。また、デプロイ後に仮想マシンまたはアプリケーションが仮想データセンター間を移動しても、定義済みのセキュリティ ポリシーは仮想マシンまたはアプリケーションに付随します。
ファイアウォール ルールについて
関連する製品ドキュメントで説明されているように、NSX Data Center for vSphere では、一元的なレベルで定義されたファイアウォール ルールをプレルールと呼びます。また、個々の Edge Gateway レベルでルールを追加することもでき、このルールをローカル ルールと呼びます。
各トラフィック セッションは、ファイアウォール テーブルの一番上のルールと照合された後、テーブルの下位のルールに移動します。テーブル内のルールのうち、トラフィック パラメータと一致する最初のルールが適用されます。ルールは次の順序で表示されます。
- ユーザー定義のプレルール。優先度が最も高く、仮想 NIC レベルごとの優先順位を使用して上から下の順序で適用されます。
- 自動組み込みルール(Edge Gateway サービスのトラフィックのフローを制御できるルール)。
- Edge Gateway レベルで定義されたローカル ルール。
- デフォルトの分散ファイアウォール ルール
NSX Data Center for vSphere ソフトウェアでファイアウォール ルールを適用する方法の詳細については、NSX Data Center for vSphere のドキュメントで「ファイアウォール ルールの順序の変更」を参照してください。
