デフォルトでは、コンピューティング ゲートウェイは SDDC コンピューティング ネットワークとの間のトラフィックをブロックします。必要に応じて、トラフィックを許可するコンピューティング ゲートウェイのファイアウォール ルールを追加します。
- 許可(一致するトラフィックを許可する)
- ドロップ(一致するトラフィックを通知なしにドロップする)
- 拒否(一致するトラフィックをドロップして送信元に通知する)
ファイアウォールを通過するすべてのトラフィックは、ルール テーブルに表示されている順序でルールによって評価されます。最初のルールに一致するトラフィックは、そのアクション(許可、ドロップ、または拒否)に従い、評価は停止します。最初のルールに一致しないトラフィックは後続のルールに渡されます。一致すると、ルール アクションの指定に従ってトラフィックが許可、ドロップ、または拒否され、ルールの評価は停止します。ユーザー定義のルールに一致しないトラフィックは、デフォルト ルールによって処理されます。
- 事前定義されたファイアウォール ルールは、VMware Cloud on AWS によって作成されます。2 つの事前定義されたコンピューティング ゲートウェイのファイアウォール ルールを次に示します。
表 1. 事前定義されたコンピューティング ゲートウェイのファイアウォール ルール 名前 送信元 宛先 サービス 適用先 操作 デフォルトの VTI ルール 任意 任意 任意 VPN トンネル インターフェイス ドロップ * デフォルトのアップリンク ルール 任意 任意 任意 すべてのアップリンク Drop - ユーザー定義のファイアウォール ルールは、指定した順序で処理され、常に [デフォルトのアップリンク ルール] の前に処理されます。
前提条件
コンピューティング ゲートウェイのファイアウォール ルールでは、送信元と宛先の値についてインベントリ グループを指定する必要があります。インベントリ グループの操作を参照してください。
手順
次のタスク
既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。
-
歯車アイコン をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware VMware Aria Operations for Logs サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing VMware Aria Operations for Logsを参照してください。
-
グラフ アイコン をクリックして、ルールのヒットおよびフローの統計情報を表示します。
表 2. ルールのヒットの統計 ポピュラリティ インデックス 過去 24 時間にルールがトリガーされた回数。 ヒット カウント ルールが作成されてからトリガーされた回数。 表 3. フローの統計 パケット数 このルールの対象となるパケット フローの合計。 バイト数 このルールの対象となるバイト フローの合計。 - ファイアウォール ルールを並べ替えます。
[新しいルールの追加] ボタンから作成されたルールは、ルールのリストの一番上に配置されます。ファイアウォール ルールは、一番上から順に適用されます。リスト内のルールの位置を変更するには、ルールを選択して新しい位置にドラッグします。[公開] をクリックして変更を公開します。