分散ファイアウォール ルールは、仮想マシン レベルで適用され、SDDC 内の East-West トラフィックを制御します。

分散ファイアウォールを通過するすべてのトラフィックに、このルール テーブルのルールが上から順に適用されます。上位のルールで許可されたパケットが、その下のルールに順次渡されていきます。いずれかのルールでパケットがドロップされるか拒否されるまで、またはすべてのトラフィックが許可されるデフォルト ルールに適合するまで、ルールの適用が続けられます。

分散ファイアウォール ルールは、ポリシー別にグループ化されます。ポリシーはカテゴリごとに分類されます。各カテゴリには、評価の優先順位があります。優先順位の高いカテゴリのルールは、優先順位の低いカテゴリのルールよりも先に評価されます。
表 1. 分散ファイアウォール ルールのカテゴリ
カテゴリ評価の優先順位 カテゴリ名 説明
1 イーサネット レベル 2 のすべての SDDC ネットワーク トラフィックに適用
2 緊急 検疫および許可ルールに使用
3 インフラストラクチャ 共有サービスへのアクセスを定義します。グローバル ルール、Active Directory、DNS、NTP、DHCP、バックアップ、管理サーバ。
4 環境 本番環境ゾーン、開発ゾーン、または特定のビジネス目的専用のゾーンなどのセキュリティ ゾーン間のルール。
5 アプリケーション アプリケーション、アプリケーション層、またはマイクロサービス間のルール
分散ファイアウォールの専門用語の詳細については、『 NSX-T Data Center Administration Guide』の Security Terminologyを参照してください。

前提条件

分散ファイアウォール ルールは、ソースおよびターゲットとしてインベントリ グループを必要とします。また、サービス(事前定義されたサービスまたは SDDC 用に定義したカスタム サービス)に適用する必要があります。これらのグループやサービスはルールの作成中に作成できますが、事前にこのような操作を行っておくと、プロセスを高速化できます。コンピューティング グループの追加または変更およびカスタム サービスの追加を参照してください。

手順

  1. https://vmc.vmware.comVMC コンソール にログインします。
  2. [ネットワークとセキュリティ] > [分散ファイアウォール] の順に選択します。
    [カテゴリ固有のルール] をクリックしてカテゴリを選択すると、そのカテゴリのポリシーとルールを表示および修正できます。 [すべてのルール] をクリックすると、すべてのポリシーとカテゴリのルールを表示できます(修正はできません)。
  3. (オプション) デフォルトの接続方法を変更します。
    デフォルトでは、分散ファイアウォールにはすべてのトラフィックに対する暗黙的な許可ルールが含まれています。このルールはルールのリストには表示されませんが、他のすべてのルールの後に評価され、先に評価されたルールに一致しないトラフィックがファイアウォールを通過できるようにします。接続方法アイコン ( ) をクリックして、使用可能な方法のリストを表示します。現在の方法を変更するには、別の方法を選択して [保存] をクリックします。使用可能な接続方法の詳細については、『 NSX-T Data Center Administration Guide』の Select a Default Connectivity Strategyを参照してください。
  4. リストの一番上にポリシーを追加するには、[ポリシーの追加] をクリックし、新しいポリシーの [名前] を指定します。

    既存のポリシーの前後にポリシーを追加するには、ポリシー行の先頭の縦方向の省略記号ボタンをクリックしてポリシー設定メニューを開き、[ポリシーを上に追加] または [ポリシーを下に追加] をクリックします。

    デフォルトでは、新しいポリシーは分散ファイアウォール ([DFW]) に適用されますが、適用対象のインベントリ グループを 1 つ以上指定することもできます。ポリシーの [適用先] の値は、ポリシーのすべてのルールに反映されます。

  5. ルールを追加するには、ポリシーを選択して [新規ルールの追加] をクリックし、ルールの [名前] を入力します。
  6. 新しいルールのパラメータを入力します。
    パラメータはデフォルト値に初期化されます( [送信元][宛先][すべて] など)。パラメータを編集するには、パラメータ値の上にマウス カーソルを移動し、鉛筆アイコン ( ) をクリックしてパラメータ固有のエディタを開きます。
    オプション 説明
    送信元 [送信元] 列の [任意] をクリックし、送信元ネットワーク トラフィックのインベントリ グループを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    宛先 [宛先] 列の [任意] をクリックし、宛先ネットワーク トラフィックのインベントリ グループを選択するか、[新しいグループの作成] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    サービス [サービス] 列の [任意] をクリックし、リストからサービスを選択します。[保存] をクリックします。
    適用先 ルールは、そのルールが含まれているポリシーの [適用先] の値を継承します。
    操作
    • すべての L2 および L3 トラフィックがファイアウォールを通過できるようにするには、[許可] を選択します。
    • [ドロップ] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットをドロップします。これは、送信元または宛先のシステムに通知されない、サイレント アクションです。パケットがドロップされると、再試行のしきい値に到達するまで、接続が再試行されます。
    • [拒否] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットを拒否します。このアクションは、「宛先への到達不能メッセージ」を送信者に返します。TCP パケットの場合、応答には TCP RST メッセージが含まれます。UDP、ICMP、およびその他のプロトコルの場合、応答には「管理上禁止」のコード(9 または 10)が含まれます。接続を確立できない場合、すぐに送信者に通知されます(再試行は行われません)。
    新しいルールはデフォルトで有効になります。トグル ボタンを左にスライドして無効にします。
  7. (オプション) 詳細設定の構成。
    ルールの方向またはログの動作を変更するには、歯車アイコン をクリックして [設定] ページを開きます。
    方向
    デフォルトでは、この値は [入出力] になっていて、ターゲット オブジェクトに対する入力および出力トラフィックにルールが適用されます。 [入力] を選択して、オブジェクトへの入力トラフィックのみがチェックされるように指定することも、 [出力] を選択して、オブジェクトからの出力トラフィックのみがチェックされるように指定することもできます。この値を変更すると、非対称ルーティングやその他のトラフィック異常が発生する可能性があるため、変更を行う前に、すべての送信元と宛先について予想される結果を理解しておく必要があります。
    ログ
    新しいルールのログは、デフォルトで無効になっています。ルール アクションのログを有効にするには、トグル ボタンを右にスライドします。
  8. [発行] をクリックして、ルールを作成します。

次のタスク

既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。

  • 歯車アイコン をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware vRealize Log Insight Cloud サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing vRealize Log Insight Cloudを参照してください。

  • グラフのアイコン をクリックすると、次のようなルールの統計情報が表示されます。
    ポピュラリティ インデックス
    過去 24 時間にルールがトリガーされた回数。
    ヒット カウント
    ルールが作成されてからトリガーされた回数。
    統計情報は、ルールが有効になるとすぐに集計が開始されます。
  • ファイアウォール ルールを並べ替えます。

    [新しいルールの追加] ボタンから作成されたルールは、ポリシーのルールのリストの一番上に配置されます。各ポリシーのファイアウォール ルールは、一番上から順に適用されます。リスト内のルールの位置を変更するには、ルールを選択して新しい位置にドラッグします。[公開] をクリックして変更を公開します。