分散ファイアウォール ルールは、仮想マシン (vNIC) レベルで適用され、SDDC 内の East-West トラフィックを制御します。

分散ファイアウォールを通過するすべてのトラフィックに、このルール テーブルのルールが上から順に適用されます。上位のルールで許可されたパケットが、その下のルールに順次渡されていきます。いずれかのルールでパケットがドロップされるか拒否されるまで、またはすべてのトラフィックが許可されるデフォルト ルールに適合するまで、ルールの適用が続けられます。

分散ファイアウォール ルールは、ポリシー別にグループ化されます。ポリシーはカテゴリごとに分類されます。各カテゴリには、評価の優先順位があります。優先順位の高いカテゴリのルールは、優先順位の低いカテゴリのルールよりも先に評価されます。
表 1. 分散ファイアウォール ルールのカテゴリ
カテゴリ評価の優先順位 カテゴリ名 説明
1 イーサネット レイヤー 2 のすべての SDDC ネットワーク トラフィックに適用します。
注: このカテゴリのルールでは、送信元と宛先として MAC アドレスが必要です。IP アドレスは受け入れられますが、無視されます。
2 緊急 検疫ルールと許可ルールに使用します。
3 インフラストラクチャ 共有サービスへのアクセスを定義します。グローバル ルール、Active Directory、DNS、NTP、DHCP、バックアップ、管理サーバ。
4 環境 本番環境ゾーン、開発ゾーン、または特定のビジネス目的専用のゾーンなどのセキュリティ ゾーン間のルール。
5 アプリケーション アプリケーション、アプリケーション層、またはマイクロサービス間のルール。
分散ファイアウォールの専門用語の詳細については、『 NSX-T Data Center Administration Guide』の Security Terminologyを参照してください。

前提条件

分散ファイアウォール ルールは、ソースおよびターゲットとしてインベントリ グループを必要とします。また、サービス(事前定義されたサービスまたは SDDC 用に定義したカスタム サービス)に適用する必要があります。これらのグループやサービスはルールの作成中に作成できますが、事前にこのような操作を行っておくと、プロセスを高速化できます。コンピューティング グループの追加または変更およびカスタム サービスの追加を参照してください。

手順

  1. https://vmc.vmware.comVMC コンソール にログインします。
  2. [ネットワークとセキュリティ] > [分散ファイアウォール] の順に選択します。
    [カテゴリ固有のルール] をクリックしてカテゴリを選択すると、そのカテゴリのポリシーとルールを表示および修正できます。 [すべてのルール] をクリックすると、すべてのポリシーとカテゴリのルールを表示できます(修正はできません)。
  3. (オプション) デフォルトの接続方法を変更します。
    分散ファイアウォールには、レイヤー 2 およびレイヤー 3 のすべてのトラフィックに適用されるデフォルト ルールが含まれています。これらのルールは、カテゴリ内の他のすべてのルールの後に評価され、前のルールに一致しないトラフィックがファイアウォールを通過することを許可します。これらのルールのいずれかまたは両方を変更して制約を厳しくすることはできますが、どちらのルールも無効にすることはできません。
    • [デフォルトのレイヤー 2 のルール] を変更するには、[イーサネット] カテゴリの [デフォルト レイヤー 2 のセクション] を展開して、そのルールの [アクション][ドロップ] に変更します。
    • [デフォルトのレイヤー 3 のルール] を変更するには、[アプリケーション] カテゴリの [デフォルトのレイヤー 3 のセクション] を展開して、そのルールの [アクション][ドロップ] または [拒否] に変更します。
    [発行] をクリックして、ルールを更新します。
  4. ポリシーを追加するには、該当のカテゴリを開いて [ポリシーの追加] をクリックし、新しいポリシーの [名前] を指定します。

    そのカテゴリのポリシー リストの一番上に新しいポリシーが追加されます。既存のポリシーの前後にポリシーを追加するには、ポリシー行の先頭の縦方向の省略記号ボタンをクリックしてポリシー設定メニューを開き、[ポリシーを上に追加] または [ポリシーを下に追加] をクリックします。

    デフォルトでは、[適用先] 列は [DFW] に設定され、このルールがすべてのワークロードに適用されます。このルールやポリシーは、選択したグループにも適用できます。[適用先] は、ルールごとの適用範囲を定義し、主にホスト リソース消費の最適化に使用します。他のテナントやゾーンに定義したポリシーに干渉することなく、特定のゾーンやテナントの目標ポリシーを定義する際に便利です。

    注: IP アドレス、MAC アドレス、または Active Directory グループのみからなるグループは、 [適用先] テキスト ボックスで使用できません。
  5. ルールを追加するには、ポリシーを選択して [新規ルールの追加] をクリックし、ルールの [名前] を入力します。
  6. 新しいルールのパラメータを入力します。
    パラメータはデフォルト値に初期化されます( [送信元][宛先][すべて] など)。パラメータを編集するには、パラメータ値の上にマウス カーソルを移動し、鉛筆アイコン ( ) をクリックしてパラメータ固有のエディタを開きます。
    オプション 説明
    送信元 [送信元] 列の [任意] をクリックし、送信元ネットワーク トラフィックのインベントリ グループを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    宛先 [宛先] 列の [任意] をクリックし、宛先ネットワーク トラフィックのインベントリ グループを選択するか、[新しいグループの作成] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    サービス [サービス] 列の [任意] をクリックし、リストからサービスを選択します。[保存] をクリックします。
    適用先 ルールは、そのルールが含まれているポリシーの [適用先] の値を継承します。
    操作
    • すべての L2 および L3 トラフィックがファイアウォールを通過できるようにするには、[許可] を選択します。
    • [ドロップ] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットをドロップします。これは、送信元または宛先のシステムに通知されない、サイレント アクションです。パケットがドロップされると、再試行のしきい値に到達するまで、接続が再試行されます。
    • [拒否] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットを拒否します。このアクションは、「宛先への到達不能メッセージ」を送信者に返します。TCP パケットの場合、応答には TCP RST メッセージが含まれます。UDP、ICMP、およびその他のプロトコルの場合、応答には「管理上禁止」のコード(9 または 10)が含まれます。接続を確立できない場合、すぐに送信者に通知されます(再試行は行われません)。
    新しいルールはデフォルトで有効になります。トグル ボタンを左にスライドして無効にします。
  7. (オプション) 詳細設定の構成。
    ルールの方向またはログの動作を変更するには、歯車アイコン をクリックして [設定] ページを開きます。
    方向
    デフォルトでは、この値は [In/Out] であり、すべての送信元および宛先にこのルールを適用します。これを [In] に変更して、ルールを送信元からの受信トラフィックのみに適用するか、 [Out] にして、宛先への送信トラフィックのみに適用することができます。この値を変更すると、非対称ルーティングやその他のトラフィック異常が発生する可能性があるため、 [方向] のデフォルト値の変更を行う前に、すべての送信元と宛先について予想される結果を理解しておく必要があります。
    ログ
    新しいルールのログは、デフォルトで無効になっています。ルール アクションのログを有効にするには、トグル ボタンを右にスライドします。
  8. [発行] をクリックして、ルールを作成します。

    新しいルールには、生成されるログ エントリ内のルールを識別するために使用される、整数の [ID] 値が付与されます。

次のタスク

既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。

  • 歯車アイコン をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware vRealize Log Insight Cloud サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing vRealize Log Insight Cloudを参照してください。

  • グラフ アイコン をクリックして、ルールのヒットおよびフローの統計情報を表示します。
    表 2. ルールのヒットの統計
    ポピュラリティ インデックス 過去 24 時間にルールがトリガーされた回数。
    ヒット カウント ルールが作成されてからトリガーされた回数。
    表 3. フローの統計
    パケット数 このルールの対象となるパケット フローの合計。
    バイト数 このルールの対象となるバイト フローの合計。
    統計情報は、ルールが有効になるとすぐに集計が開始されます。
  • ファイアウォール ルールを並べ替えます。

    [新しいルールの追加] ボタンから作成されたルールは、ポリシーのルールのリストの一番上に配置されます。各ポリシーのファイアウォール ルールは、一番上から順に適用されます。リスト内のルールの位置を変更するには、ルールを選択して新しい位置にドラッグします。[公開] をクリックして変更を公開します。