NSX Manager のスコープにファイアウォール ルールを追加します。その後、[適用先] フィールドを使用して、ルールを適用する範囲を絞り込むことができます。各ルールの送信元と宛先に複数のオブジェクトを追加することで、追加するファイアウォール ルールの総数を減らすことができます。

前提条件

VMware vCenter オブジェクトに基づいてルールを追加する場合、VMware Tools が仮想マシンにインストールされていることを確認します。NSX インストール ガイド を参照してください。

NSX 6.1.5 から 6.2.3 に移行した仮想マシンで TFTP ALG がサポートされません。移行後に TFTP ALG のサポートを有効にするには、除外リストに仮想マシンを追加して削除するか、仮想マシンを再起動します。新しい 6.2.3 フィルタが作成され、TFTP ALG がサポートされます。

注: ID ベースのファイアウォール ルールの前提条件:
  • 1 つ以上のドメインが NSX Manager に登録されている。NSX Manager は、グループ、ユーザー情報、およびこれらの関係を登録先の各ドメインから取得します。NSX Manager への Windows ドメインの登録を参照してください。
  • ルールの送信元または宛先として使用できる、Active Directory オブジェクト ベースのセキュリティ グループが作成されている。「セキュリティ グループの作成」を参照してください。
  • Active Directory サーバが NSX Manager に統合されている必要があります。
  • ホストで分散ファイアウォールを有効にし、NSX 6.4.0 にアップグレードする必要があります。
  • ゲスト マシンで、更新された VMware Tools が実行されている必要があります。
  • ゲスト イントロスペクション サービス仮想マシンのバージョンが 6.4 以降でなければなりません。
  • ファイアウォール ルールの新しいセクションにルールを作成する必要があります。
  • ルールで [送信元でユーザー ID を有効にする] を選択する必要があります。
  • リモート デスクトップ アクセスのルールでは、[適用先] フィールドを使用できません。
  • RDSH の IDFW では ICMP がサポートされていません。
注: ユニバーサル ファイアウォール ルールの前提条件:

Cross-vCenter NSX 環境の場合、ユニバーサル ルールは、プライマリ NSX Manager のユニバーサル ルール セクションで定義された分散ファイアウォール ルールを参照します。これらのルールは、環境内のすべてのセカンダリ NSX Manager でレプリケートされるため、vCenter Server の境界を越えて一貫したファイアウォール ポリシーを維持できます。プライマリ NSX Manager には、ユニバーサル L2 ルール用のユニバーサル セクションとユニバーサル L3 ルール用のユニバーサル セクションをそれぞれ複数含めることができます。ユニバーサル セクションは、すべてのローカル セクションおよび Service Composer セクションの上部にあります。セカンダリ NSX Manager では、ユニバーサル セクションやユニバーサル ルールを表示できますが、編集はできません。ローカル セクションに対するユニバーサル セクションの配置は、ルールの優先順位に影響しません。

複数の vCenter Server 間の vMotion では、Edge ファイアウォール ルールはサポートされていません。

表 1. ユニバーサル ファイアウォール ルールでサポートされるオブジェクト
送信元と宛先 適用先 サービス
  • ユニバーサル MAC セット
  • ユニバーサル IP セット
  • ユニバーサル セキュリティ タグ、IP セット、MAC セット、またはユニバーサル セキュリティ グループを含めることができるユニバーサル セキュリティ グループ
  • ユニバーサル セキュリティ タグ、IP セット、MAC セット、またはユニバーサル セキュリティ グループを含めることができるユニバーサル セキュリティ グループ
  • ユニバーサル論理スイッチ
  • 分散ファイアウォール: 分散ファイアウォールがインストールされているすべてのクラスタにルールを適用
  • 事前に作成されたユニバーサル サービスおよびサービス グループ
  • ユーザーが作成したユニバーサル サービスおよびサービス グループ
ユニバーサル ルールでは、他の vCenter オブジェクトはサポートされていません。

NSX 分散ファイアウォールの状態が後方互換性モードになっていないことを確認してください。現在の状態を確認するには、REST API 呼び出し GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state を使用します。後方互換性モードになっている場合、RES API 呼び出し PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state を使用して、前方互換性モードに変更できます。分散ファイアウォールが後方互換性モードになっているときに、分散ファイアウォール ルールを発行しないでください。

手順

  1. vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [セキュリティ (Security)] > [ファイアウォール (Firewall)] の順に移動します。
  2. [設定 (Configuration)] > [全般 (General)] タブの順に移動し、L3、L4、または L7 ルールを追加します。[イーサネット (Ethernet)] タブをクリックし、L2 ルールを追加します。
    ユニバーサル ファイアウォール ルールを作成する場合は、ユニバーサル ルール セクションでルールを作成します。
  3. 新しいルールの [名前 (Name)] セルをポイントし、編集 をクリックします。
  4. 新しいルールの名前を入力します。