ユーザー定義の Edge ファイアウォール ルールを NSX Edge サービス ゲートウェイに追加し、特定のタイプのトラフィックの受け入れ、却下、または拒否を行うことができます。ただし、ユーザー定義のファイアウォール ルールを分散論理ルーターに追加することはできません。

Edge ファイアウォール インターフェイスでは、次の方法で Edge ファイアウォールルールを追加できます。
  • ファイアウォール テーブルで既存のルールの上または下にルールを追加する。
  • 既存のルールをコピーしてルールを追加する。
  • [追加] アイコンをクリックして、ルールを追加する。
注意: 分散ファイアウォール ルールを作成して Edge に適用している場合、これらのファイアウォール ルールは Edge ファイアウォールのユーザー インターフェイスの 読み取り専用モードに表示されます。ただし、Edge ファイアウォールのユーザー インターフェイスで作成した Edge ファイアウォール ルールは、分散ファイアウォール ルールの作成に使用したファイアウォール インターフェイスには表示されません( [ネットワークとセキュリティ] > [セキュリティ] > [ファイアウォール])。

手順

  1. vSphere Web Client にログインします。
  2. [ネットワークとセキュリティ (Networking & Security)] > [NSX Edge] の順にクリックします。
  3. NSX Edge をダブルクリックします。
  4. [管理] > [ファイアウォール] の順にクリックします。
  5. Edge ファイアウォール ルールを追加するプロセスを開始するには、次の 3 つの方法があります。
    方法 1:ファイアウォール テーブルで既存のルールの上または下にルールを追加する。

    NSX は、新しく追加されたルールの送信元、宛先、およびサービスの列を「任意」に設定します。ファイアウォール テーブルにシステム生成のデフォルトのルールしかない場合、新しいルールはデフォルトのルールの上に追加されます。新しいルールはデフォルトで有効になっています。

    NSX バージョン 手順
    6.4.6 以降
    1. ルールを選択します。
    2. アクション メニュー をクリックし、[上に追加 (Add Above)] または [下に追加 (Add Below)] を選択します。
    6.4.5 以前
    1. ルールを選択します。
    2. [番号]列で、追加 をクリックし、[上に追加] または [下に追加] を選択します。
    方法 2:既存のルールをコピーしてルールを追加する。

    NSX 6.4.5 以前では、一度に 1 つのルールをコピーしてルールを作成できます。NSX 6.4.6 以降では、複数のルールを選択して同時にコピーできます。コピーしたルールはデフォルトで有効になり、必要に応じてルールのプロパティを編集できます。

    注: システム生成の内部ルールまたはデフォルトのルールをコピーして貼り付ける場合、新しく作成されたルールには自動的に user ルール タイプが割り当てられます。
    NSX バージョン 手順
    6.4.6 以降
    1. コピーするルールの横にあるチェック ボックスを選択します。
    2. [詳細] > [選択したルールのコピー] の順にクリックします。
    3. コピーしたルールを貼り付けるルールを選択します。
    4. アクション メニュー をクリックして、[ルールを上に貼り付け] または [ルールを下に貼り付け] を選択します。
    6.4.5 以前
    1. ルールを選択します。
    2. [コピー](コピー)アイコンまたは 追加 をクリックして、[コピー] を選択します。
    3. コピーしたルールを貼り付けるルールを選択します。
    4. [番号]列で、追加 をクリックし、[上に貼り付け] または [下に貼り付け] を選択します。
    方法 3: [追加]追加 または 追加)アイコンをクリックしてルールを追加します。

    新しい行がファイアウォール テーブルに追加されます。NSX は、新しく追加されたルールの送信元、宛先、およびサービスの列を「任意」に設定します。ファイアウォール テーブルにシステム生成のデフォルトのルールしかない場合、新しいルールはデフォルトのルールの上に追加されます。新しいルールはデフォルトで有効になっています。

  6. (オプション) ルール名を指定します。
    • NSX 6.4.6 以降では、新しいルールの [名前] 列をクリックし、ルール名を入力します。
    • NSX 6.4.5 以前では、新しいルールの [名前 (Name)] 列をポイントし、編集 をクリックします。ルール名を入力し、[OK] をクリックします。
  7. (オプション) ファイアウォール ルールの送信元を指定します。
    送信元として IP アドレス、vCenter Server オブジェクト、グループ オブジェクトを追加できます。送信元が追加されていない場合、送信元は「任意」に設定されます。複数の NSX Edge インターフェイスや IP アドレス グループをファイアウォール ルールの送信元として追加できます。

    新しい IP セットを作成するか、新しいセキュリティ グループを作成するかを選択できます。IP セットまたはセキュリティ グループが作成されると、ルールの [送信元] 列に自動的に追加されます。

    1. ファイアウォール ルールの送信元として使用する 1 つ以上のオブジェクトを選択します。
      NSX バージョン 手順
      6.4.6 以降
      オブジェクトを選択するには:
      1. ルールの [送信元] 列をポイントし、編集 をクリックします。
      2. [オブジェクト] タブで、[オブジェクト タイプ] ドロップダウン メニューからオブジェクト タイプを選択します。
      3. [使用可能なオブジェクト] リストからオブジェクトを選択し、[選択したオブジェクト] リストに移動します。
      6.4.5 以前
      オブジェクトを選択するには:
      1. ルールの [送信元 (Source)] 列をポイントし、編集 をクリックします。
      2. [オブジェクト タイプ] ドロップダウン メニューからオブジェクト タイプを選択します。
      3. [使用可能なオブジェクト] リストからオブジェクトを選択し、[選択したオブジェクト] リストに移動します。
      たとえば、次の 2 つの状況では、「vNIC グループ」オブジェクト タイプを送信元として使用できます。
      NSX Edge によって生成されるすべてのトラフィックを選択する
      この場合、 [オブジェクト タイプ] ドロップダウン メニューから [vNIC グループ] を選択し、 [使用可能なオブジェクト] リストから [vse] を選択します。
      選択した NSX Edge の内部またはアップリンク(外部)インターフェイスから送信されるすべてのトラフィックを選択する
      この場合、 [オブジェクト タイプ] ドロップダウン メニューから [vNIC グループ] を選択し、 [使用可能なオブジェクト] リストから [内部] または [外部] を選択します。

      ルールは、Edge で追加のインターフェイスの設定時に自動的に更新されます。

      注意: 内部インターフェイスに定義したファイアウォール ルールは、分散論理ルーターでは機能しません。
    2. ファイアウォール ルールの送信元として使用する IP アドレスを入力します。
      カンマ区切りのリストを使用して複数の IP アドレスを入力することも、IP アドレスの範囲を入力することもできます。IPv4 および IPv6 アドレスの両方がサポートされています。
      • NSX 6.4.6 以降では、編集 をクリックします。[IP アドレス] タブをクリックして、[追加] をクリックし、IP アドレスを入力します。
      • NSX 6.4.5 以前の場合は、IP アドレス をクリックして IP アドレスを入力します。
    3. (オプション) ファイアウォール ルールで定義された送信元を無効にします。
      • [送信元の無効化] オプションを有効にするか選択した場合、このルールで定義されている送信元を除くすべての送信元から受信するトラフィックにルールが適用されます。
      • [送信元の無効化] オプションを無効にするか選択しなかった場合、このルールの送信元から受信するトラフィックにルールが適用されます。
  8. (オプション) ファイアウォール ルールの宛先を指定します。
    宛先として IP アドレス、vCenter Server オブジェクト、グループ オブジェクトを追加できます。宛先が追加されていない場合、宛先は「任意」に設定されます。複数の NSX Edge インターフェイスや IP アドレス グループをファイアウォール ルールの宛先として追加できます。

    ルールの宛先にオブジェクトと IP アドレスを追加する手順は、ルールの送信元を追加する手順と同じです。

    ヒント: NSX 6.4.6 以降では、 [送信元] 列から [宛先] 列にオブジェクトと IP アドレスをドラッグできます(その逆も可能)。また、1 つのルールから別のルールにオブジェクトと IP アドレスをドラッグすることもできます。
  9. (オプション) ファイアウォール ルールで使用するサービスを指定します。
    1. ファイアウォール ルールに 1 つ以上のサービスまたはサービス グループを追加します。
      ルールに事前定義されたサービスまたはサービス グループを追加することも、ルールで使用するサービスまたはサービス グループを新しく作成することもできます。 NSX Edge は、L3 プロトコルでのみ定義されたサービスをサポートします。
      NSX バージョン 手順
      6.4.6 以降
      1. 新しいルールの [サービス] 列をポイントし、編集 をクリックします。
      2. [サービス/サービスグループ] タブで、[オブジェクト タイプ] ドロップダウン メニューからサービスまたはサービス グループのいずれかを選択します。
      3. [使用可能なオブジェクト] リストからオブジェクトを選択し、[選択したオブジェクト] リストに移動します。
      6.4.5 以前
      1. 新しいルールの [サービス] 列をポイントし、編集 をクリックします。
      2. [オブジェクト タイプ] ドロップダウン メニューからサービスまたはサービス グループを選択します。
      3. [使用可能なオブジェクト] リストからオブジェクトを選択し、[選択したオブジェクト] リストに移動します。
      ヒント: NSX 6.4.6 以降では、1 つのユーザー定義ルールから別のユーザー定義ルールにサービスとサービス グループ オブジェクトをドラッグできます。
    2. ポート プロトコルの組み合わせとして 1 つ以上のサービスをファイアウォール ルールに追加します。
      制限: Edge ファイアウォールでは、SCTP (Stream Control Transmission Protocol) プロトコルはサポートされていません。
      NSX バージョン 手順
      6.4.6 以降
      1. 新しいルールの [サービス] 列をポイントし、編集 をクリックします。
      2. [Raw ポート/プロトコル] タブをクリックして、[追加] をクリックします。
      3. プロトコルを選択します。
      4. [送信元ポート] 列で、ポート番号を入力します。
      6.4.5 以前
      1. 新しいルールの [サービス] 列をポイントし、編集 をクリックします。
      2. プロトコルを選択します。
      3. [詳細オプション] を展開して、送信元ポート番号を入力します。
  10. ルールのアクションを指定します。
    • NSX 6.4.6 以降では、ドロップダウン メニューからアクションを選択します。
    • NSX 6.4.5 以前では、ルールの [アクション (Action)] 列をポイントし、編集 をクリックします。アクションを選択し、[OK] をクリックします。
    以下の表で、ルールのアクションを説明します。
    アクション 説明
    許可または承諾 指定した送信元、宛先、サービスで送受信されるトラフィックを許可します。デフォルトでは、アクションはトラフィックを許可するように設定されています。
    拒否またはブロック 指定した送信元、宛先、サービスで送受信されるトラフィックをブロックします。
    却下 許可されないパケットに対する拒否メッセージを送信します。
    • TCP 接続では、RST パケットが送信されます。
    • UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。
  11. (オプション) この新しいファイアウォール ルールに一致するセッションをログに記録する必要があるかどうかを指定します。
    デフォルトでは、ルールのログの収集は無効になっています。ログを有効にするとパフォーマンスに影響が出る場合があります。
    • NSX 6.4.6 以降でログを有効にするには、[ログ] 列の切り替えスイッチをクリックします。
    • NSX 6.4.5 以前では、新しいルールの [アクション] 列をポイントし、編集 をクリックします。[ログに記録] または [ログに記録しない] を選択します。
  12. (オプション) ファイアウォール ルールの詳細設定を指定します。
    • NSX 6.4.6 以降では、[詳細設定]詳細設定)アイコンをクリックします。
    • NSX 6.4.5 以前では、新しいルールの [アクション] 列をポイントし、編集 をクリックします。[詳細] オプションを展開します。
    以下の表で、詳細オプションを説明します。
    オプション 説明
    方向 受信トラフィック、送信トラフィック、あるいはその両方に両方にルールを適用するかどうかを選択します。デフォルト値は「受信/送信」で、これは、送信元と宛先の両方でルールが対称的に適用されることを意味します。

    「受信」または「送信」方向ではルールが非対称になる可能性があるため、ファイアウォール ルールの方向を指定することは推奨しません。

    たとえば、送信元 A から宛先 B へのトラフィックを「許可」するファイアウォール ルールを作成し、ルールの方向を「送信」に設定したとします。
    • A が B にパケットを送信すると、A でトラフィックの方向が「送信」に設定されているため、このルールに基づいて状態が作成されます。
    • B でパケットが受信されると、実際のトラフィックの方向は「受信」になります。ルールの方向が「送信トラフィック」のみを受け入れるように設定されているため、このルールは B が受信したこのパケットに適用されません。
    この例では、ルールで「送信」方向を設定すると、ルールが非対称になります。
    一致条件 このオプションを使用して、ファイアウォール ルールを適用する条件を指定します。
    • ネットワーク アドレス変換が実行される前に元の IP アドレスとサービスにルールを適用するには、[元データ] を選択します。
    • ネットワーク アドレス変換を実行した後で、変換後の IP アドレスとサービスにルールを適用するには、[変換] を選択します。
  13. [変更の発行 (Publish Changes)] をクリックして、新しいルールを NSX Edge に適用します。

例: サンプルのファイアウォール ルール

図 1. NSX Edge インターフェイスから HTTP サーバへ向かうトラフィックのためのファイアウォール ルール
ルールの送信元は、NSX Edge の vNIC インターフェイスです。ルールの宛先は HTTP サーバ グループです。サービスは TCP ポート 8080 です。
図 2. NSX Edge のすべての内部インターフェイス(内部インターフェイスに接続されているポートグループ上のサブネット)から HTTP サーバへ向かうトラフィックのためのファイアウォール ルール
ルールの送信元は、NSX Edge のすべての内部インターフェイスです。ルールの宛先は HTTP サーバ グループです。サービスは TCP ポート 8080 です。
図 3. 内部ネットワーク内のマシンへの SSH を許可するトラフィックのためのファイアウォール ルール
ルールの送信元は「任意」です。ルールの宛先は、内部ネットワーク上の仮想マシンです。サービスは TCP ポート 22 です。

次のタスク

Edge ファイアウォール ルールを操作するときに、ファイアウォール テーブルに追加タスクを実行できます。次はその例です。
  • テーブルのルール リストをフィルタリングします。たとえば、システムが生成したデフォルトのルールと内部ルールを非表示にしたり、Edge に適用された事前定義の分散ファイアウォール ルールを非表示にできます。
  • [検索] テキスト ボックスを使用して、特定の文字列に一致するルールを検索します。たとえば、文字列「133」を含むすべてのルールを検索する場合は、[検索] テキスト ボックスに 133 と入力します。
  • 発行済みルールの統計情報を表示します。
    • NSX 6.4.6 以降では、[統計情報]ルールの統計情報)アイコンをクリックします。
    • NSX 6.4.5 以前では、ファイアウォール テーブルに [統計] 列が表示されていることを確認します。[統計] 列が表示されない場合は、列の選択 をクリックして、[統計] 列を選択します。ルールの統計情報を表示するには、ルールの統計情報 をクリックします。
  • ユーザー定義のルールの順序を変更するには、[上へ移動]ルールを上へ移動 または ルールを上へ移動)、または [下へ移動]ルールを下へ移動 または ルールを下へ移動)アイコンをクリックします。NSX 6.4.6 以降では、ユーザー定義のルールをドラッグして順序を変更できます。ドラッグするユーザー定義ルールをポイントします。ルールの左側にドラッグ ハンドル(ルールをドラッグ)アイコンが表示されます。このハンドルをクリックしてドラッグし、ファイアウォール テーブル内の有効な場所にルールを移動します。
    重要: 自動生成された内部ルールとデフォルト ルールの順序は変更できません。
  • ルールを無効にします。
    • NSX 6.4.6 以降では、ルール名の左側にある切り替えスイッチをクリックします。
    • NSX 6.4.5 以前では、無効[番号 (No.)] 列)をクリックします。
  • ルールが発行されるまでは、ルールの変更を取り消したり、やり直したりできます。この機能は NSX 6.4.6 以降で使用可能です。ルールの公開後は、ルールの変更履歴が失われるため、変更を取り消したり、やり直すことはできません。