ファイアウォールは、事前に定義したファイアウォール ルールに基づいて受信および送信ネットワークのトラフィックをモニターおよび制御するネットワーク セキュリティ システムです。
ファイアウォール ルールは NSX Manager のスコープで追加されます。その後、[適用先] フィールドを使用して、ルールを適用するスコープを絞り込むことができます。各ルールの送信元と宛先に複数のオブジェクトを追加することで、追加するファイアウォール ルールの総数を減らすことができます。
注: デフォルトでは、ルールは任意の送信元、宛先およびサービス ルール要素のデフォルトで一致し、すべてのインターフェイスおよびトラフィックの方向に一致します。ルールの影響を特定のインターフェイスまたはトラフィック方向に制限する場合は、ルール内で制限を指定する必要があります。
前提条件
-
アドレスのグループを使用するには、最初に各仮想マシンの IP アドレスおよび MAC アドレスを論理スイッチに手動で関連付けます。
-
NSX Manager ユーザー インターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モード ボタンと [マネージャ] モード ボタンが表示されない場合は、ユーザー インターフェイスの設定を参照してください。
手順
- を選択します。
- L3 ルールの場合には [全般] タブを、L2 ルールの場合には、[イーサネット] タブをクリックします。
- 既存のセクションまたはルールをクリックします。
- ルールの最初の列のメニュー アイコンをクリックし、[ルールを上に追加] または [ルールを下に追加] を選択します。
ファイアウォール ルールを定義する新しい列が表示されます。
注: トラフィックがファイアウォールを通過しようとするとき、パケット情報は [ルール] テーブルに示されるルールに従います。ルールは、一番上から一番下のデフォルト ルールまで順番に適用されます。場合によっては、複数のルールがある場合にこの優先順位によって、パケット処理の決定に影響します。
- [名前] 列で、ルール名を入力します。
- [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。定義しない場合、送信元はすべてに一致します。
オプション |
説明 |
IP アドレス |
複数の IP アドレスまたは MAC アドレスをコンマ区切りのリストで入力します。リストの長さは、最大 255 文字です。IPv4 と IPv6 形式の両方がサポートされています。 |
コンテナ オブジェクト |
使用可能なオブジェクトは、IP セット、論理ポート、論理スイッチ、および NS グループです。オブジェクトを選択し、[OK] をクリックします。 |
- [宛先] 列で編集アイコンをクリックし、宛先を選択します。定義しない場合は、すべての宛先と一致します。
オプション |
説明 |
IP アドレス |
複数の IP アドレスまたは MAC アドレスをコンマ区切りのリストで入力できます。リストの長さは、最大 255 文字です。IPv4 と IPv6 形式の両方がサポートされています。 |
コンテナ オブジェクト |
使用可能なオブジェクトは、IP セット、論理ポート、論理スイッチ、および NS グループです。オブジェクトを選択し、[OK] をクリックします。 |
- [サービス] 列で編集アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。
- 事前定義済みサービスを選択するには、利用可能なサービスから 1 つ選択します。
- 新しいサービスを定義するには、[Raw ポート/プロトコル] タブをクリックし、[追加] をクリックします。
オプション |
説明 |
サービスのタイプ |
- ALG
- ICMP
- IGMP
- IP アドレス
- L4 ポート セット
|
プロトコル |
利用可能なプロトコルの 1 つを選択します。 |
送信元ポート |
送信元ポートを入力します。 |
宛先ポート |
宛先ポートを入力します。 |
- [適用先] 列で編集アイコンをクリックし、オブジェクトを選択します。
- [ログ] 列で、ログの記録オプションを設定します。
ログは ESXi および KVM ホストの
/var/log/dfwpktlogs.log ファイルに保存されます。ログの記録を有効にするとパフォーマンスに影響が出る場合があります。
- [アクション] 列で、アクションを選択します。
オプション |
説明 |
許可 |
指定されたソース、ターゲット、およびプロトコルを持つすべての L3 または L2 トラフィックが現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します |
ドロップ |
指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。 |
却下 |
指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットの却下は、送信者に対して宛先に到達できないというメッセージを送信するので、パケットを拒否する方法としてはより適切です。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。[却下] を使用するメリットの 1 つは、一度接続を試行するのみで、接続を確立できないことが、送信側のアプリケーションに通知されることです。 |
- [詳細設定] アイコンをクリックして、IP プロトコル、方向、ルール タグ、コメントを指定します。
- [公開] をクリックします。