NSX-T Data Center は、ファイアウォール ルールを使用してネットワークの送信受信トラフィックの処理方法指定します。

ファイアウォールには、レイヤー 3 ルール([全般] タブ)とレイヤー 2 ルール([イーサネット] タブ)という複数の設定ルール セットがあります。レイヤー 2 のファイアウォール ルールは、レイヤー 3 のルールの前に処理されます。ファイアウォールを適用しない論理スイッチ、論理ポート、またはグループを含む除外リストを設定できます。

ファイアウォール ルールは次のように適用されます。

  • ルールは上から順番に処理されます。
  • 各パケットがルール テーブルの一番上のルールに照らしてチェックされ、順にテーブルの下位のルールに照らしてチェックされます。
  • テーブル内のルールのうち、トラフィック パラメータと一致する最初のルールが適用されます。

パケットの検索はそこで終了するため、後続のルールを適用することはできません。このため、最も詳細なポリシーをルール テーブルの一番上に配置することが推奨されます。これにより、個別のルールの前に、詳細なポリシーが適用されるようになります。

デフォルトのルールは、ルール テーブルの一番下に置かれた catchall ルールです。他のどのルールにも一致しないパケットにはデフォルトのルールが適用されます。ホストの準備が完了すると、アクションを許可するデフォルト ルールが設定されます。これによって、仮想マシン間の通信がステージングや移行段階で切断されることがなくなります。次に、ベスト プラクティスとして、アクションをブロックしてポジティブ コントロール モデル(たとえば、ファイアウォール ルールに定義されたトラフィックのみがネットワークで許可される)によってアクセス コントロールを実行するようにこのデフォルト ルールを変更します。
注: TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。特定の分散ファイアウォール セクションで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このセクションの TCP ベースのルールに一致するパケットがドロップされます。Strict はステートフル TCP ルールにのみ適用され、分散ファイアウォール セクション レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。
表 1. ファイアウォール ルールのプロパティ
プロパティ 説明
名前 ファイアウォール ルールの名前。
ID 各ルールに対してシステムが生成した一意の ID。
送信元 ルールの送信元は、IP アドレスか MAC アドレス、または IP アドレス以外のオブジェクトのいずれかです。定義しない場合、送信元はすべてに一致します。送信元または宛先の範囲には IPv4 と IPv6 の両方がサポートされます。
宛先 ルールの影響を受ける接続の宛先の IP アドレスまたは MAC アドレス/ネットマスク。定義しない場合は、すべての宛先と一致します。送信元または宛先の範囲には IPv4 と IPv6 の両方がサポートされます。
サービス L3 の場合、サービスは定義済みのポート プロトコルの組み合わせになります。L2 の場合、サービスは ether-type になります。L2 と L3 のどちらの場合も、新しいサービスまたはサービス グループを手動で定義することができます。指定しない場合、サービスはすべてに一致します。
適用先 このルールを適用する範囲を定義します。定義しない場合、範囲はすべての論理ポートになります。セクションに [適用先] を追加した場合、ルールが上書きされます。
ログに記録 ログへの記録を有効または無効にすることができます。ログは ESX および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
アクション ルールによって適用されるアクションには、許可ドロップ、または 却下 があります。デフォルトは 許可 です。
IP プロトコル オプションは、IPv4IPv6、および IPv4_IPv6 です。デフォルトは IPv4_IPv6 です。このプロパティにアクセスするには、[詳細設定] アイコンをクリックします。
方向 オプションは、受信送信、および 受信/送信 です。デフォルトは 受信/送信 です。このフィールドは、宛先オブジェクトから見たトラフィックの方向を示します。受信 はオブジェクトへのトラフィックのみ、送信 はオブジェクトからのトラフィックのみ、受信/送信 は両方のトラフィックがチェックされることを意味します。このプロパティにアクセスするには、[詳細設定] アイコンをクリックします。
ルール タグ ルールに追加されているタグです。このプロパティにアクセスするには、[詳細設定] アイコンをクリックします。
フロー統計 バイト、パケット カウント、セッションを表示する読み取り専用フィールド。このプロパティにアクセスするには、グラフのアイコンをクリックします。
注: SpoofGuard が有効になっていない場合は、悪意のある仮想マシンが別の仮想マシンのアドレスを要求する可能性があるため、自動検出されたアドレス割り当ての信頼性は保証されません。SpoofGuard が有効な場合、検出された割り当てがすべて検証され、承認された割り当てのみが表示されます。