NSX-T Data Center は、ファイアウォール ルールを使用してネットワークの送受信トラフィックの処理方法指定します。
ファイアウォールには、レイヤー 3 ルール([全般] タブ)とレイヤー 2 ルール([イーサネット] タブ)という複数の構成ルール セットがあります。レイヤー 2 ファイアウォール ルールはレイヤー 3 ルールの前に処理され、レイヤー 2 ルールで許可されている場合は、レイヤー 3 ルールによって処理されます。ファイアウォールを適用しない論理スイッチ、論理ポート、またはグループを含む除外リストを構成できます。
ファイアウォール ルールは次のように適用されます。
- ルールは上から順番に処理されます。
- 各パケットはルール テーブルの一番上のルールと照合され、順にテーブルの下位のルールと照合されます。
- テーブル内のルールのうち、トラフィック パラメータと一致する最初のルールが適用されます。
パケットの検索はそこで終了するため、後続のルールを適用することはできません。このため、最も詳細なポリシーをルール テーブルの一番上に配置することが推奨されます。これにより、個別のルールの前に、詳細なポリシーが適用されるようになります。
デフォルトのルールは、ルール テーブルの一番下に置かれた catchall ルールです。他のどのルールにも一致しないパケットにはデフォルトのルールが適用されます。ホストの準備が完了すると、アクションを許可するデフォルト ルールが設定されます。これによって、仮想マシン間の通信がステージングや移行段階で切断されることがなくなります。次に、ベスト プラクティスとして、アクションをブロックしてポジティブ コントロール モデル(たとえば、ファイアウォール ルールに定義されたトラフィックのみがネットワークで許可される)によってアクセス コントロールを実行するようにこのデフォルト ルールを変更します。
注: TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。特定の分散ファイアウォール セクションで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このセクションの TCP ベースのルールに一致するパケットがドロップされます。Strict はステートフル TCP ルールにのみ適用され、分散ファイアウォール セクション レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。
プロパティ | 説明 |
---|---|
名前 | ファイアウォール ルールの名前。 |
ID | 各ルールに対してシステムが生成した一意の ID。 |
送信元 | ルールの送信元は、IP アドレスか MAC アドレス、または IP アドレス以外のオブジェクトのいずれかです。定義しない場合、送信元はすべてに一致します。送信元または宛先の範囲には IPv4 と IPv6 の両方がサポートされます。 |
宛先 | ルールの影響を受ける接続の宛先の IP アドレスまたは MAC アドレス/ネットマスク。定義しない場合は、すべての宛先と一致します。送信元または宛先の範囲には IPv4 と IPv6 の両方がサポートされます。 |
サービス | L3 の場合、サービスは定義済みのポート プロトコルの組み合わせになります。L2 の場合、サービスは ether-type になります。L2 と L3 のどちらの場合も、新しいサービスまたはサービス グループを手動で定義することができます。指定しない場合、サービスはすべてに一致します。 |
適用先 | このルールを適用する範囲を定義します。定義しない場合、範囲はすべての論理ポートになります。セクションに [適用先] を追加した場合、ルールが上書きされます。 |
ログに記録 | ログへの記録を有効または無効にすることができます。ログは ESX および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。 |
アクション | ルールによって適用されるアクションには、許可、ドロップ、または 却下 があります。デフォルトは 許可 です。 |
IP プロトコル | オプションは、IPv4、IPv6、および IPv4_IPv6 です。デフォルトは IPv4_IPv6 です。このプロパティにアクセスするには、[詳細設定] アイコンをクリックします。 |
方向 | オプションは、受信、送信、および 受信/送信 です。デフォルトは 受信/送信 です。このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信 はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信 はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信 は両方のトラフィックがチェックされることを意味します。このプロパティにアクセスするには、[詳細設定] アイコンをクリックします。 |
ルール タグ | ルールに追加されているタグです。このプロパティにアクセスするには、[詳細設定] アイコンをクリックします。 |
フロー統計 | バイト、パケット カウント、セッションを表示する読み取り専用フィールド。このプロパティにアクセスするには、グラフのアイコンをクリックします。 |
注: SpoofGuard が有効になっていない場合は、悪意のある仮想マシンが別の仮想マシンのアドレスを要求する可能性があるため、自動検出されたアドレス割り当ての信頼性は保証されません。SpoofGuard が有効な場合、検出された割り当てがすべて検証され、承認された割り当てのみが表示されます。