分散ファイアウォールは、仮想マシンですべての East-West トラフィックを監視します。

前提条件

Identity Firewall ルールを作成する場合はまず、Active Directory のメンバーを持つグループを作成します。IDFW でサポートされているプロトコルを表示するには、Identity Firewall でサポートされる構成を参照してください。

注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを [有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。

レイヤー 7 と ICMP の組み合わせ、または他のプロトコルを使用している場合は、レイヤー 7 ファイアウォール ルールを最後に設定する必要があります。レイヤー 7 any/any ルールより上のルールは実行されません。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. ナビゲーション パネルから [セキュリティ] > [分散ファイアウォール] の順に選択します。
  3. ウィンドウの右上にある [アクション] > [全般設定] の順に選択して、分散ファイアウォールの状態を切り替え、分散ファイアウォールを有効にします。[保存] をクリックします。
  4. 正しい事前定義済みカテゴリであることを確認し、[ポリシーの追加] をクリックします。カテゴリの詳細については、分散ファイアウォールを参照してください。
  5. [名前] に、新しいポリシー セクションを入力します。
  6. 次のポリシーを設定するには、歯車アイコンをクリックします。
    オプション 説明
    TCP Strict 3 ウェイ ハンドシェイク(SYN、SYN ACK、ACK)で TCP 接続が開始し、通常、2 方向の交換(FIN、ACK)で接続が終了します。特定の状況では、分散ファイアウォール(DFW)に特定のフローの 3 ウェイ ハンドシェイクが検証されない場合があります(トラフィックが非対称であったり、フローの存在中に分散ファイアウォールが有効になっている場合など)。デフォルトでは、分散ファイアウォールは 3 ウェイ ハンドシェイクを検証する必要がないため、すでに確立されているセッションをピックアップします。TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。

    特定の DFW ポリシーで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このセクションの TCP ベースのルールに一致するパケットはドロップします。Strict はステートフル TCP ルールにのみ適用され、分散ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。

    ステートフル ステートフル ファイアウォールは、アクティブな接続の状態を監視し、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
    ロック済み 複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。

    エンタープライズ管理者などの一部のロールにはフル アクセスの認証情報があるため、ロックアウトできません。ロールベースのアクセス コントロール を参照してください。

  7. [発行] をクリックします。複数のポリシーを追加し、まとめて一度に発行できます。
    新しいポリシーは画面に表示されます。
  8. ポリシーのセクションを選択し、[ルールの追加] をクリックします。
  9. ルールの名前を入力します。IPv4、IPv6、マルチキャスト アドレスがサポートされています。
  10. [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。Active Directory のメンバーを持つグループは、IDFW ルールの送信元フィールドに使用できます。詳細についてはグループの追加を参照してください。
  11. [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。詳細についてはグループの追加を参照してください。
  12. [サービス] 列で編集アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。
  13. イーサネット カテゴリにルールを追加する場合、[プロファイル] 列は使用できません。他のルール カテゴリの場合は、[プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[新しいコンテキスト プロファイルの追加] をクリックします。コンテキスト プロファイルの追加 を参照してください。
    コンテキスト プロファイルは、分散ファイアウォール ルールとゲートウェイ ファイアウォール ルールでレイヤー 7 アプリケーション ID 属性を使用します。サービスが [任意] に設定されたファイアウォール ルールには、複数のアプリケーション ID コンテキスト プロファイルを使用できます。ALG プロファイル(FTP または TFTP)の場合、1 つのルールでサポートされるコンテキスト プロファイルは 1 つだけです。
    IDS ルールを作成する場合、コンテキスト プロファイルはサポートされていません。
  14. [適用] をクリックして、ルールにコンテキスト プロファイルを適用します。
  15. デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。また、選択したグループにルールを適用することもできます。IPSet に基づくグループに [適用先] を使用することはできません。 [適用先] はルールあたりの適用スコープを定義します。また、ESXi および KVM ホストの最適化またはリソースに主に使用されます。特定のゾーンとテナントのターゲットとなるポリシーを定義するのに役立ち、その他のテナントとゾーンに定義されている他のポリシーに干渉することもありません。
  16. [アクション] 列で、アクションを選択します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびプロトコルを持つすべての L3 または L2 トラフィックが現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。
    ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
    却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットの却下は、送信者に対して宛先に到達できないというメッセージを送信するので、パケットを拒否する方法としてはより適切です。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。[却下] を使用するメリットの 1 つは、一度接続を試行するのみで、接続を確立できないことが、送信側のアプリケーションに通知されることです。
  17. 状態の切り替えボタンをクリックし、ルールを有効または無効にします。
  18. 歯車アイコンをクリックし、次のルールのオプションを設定します。
    オプション 説明
    ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
    方向 宛先オブジェクトから見たトラフィックの方向を示します。受信はオブジェクトへのトラフィックのみ、送信はオブジェクトからのトラフィックのみ、受信/送信は両方のトラフィックがチェックされることを意味します。
    IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
    ログ ラベル ここで入力した説明は、ホストのインターフェイスに表示されます。
  19. [発行] をクリックします。複数のルールを追加し、まとめて一度に発行できます。
  20. 各ルールで、[情報] アイコンをクリックして、ルール ID 番号とその適用場所を表示します。
    ルールを発行するまで、このアイコンはグレー表示になります。フィルタ アイコンをクリックしたときに、フィルタ条件を満たすポリシーとルールのみが表示されるように、ルール ID を指定することもできます。
  21. セキュリティ ポリシー レベルで認識の状態 API が強化され、認識の状態の追加情報が提供されます。これを実現するには、intent_path と一緒にクエリ パラメータ include_enforced_status=true を指定します。次の API 呼び出しを実行します。

    GET https//<nsx>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/security-policies/<security-policy-id>&include_enforced_status=true