ゲートウェイ ファイアウォール ルールを実装するには、事前に定義されたカテゴリに属するファイアウォール ポリシー セクションにこれらのルールを追加します。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [セキュリティ] > [North-South のセキュリティ] > [ゲートウェイ ファイアウォール] の順に選択します。
  3. ゲートウェイ ファイアウォールを有効にするには、[アクション] > [全般設定] の順に選択し、状態ボタンを切り替えます。[保存] をクリックします。
  4. [ポリシーの追加] をクリックします。カテゴリの詳細については、ゲートウェイ ファイアウォールを参照してください。
  5. 新しいポリシー セクションの [名前] を入力します。
  6. ポリシーの [宛先] を選択します。
  7. 歯車アイコンをクリックし、次のポリシーを設定します。
    設定 説明
    TCP Strict 3 ウェイ ハンドシェイク(SYN、SYN ACK、ACK)で TCP 接続が開始し、通常、2 方向の交換(FIN、ACK)で接続が終了します。特定の状況では、ファイアウォールに特定のフローの 3 ウェイ ハンドシェイクが検証されない場合があります(たとえば、トラフィックが非対称になっている場合など)。デフォルトでは、ファイアウォールは 3 ウェイ ハンドシェイクを検証する必要がないため、すでに確立されているセッションをピックアップします。TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。特定のファイアウォール ポリシーで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このポリシー セクションの TCP ベースのルールに一致するパケットがドロップされます。Strict はステートフル TCP ルールにのみ適用され、ゲートウェイ ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。
    ステートフル ステートフル ファイアウォールは、アクティブな接続の状態を監視し、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
    ロック済み 複数のユーザーが同じセクションに変更を加えることを防ぐため、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。
  8. [発行] をクリックします。複数のポリシーを追加し、まとめて一度に発行できます。
    新しいポリシーは画面に表示されます。
  9. ポリシーのセクションを選択し、[ルールの追加] をクリックします。
  10. ルールの名前を入力します。IPv4、IPv6、マルチキャスト アドレスがサポートされています。
  11. [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。詳細についてはグループの追加を参照してください。
  12. [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。詳細についてはグループの追加を参照してください。
  13. [サービス] 列で鉛筆アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。
  14. [プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[新しいコンテキスト プロファイルの追加] をクリックします。コンテキスト プロファイルの追加 を参照してください。
    ゲートウェイ ファイアウォール ルールは、FQDN 属性を持つコンテキスト プロファイルをサポートしていません。コンテキスト プロファイルは、分散ファイアウォール ルールとゲートウェイ ファイアウォール ルールでレイヤー 7 アプリケーション ID 属性を使用します。サービスが [任意] に設定されたファイアウォール ルールには、複数のアプリケーション ID コンテキスト プロファイルを使用できます。ALG プロファイル(FTP または TFTP)の場合、1 つのルールでサポートされるコンテキスト プロファイルは 1 つだけです。
  15. [適用] をクリックします。
  16. [適用先] 列はルールあたりの適用範囲を定義し、主に ESXi および KVM でリソースを最適化するために使用されます。他のテナントやゾーンに対して定義されたポリシーと矛盾することなく、特定のテナントやゾーンを対象とするポリシーを定義できます。この列で論理ルーター(Tier-0 や Tier-1)、または論理ルーターやルート ベース VPN セッションのインターフェイスを選択できます。
  17. [アクション] 列で、アクションを選択します。
    オプション 説明
    許可 指定された送信元、宛先、およびプロトコルを持つすべてのトラフィックに、現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。
    ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
    却下

    指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットが却下されると、宛先到達不能のメッセージが送信者に送信されます。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。接続が確立できない場合、送信元のアプリケーションに通知されます。

  18. 状態の切り替えボタンをクリックし、ルールを有効または無効にします。
  19. 歯車アイコンをクリックして、ログ作成、方向、IP プロトコル、タグ、およびメモを設定します。
    オプション 説明
    ログの記録 ログへの記録を有効または無効にすることができます。ログは、Edge の /var/log/syslog に保存されます。
    方向 オプションは、受信送信、および 受信/送信 です。デフォルトは 受信/送信 です。このフィールドは、宛先オブジェクトから見たトラフィックの方向を示します。受信 はオブジェクトへのトラフィックのみ、送信 はオブジェクトからのトラフィックのみ、受信/送信 は両方のトラフィックがチェックされることを意味します。
    IP プロトコル オプションは、IPv4IPv6、および IPv4_IPv6 です。デフォルトは IPv4_IPv6 です。
    タグ ルールに追加されているタグです。
    注: グラフ アイコンをクリックして、ファイアウォール ルールのフロー統計を表示します。バイト数、パケット数、セッション数などの情報を表示できます。
  20. [発行] をクリックします。複数のルールを追加し、まとめて一度に発行できます。
  21. 各ポリシー セクションで [情報] アイコンをクリックし、Edge ノードにプッシュした Edge ファイアウォール ルールの現在の状態を確認します。ルールが Edge ノードにプッシュされたときに生成されたすべてのアラームも表示されます。
  22. Edge ノードに適用されるポリシー ルールの統合の状態を表示するには、API 呼び出しを行います。
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true