マネージャモードでの論理ルーターへのファイアウォールルールの追加または削除

Tier-0 または Tier-1 論理ルーターにファイアウォールルールを追加すると、ルーターへの通信を制御できます。

Edge ファイアウォールはアップリンクルーターポートに実装されます。つまり、トラフィックが Edge のアップリンクルーターポートに到達した場合にのみ、ファイアウォールルールが適用されます。特定の宛先 IP にファイアウォールルールを適用するには、/32 ネットワークを使用してグループを構成する必要があります。/32 以外のサブネットを指定すると、ファイアウォールルールがサブネット全体に適用されます。

前提条件

ファイアウォールルールのパラメータを確認します。マネージャモードでのファイアウォールルールの追加を参照してください。
NSX Manager ユーザーインターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モードボタンと [マネージャ] モードボタンが表示されない場合は、ユーザーインターフェイスの設定を参照してください。

手順

ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
[ネットワーク] > [Tier-0 論理ルーター] または [ネットワーク] > [Tier-1 論理ルーター] の順に移動してルーターを特定します。
論理ルーターの名前をクリックします。
[サービス] > [Edge ファイアウォール] の順に選択します。
既存のセクションまたはルールをクリックします。
ルールを追加するには、メニューバーで [ルールの追加] をクリックして、[ルールを上に追加] または [ルールを下に追加] を選択するか、ルールの最初の列のメニューアイコンをクリックして [ルールを上に追加] または [ルールを下に追加] を選択します。さらにルールパラメータを指定します。
このルールは論理ルーターにのみ適用されるため、[適用先] フィールドは表示されません。
ルールを削除するには、ルールを選択して、メニューバーの [削除] をクリックするか、最初の列のメニューアイコンをクリックして、[削除] を選択します。

結果

注： Tier-0 論理ルーターにファイアウォールルールを追加した場合、ルーターをバッキングしている NSX Edge クラスタがアクティブ/アクティブモードで実行されていると、ファイアウォールはステートレスモードでのみ実行できます。HTTP、SSL、TCP などのステートフルサービスのファイアウォールルールを構成すると、ファイアウォールルールは意図したとおりに機能しません。この問題を回避するには、 NSX Edge クラスタがアクティブ/スタンバイモードで実行されるように構成します。