Tier-0 または Tier-1 論理ルーターにファイアウォール ルールを追加すると、ルーターへの通信を制御できます。

Edge ファイアウォールはアップリンク ルーター ポートに実装されます。つまり、トラフィックが Edge のアップリンク ルーター ポートに到達した場合にのみ、ファイアウォール ルールが適用されます。特定の宛先 IP にファイアウォール ルールを適用するには、/32 ネットワークを使用してグループを構成する必要があります。/32 以外のサブネットを指定すると、ファイアウォール ルールがサブネット全体に適用されます。

前提条件

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [ネットワーク] > [Tier-0 論理ルーター] または [ネットワーク] > [Tier-1 論理ルーター] の順に移動してルーターを特定します。
  3. 論理ルーターの名前をクリックします。
  4. [サービス] > [Edge ファイアウォール] の順に選択します。
  5. 既存のセクションまたはルールをクリックします。
  6. ルールを追加するには、メニュー バーで [ルールの追加] をクリックして、[ルールを上に追加] または [ルールを下に追加] を選択するか、ルールの最初の列のメニュー アイコンをクリックして [ルールを上に追加] または [ルールを下に追加] を選択します。さらにルール パラメータを指定します。
    このルールは論理ルーターにのみ適用されるため、[適用先] フィールドは表示されません。
  7. ルールを削除するには、ルールを選択して、メニュー バーの [削除] をクリックするか、最初の列のメニュー アイコンをクリックして、[削除] を選択します。

結果

注: Tier-0 論理ルーターにファイアウォール ルールを追加した場合、ルーターをバッキングしている NSX Edge クラスタがアクティブ/アクティブ モードで実行されていると、ファイアウォールはステートレス モードでのみ実行できます。HTTP、SSL、TCP などのステートフル サービスのファイアウォール ルールを構成すると、ファイアウォール ルールは意図したとおりに機能しません。この問題を回避するには、 NSX Edge クラスタがアクティブ/スタンバイ モードで実行されるように構成します。