分散ファイアウォールは、仮想マシンですべての East-West トラフィックをモニターします。

前提条件

DFW で保護するには、仮想マシンの vNIC が NSX オーバーレイまたは VLAN セグメントに接続している必要があります。

Identity Firewall ルールを作成する場合はまず、Active Directory のメンバーを持つグループを作成します。IDFW でサポートされているプロトコルを表示するには、 Identity Firewall でサポートされる構成を参照してください。
注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを [有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。

レイヤー 7 と ICMP の組み合わせ、または他のプロトコルを使用している場合は、レイヤー 7 ファイアウォール ルールを最後に設定する必要があります。レイヤー 7 any/any ルールの後にあるルールは実行されません。

分散ファイアウォール ポリシーとルールの作成に関するフェデレーション固有の詳細については、グローバル マネージャ からの DFW ポリシーとルールの作成を参照してください。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. ナビゲーション パネルから [セキュリティ] > [分散ファイアウォール] の順に選択します。
  3. 正しい事前定義済みカテゴリであることを確認し、[ポリシーの追加] をクリックします。カテゴリの詳細については、分散ファイアウォールを参照してください。
  4. [名前] に、新しいポリシー セクションを入力します。
  5. (オプション) [適用先] で、選択したグループにポリシー内のルールを適用します。デフォルトで、ポリシーの [適用先] フィールドは分散ファイアウォールに設定されており、ポリシー ルールはすべてのワークロードに適用されます。デフォルトを変更するときに、ポリシーとポリシー内のルールの [適用先][グループ] に設定されている場合、ポリシー レベルの [適用先] は、ルール レベルの [適用先] よりも優先されます。
    注: IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。

    [適用先] はポリシーあたりの適用範囲を定義します。また、ESXi および KVM ホストのリソースの最適化に主に使用されます。特定のゾーン、テナント、またはアプリケーションのターゲットとなるポリシーを定義するのに役立ち、その他のアプリケーション、テナント、およびゾーンに定義されている他のポリシーに干渉することもありません。

  6. (オプション) 次のポリシーを構成するには、歯車アイコンをクリックします。
    オプション 説明
    TCP Strict 3 ウェイ ハンドシェイク(SYN、SYN ACK、ACK)で TCP 接続が開始し、通常、2 方向の交換(FIN、ACK)で接続が終了します。特定の状況では、分散ファイアウォール(DFW)に特定のフローの 3 ウェイ ハンドシェイクが検証されない場合があります(トラフィックが非対称であったり、フローの存在中に分散ファイアウォールが有効になっている場合など)。デフォルトでは、分散ファイアウォールは 3 ウェイ ハンドシェイクを検証する必要がないため、すでに確立されているセッションをピックアップします。TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。

    特定の DFW ポリシーで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このセクションの TCP ベースのルールに一致するパケットはドロップします。Strict はステートフル TCP ルールにのみ適用され、分散ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。

    ステートフル ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
    ロック済み 複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。

    エンタープライズ管理者などの一部のロールにはフル アクセスの認証情報があるため、ロックアウトできません。ロールベースのアクセス コントロール を参照してください。

  7. [公開] をクリックします。複数のポリシーを追加し、まとめて一度に公開できます。
    新しいポリシーは画面に表示されます。
  8. ポリシー セクションを選択して [ルールを追加] をクリックし、ルール名を入力します。
  9. [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。Active Directory のメンバーを持つグループは、IDFW ルールの [送信元] テキストボックスで使用できます。詳細についてはグループの追加を参照してください。
    IPv4、IPv6、マルチキャスト アドレスがサポートされています。

    注:IPv6 ファイアウォールでは、接続されたセグメントで IPv6 に対して IP 検出を有効にする必要があります。詳細については、IP アドレス検出セグメント プロファイルの理解を参照してください。

  10. [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。詳細についてはグループの追加を参照してください。
    IPv4、IPv6、マルチキャスト アドレスがサポートされています。
  11. [サービス] 列で編集アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、[すべて] と一致します。
  12. イーサネット カテゴリにルールを追加する場合、[プロファイル] 列は使用できません。他のルール カテゴリの場合は、[プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[新しいコンテキスト プロファイルの追加] をクリックします。コンテキスト プロファイル を参照してください。
    コンテキスト プロファイルは、分散ファイアウォール ルールとゲートウェイ ファイアウォール ルールでレイヤー 7 アプリケーション ID 属性を使用します。サービスが [任意] に設定されたファイアウォール ルールには、複数のアプリケーション ID コンテキスト プロファイルを使用できます。ALG プロファイル(FTP または TFTP)の場合、1 つのルールでサポートされるコンテキスト プロファイルは 1 つだけです。
    IDS ルールを作成する場合、コンテキスト プロファイルはサポートされていません。
  13. [適用] をクリックして、ルールにコンテキスト プロファイルを適用します。
  14. [適用先] で、選択したグループにルールを適用します。デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。ポリシーとポリシー内のルールの [適用先] がグループに適用されている場合、ポリシー レベルの [適用先] は、ルール レベルの [適用先] よりも優先されます。
    注: IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。
  15. [アクション] 列で、アクションを選択します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびプロトコルを持つすべての L3 または L2 トラフィックが現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。
    ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
    却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットの却下は、送信者に対して宛先に到達できないというメッセージを送信するので、パケットを拒否する方法としてはより適切です。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。[却下] を使用するメリットの 1 つは、一度接続を試行するのみで、接続を確立できないことが、送信側のアプリケーションに通知されることです。
    アプリケーションにジャンプ
    注: このアクションは、環境カテゴリでのみ使用できます。

    アプリケーション カテゴリ ルールを適用するために、環境カテゴリ ルールに一致するトラフィックを続行できるようにします。このアクションは、環境カテゴリ ルールと一致したトラフィックを終了し、アプリケーション カテゴリ ルールを適用する場合に使用します。

    たとえば、環境カテゴリ ルールで特定の送信元に許可アクションが設定され、アプリケーション カテゴリ ルールで同じ送信元にドロップ アクションが設定されているとします。この場合、環境カテゴリに一致するパケットは許可されてファイアウォールを通過し、それ以降のルールは適用されなくなります。[アプリケーションにジャンプ] アクションを選択した場合、環境カテゴリ ルールと一致したパケットはアプリケーション カテゴリ ルールと照合され、結果としてドロップされます。

  16. 状態の切り替えボタンをクリックし、ルールを有効または無効にします。
  17. 歯車アイコンをクリックし、次のルールのオプションを構成します。
    オプション 説明
    ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
    方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信は両方のトラフィックがチェックされることを意味します。
    IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
    ログ ラベル

    ログを有効にすると、ログ ラベルがファイアウォール ログに記録されます。長いラベルを入力することもできますが、サポートされるのは、生成されたログの最初の 31 文字のみです。

  18. [公開] をクリックします。複数のルールを追加し、まとめて一度に公開できます。
  19. データ パスの認識状態とトランスポート ノードの詳細がポリシー テーブルの右側に表示されます。