ゲートウェイ ファイアウォール ルールを実装するには、事前に定義されたカテゴリに属するファイアウォール ポリシー セクションにこれらのルールを追加します。
手順
- ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
- [セキュリティ] > [North-South のセキュリティ] > [ゲートウェイ ファイアウォール] の順に選択します。
- ゲートウェイ ファイアウォールを有効にするには、[アクション] > [全般設定] の順に選択し、状態ボタンを切り替えます。[保存] をクリックします。
- [ポリシーの追加] をクリックします。カテゴリの詳細については、ゲートウェイ ファイアウォールを参照してください。
- 新しいポリシー セクションの [名前] を入力します。
- ポリシーの [宛先] を選択します。
- 歯車アイコンをクリックし、次のポリシーを構成します。
設定 説明 TCP Strict 3 ウェイ ハンドシェイク(SYN、SYN ACK、ACK)で TCP 接続が開始し、通常、2 方向の交換(FIN、ACK)で接続が終了します。特定の状況では、ファイアウォールに特定のフローの 3 ウェイ ハンドシェイクが検証されない場合があります(たとえば、トラフィックが非対称になっている場合など)。デフォルトでは、ファイアウォールは 3 ウェイ ハンドシェイクを検証する必要がないため、すでに確立されているセッションをピックアップします。TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。特定のファイアウォール ポリシーで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このポリシー セクションの TCP ベースのルールに一致するパケットがドロップされます。Strict はステートフル TCP ルールにのみ適用され、ゲートウェイ ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。 ステートフル ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。 ロック済み 複数のユーザーが同じセクションに変更を加えることを防ぐため、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。 - [公開] をクリックします。複数のポリシーを追加し、まとめて一度に公開できます。
新しいポリシーは画面に表示されます。
- ポリシーのセクションを選択し、[ルールの追加] をクリックします。
- ルールの名前を入力します。IPv4、IPv6、マルチキャスト アドレスがサポートされています。
- [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。詳細についてはグループの追加を参照してください。
- [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。詳細についてはグループの追加を参照してください。
- [サービス] 列で鉛筆アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。
- [プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[新しいコンテキスト プロファイルの追加] をクリックします。コンテキスト プロファイル を参照してください。
- コンテキスト プロファイルは、Tier-0 ゲートウェイ ファイアウォール ポリシーでサポートされていません。
- ゲートウェイ ファイアウォール ルールでは、FQDN 属性または他のサブ属性を含むコンテキスト プロファイルはサポートされません。
- [適用] をクリックします。
- [適用先] 列には、ルールごとの適用範囲を定義します。これにより、ユーザーは、1 つ以上のアップリンク インターフェイスまたはサービス インターフェイスにルールを選択的に適用できます。デフォルトでは、ゲートウェイ ファイアウォール ルールは、選択したゲートウェイで使用可能なすべてのアップリンク インターフェイスとサービス インターフェイスに適用されます。
- [アクション] 列で、アクションを選択します。
オプション 説明 許可 指定された送信元、宛先、およびプロトコルを持つすべてのトラフィックに、現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。 ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。 却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットが却下されると、宛先到達不能のメッセージが送信者に送信されます。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。接続が確立できない場合、送信元のアプリケーションに通知されます。
- 状態の切り替えボタンをクリックし、ルールを有効または無効にします。
- 歯車アイコンをクリックして、ログ作成、方向、IP プロトコル、コメントを設定します。
オプション 説明 ログの記録 ログへの記録を有効または無効にすることができます。ログは、Edge の /var/log/syslog に保存されます。 方向 オプションは、受信、送信、および 受信/送信 です。デフォルトは 受信/送信 です。このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信 はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信 はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信 は両方のトラフィックがチェックされることを意味します。 IP プロトコル オプションは、IPv4、IPv6、および IPv4_IPv6 です。デフォルトは IPv4_IPv6 です。 注: グラフ アイコンをクリックして、ファイアウォール ルールのフロー統計を表示します。バイト数、パケット数、セッション数などの情報を表示できます。 - [公開] をクリックします。複数のルールを追加し、まとめて一度に公開できます。
- 各ポリシー セクションで [情報] アイコンをクリックし、Edge ノードにプッシュした Edge ファイアウォール ルールの現在の状態を確認します。ルールが Edge ノードにプッシュされたときに生成されたすべてのアラームも表示されます。
- Edge ノードに適用されるポリシー ルールの統合の状態を表示するには、API 呼び出しを行います。
GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true