ファイアウォール ルール セクションは独立して編集および保存され、個別のファイアウォール構成をテナントに適用するために使用されます。

前提条件

NSX Manager ユーザー インターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モード ボタンと [マネージャ] モード ボタンが表示されない場合は、ユーザー インターフェイスの設定を参照してください。

手順

  1. [セキュリティ] > [分散ファイアウォール] を選択します。
  2. レイヤー 3 (L3) ルールの場合には [全般] タブを、レイヤー 2 (L2) ルールの場合には、[イーサネット] タブをクリックします。
  3. 既存のセクションまたはルールをクリックします。
  4. メニュー バーのセクションのアイコンをクリックし、[セクションを上に追加] または [セクションを下に追加] を選択します。
    注: トラフィックがファイアウォールを通過しようとするとき、パケット情報は [ルール] テーブルに示されるルールに従います。ルールは、一番上から一番下のデフォルト ルールまで順番に適用されます。場合によっては、複数のルールがある場合にこの優先順位によって、パケット処理の決定に影響します。
  5. セクション名を入力します。
  6. ファイアウォールをステートレスにするには、[ステートレス ファイアウォールを有効にする] を選択します。このオプションは L3 の場合にのみ適用できます。
    ステートレス ファイアウォールはネットワーク トラフィックを監視し、ソースおよびターゲットのアドレスまたは他の固定値に基づいてパケットを制限またはブロックします。TCP と UDP のフローでファイアウォールの結果が ALLOW の場合、最初のパケットの後、いずれかの方向でトラフィック タプルにキャッシュが作成され、維持されます。つまり、トラフィックをファイアウォール ルールで確認する必要がなくなるため、遅延が短くなります。通常、ステートレス ファイアウォールはより高速で、トラフィックの負荷が高くなっても適切に動作します。

    ステートフル ファイアウォールはトラフィックの状況をエンドツーエンドで監視できます。状態とシーケンス番号を検証するため、すべてのパケットでファイアウォールが参照されます。ステートフル ファイアウォールは、承認されていない偽装された通信の特定に適しています。

    一度定義すると、ステートフルとステートレスを切り替えることはできません。
  7. セクションを適用する 1 つまたは複数のオブジェクトを選択します。
    オブジェクトのタイプは、論理ポート、論理スイッチ、NSGroup です。NSGroup を選択する場合、1 台以上の論理スイッチまたは論理ポートが含まれている必要があります。NSGroup に IP セットまたは MAC セットのみが含まれている場合は、無視されます。
    注: セクションとその中のルールの両方で [適用先] が NSGroup に設定されている場合、セクションの [適用先] により、そのセクション内にあるルールの [適用先] の設定がオーバーライドされます。これは、ファイアウォール セクション レベルの [適用先] が、ルール レベルの [適用先] よりも優先されるためです。
  8. [OK] をクリックします。

次のタスク

セクションにファイアウォール ルールを追加します。