グローバル マネージャ から、ゲートウェイ ファイアウォール ポリシーとルールを作成し、複数の場所に適用できます。また、特定の場所に選択されたインターフェイスに適用することもできます。
グローバル マネージャから作成された Tier-0 または Tier-1 ゲートウェイは、すべてまたは一部のロケーションにまたがります。グローバル マネージャから作成したゲートウェイ ファイアウォール ルールを適用する場合、いくつかのオプションがあります。ゲートウェイ ファイアウォール ルールは、ゲートウェイのスパンに含まれるすべての場所、特定の場所のすべてのインターフェイス、または 1 つ以上の場所の特定のインターフェイスに適用できます。
ローカル マネージャでは、次の順序でルールが適用されます。- グローバル マネージャから作成したルールがローカル マネージャで正常に認識された場合、このルールが最初に適用されます。
- ローカル マネージャから作成したルールがその次に適用されます。
- 最後に、デフォルト ゲートウェイのファイアウォール ルールが適用されます。これは、すべての場所とワークロードに適用可能な allow-all または deny-all ルールです。このデフォルト ルールの動作はグローバル マネージャで編集できます。
手順
- ブラウザから、グローバル マネージャ (https://<global-manager-ip-address>) にエンタープライズ管理者またはセキュリティ管理者の権限でログインします。
- [セキュリティ] > [ゲートウェイ ファイアウォール] の順に選択します。
- 正しい事前定義済みカテゴリであることを確認します。グローバル マネージャでサポートされているカテゴリは、[事前ルール]、[ローカル ゲートウェイ]、[デフォルト] です。[ローカル ゲートウェイ] カテゴリにポリシーを定義するには、[すべての共有ルール] タブでカテゴリ名をクリックするか、[ゲートウェイ固有のルール] タブを直接クリックします。
[ゲートウェイ] の横にあるドロップダウン メニューから、Tier-0 または Tier-1 ゲートウェイを選択します。選択した Tier-0 または Tier-1 ゲートウェイのスパンが、ゲートウェイ ファイアウォール ポリシーとルールのデフォルトのスパンになります。スパンの縮小はできますが、拡張はできません。
- [ポリシーの追加] をクリックします。
- 新しいポリシー セクションの [名前] を入力します。
- (オプション) 歯車アイコンをクリックし、次のポリシーを構成します。
設定 説明 TCP Strict 3 ウェイ ハンドシェイク(SYN、SYN ACK、ACK)で TCP 接続が開始し、通常、2 方向の交換(FIN、ACK)で接続が終了します。特定の状況では、ファイアウォールに特定のフローの 3 ウェイ ハンドシェイクが検証されない場合があります(たとえば、トラフィックが非対称になっている場合など)。デフォルトでは、ファイアウォールは 3 ウェイ ハンドシェイクを検証する必要がないため、すでに確立されているセッションをピックアップします。TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。特定のファイアウォール ポリシーで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このポリシー セクションの TCP ベースのルールに一致するパケットがドロップされます。Strict はステートフル TCP ルールにのみ適用され、ゲートウェイ ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。 ステートフル ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。 ロック済み 複数のユーザーが同じセクションに変更を加えることを防ぐため、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。 - [公開] をクリックします。複数のポリシーを追加し、まとめて一度に公開できます。
新しいポリシーは画面に表示されます。
- ポリシーのセクションを選択し、[ルールの追加] をクリックします。
- ルールの名前を入力します。
- [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。送信元グループには、ゲートウェイと同じスパンまたはそのサブセットが必要です。
- [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。宛先グループには、ゲートウェイと同じスパンまたはそのサブセットが必要です。
- [サービス] 列で鉛筆アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。[適用] をクリックして保存します。
- [プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[新しいコンテキスト プロファイルの追加] をクリックします。コンテキスト プロファイルを参照してください。
注: Tier-0 ゲートウェイにコンテキスト プロファイルは使用できません。L7 コンテキスト プロファイルを Tier-1 ゲートウェイに適用できます。
- [適用先] 列で鉛筆のアイコンをクリックします。[適用先] ダイアログ ボックス:
適用先 での選択 結果 [ゲートウェイにルールを適用] を選択する ゲートウェイ ファイアウォール ルールは、ゲートウェイのスパンに含まれるすべての場所に適用されます。ゲートウェイに別の場所を追加すると、このゲートウェイ ファイアウォール ルールが自動的にその場所に適用されます。 場所を選択してから、[すべてのエンティティにルールを適用] を選択する 選択した場所のすべてのインターフェイスにこのルールを適用します。 場所を選択して、その場所からインターフェイスを選択する 1 つ以上の場所で、選択したインターフェイスにのみルールを適用します。 注: [適用先] にデフォルトの選択はありません。このルールを公開するには、選択を行う必要があります。 - [アクション] 列で、アクションを選択します。
オプション 説明 許可 指定された送信元、宛先、およびプロトコルを持つすべてのトラフィックに、現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。 ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。 却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットが却下されると、宛先到達不能のメッセージが送信者に送信されます。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。接続が確立できない場合、送信元のアプリケーションに通知されます。
- 状態の切り替えボタンをクリックし、ルールを有効または無効にします。
- 歯車アイコンをクリックして、ログ作成、方向、IP プロトコル、タグ、およびメモを設定します。
オプション 説明 ログの記録 ログへの記録を有効または無効にすることができます。ログにアクセスするには、NSX Edge で次の NSX CLI コマンドを使用します。 get log-file syslog | find datapathd.firewallpkt
外部の Syslog サーバにログを送信することもできます。方向 オプションは、受信、送信、および 受信/送信 です。デフォルトは 受信/送信 です。このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信 はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信 はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信 は両方のトラフィックがチェックされることを意味します。 IP プロトコル オプションは、IPv4、IPv6、および IPv4_IPv6 です。デフォルトは IPv4_IPv6 です。 ログ ラベル ルールに追加されているログ ラベルです。 注: グラフ アイコンをクリックして、ファイアウォール ルールのフロー統計を表示します。バイト数、パケット数、セッション数などの情報を表示できます。 - [公開] をクリックします。複数のルールを追加し、まとめて一度に公開できます。
- [状態を確認] をクリックして、さまざまな場所の Edge ノードを介してゲートウェイに適用されるポリシーの認識状態を表示します。[成功] または [失敗] をクリックすると、ポリシーの状態ウィンドウを開くことができます。