分散ファイアウォールは、仮想マシンですべての East-West トラフィックをモニターします。

このトピックの手順では、NSX 分散ファイアウォールまたは NSX 管理対象オブジェクトを含む特定のグループに適用されるファイアウォール ポリシーを追加するワークフローについて説明します。

NSX-T Data Center 環境に Antrea コンテナが登録されている場合は、分散ファイアウォール ポリシーを作成して、 Antrea コンテナ クラスタに適用できます。詳細については、以下を参照してください。
注: NSX-T Data Center では、同じ分散ファイアウォール ポリシーに、NSX 管理対象オブジェクトを使用して作成したルールと Antrea コンテナ クラスタ オブジェクトを使用して作成したルールを混在させることはできません。つまり、NSX 分散ファイアウォールに適用するファイアウォール ルールと Antrea コンテナ クラスタに適用するファイアウォール ルールは、別々のポリシーに含める必要があります。

前提条件

NSX-T Data Center 3.2 より前で、DFW によって保護するには、仮想マシンの vNIC が NSX オーバーレイまたは VLAN セグメントに接続している必要があります。NSX-T Data Center 3.2 の分散ファイアウォールは、VDS 分散ポート グループ (DVPG) にネイティブに接続されたワークロードを保護します。詳細については、「vSphere Distributed Switch の分散セキュリティ」を参照してください。

Identity Firewall ルールを作成する場合はまず、Active Directory のメンバーを持つグループを作成します。IDFW でサポートされているプロトコルを表示するには、 Identity Firewall でサポートされる構成を参照してください。ゲスト イントロスペクションを使用して DFW ルールを作成する場合は、宛先グループに [適用先] フィールドが適用されていることを確認します。
注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを [有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。

レイヤー 7 と ICMP の組み合わせ、または他のプロトコルを使用している場合は、レイヤー 7 ファイアウォール ルールを最後に設定する必要があります。レイヤー 7 any/any ルールの後にあるルールは実行されません。

分散ファイアウォール ポリシーとルールの作成に関するフェデレーション固有の詳細については、グローバル マネージャ からの DFW ポリシーとルールの作成を参照してください。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. ナビゲーション パネルから [セキュリティ] > [分散ファイアウォール] の順に選択します。
  3. 正しい事前定義済みカテゴリであることを確認し、[ポリシーの追加] をクリックします。
    カテゴリの詳細については、 分散ファイアウォールを参照してください。
  4. [名前] に、新しいポリシー セクションを入力します。
  5. (オプション) [適用先] で、選択したグループにポリシー内のルールを適用します。デフォルトで、ポリシーの [適用先] フィールドは分散ファイアウォールに設定されており、ポリシー ルールはすべてのワークロードに適用されます。デフォルトを変更するときに、ポリシーとポリシー内のルールの [適用先] がグループに設定されている場合、ポリシー レベルの [適用先] は、ルール レベルの [適用先] よりも優先されます。
    注: IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。

    [適用先] はポリシーあたりの適用範囲を定義します。また、ESXi および KVM ホストのリソースの最適化に主に使用されます。特定のゾーン、テナント、またはアプリケーションのターゲットとなるポリシーを定義するのに役立ち、その他のアプリケーション、テナント、およびゾーンに定義されている他のポリシーに干渉することもありません。

  6. (オプション) 次のポリシーを構成するには、歯車アイコンをクリックします。
    オプション 説明
    TCP Strict 3 ウェイ ハンドシェイク(SYN、SYN ACK、ACK)で TCP 接続が開始し、通常、2 方向の交換(FIN、ACK)で接続が終了します。特定の状況では、分散ファイアウォール(DFW)に特定のフローの 3 ウェイ ハンドシェイクが検証されない場合があります(トラフィックが非対称であったり、フローの存在中に分散ファイアウォールが有効になっている場合など)。デフォルトでは、分散ファイアウォールは 3 ウェイ ハンドシェイクを検証する必要がないため、すでに確立されているセッションをピックアップします。TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。

    特定の DFW ポリシーで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このセクションの TCP ベースのルールに一致するパケットはドロップします。Strict はステートフル TCP ルールにのみ適用され、分散ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。

    ステートフル ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
    ロック済み 複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。

    エンタープライズ管理者などの一部のロールにはフル アクセスの認証情報があるため、ロックアウトできません。「ロールベースのアクセス コントロール」を参照してください。

  7. [公開] をクリックします。複数のポリシーを追加し、まとめて一度に公開できます。
    新しいポリシーは画面に表示されます。
  8. ポリシー セクションを選択して [ルールを追加] をクリックし、ルール名を入力します。
  9. [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。Active Directory のメンバーを持つグループは、IDFW ルールの [送信元] テキストボックスで使用できます。
    詳細については「 グループの追加」を参照してください。

    IPv4、IPv6、マルチキャスト アドレスがサポートされています。

    注:IPv6 ファイアウォールでは、接続されたセグメントで IPv6 に対して IP 検出を有効にする必要があります。詳細については、「IP アドレス検出セグメント プロファイルの理解」を参照してください。

  10. (オプション) [選択内容を否定] を選択した場合、選択した送信元を除くすべての送信元から受信するトラフィックにルールが適用されます。[選択内容を否定] は、少なくとも 1 つの送信元または宛先が定義されている場合にのみ選択できます。否定した選択内容は、取り消し線付きのテキストで表示されます。
  11. [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。
    詳細については「 グループの追加」を参照してください。

    IPv4、IPv6、マルチキャスト アドレスがサポートされています。

  12. (オプション) [選択内容を否定] を選択した場合、選択した宛先を除くすべての宛先に送信されるトラフィックにルールが適用されます。[選択内容を否定] は、少なくとも 1 つの送信元または宛先が定義されている場合にのみ選択できます。否定した選択内容は、取り消し線付きのテキストで表示されます。
  13. [サービス] 列で編集アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、[すべて] と一致します。詳細については、「サービスの追加」を参照してください。
  14. イーサネット カテゴリにルールを追加する場合、[プロファイル] 列は使用できません。他のルール カテゴリの場合は、[プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[新しいコンテキスト プロファイルの追加] をクリックします。詳細については、「コンテキスト プロファイル」を参照してください。

    コンテキスト プロファイルは、アプリケーション ID とドメイン名 (FQDN) の属性タイプを含むプロファイルの分散ファイアウォール ルールでの使用をサポートしています。サービスが [任意] に設定されている分散ファイアウォール ルールでは、アプリケーション ID またはドメイン名 (FQDN) の属性タイプを含む複数のコンテキスト プロファイルを使用できます。

    IDS ルールを作成する場合、コンテキスト プロファイルはサポートされていません。

  15. [適用] をクリックして、ルールにコンテキスト プロファイルを適用します。
  16. [適用先] で、選択したグループにルールを適用します。ゲスト イントロスペクションを使用して DFW ルールを作成する場合は、宛先グループに [適用先] フィールドが適用されていることを確認します。デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。デフォルトを変更するときに、ポリシーとポリシー内のルールの [適用先][グループ] に設定されている場合、ポリシー レベルの [適用先] は、ルール レベルの [適用先] よりも優先されます。
    注: IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。
  17. [アクション] 列で、アクションを選択します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびプロトコルを持つすべての L3 または L2 トラフィックが現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。
    ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
    却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットの却下は、送信者に対して宛先に到達できないというメッセージを送信するので、パケットを拒否する方法としてはより適切です。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。[却下] を使用するメリットの 1 つは、一度接続を試行するのみで、接続を確立できないことが、送信側のアプリケーションに通知されることです。
    アプリケーションにジャンプ
    注: このアクションは、環境カテゴリでのみ使用できます。

    アプリケーション カテゴリ ルールを適用するために、環境カテゴリ ルールに一致するトラフィックを続行できるようにします。このアクションは、環境カテゴリ ルールと一致したトラフィックを終了し、アプリケーション カテゴリ ルールを適用する場合に使用します。

    たとえば、環境カテゴリ ルールで特定の送信元に許可アクションが設定され、アプリケーション カテゴリ ルールで同じ送信元にドロップ アクションが設定されているとします。この場合、環境カテゴリに一致するパケットは許可されてファイアウォールを通過し、それ以降のルールは適用されなくなります。[アプリケーションにジャンプ] アクションを選択した場合、環境カテゴリ ルールと一致したパケットはアプリケーション カテゴリ ルールと照合され、結果としてドロップされます。

  18. 状態の切り替えボタンをクリックし、ルールを有効または無効にします。
  19. 歯車アイコンをクリックし、次のルールのオプションを構成します。
    オプション 説明
    ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
    方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信は両方のトラフィックがチェックされることを意味します。
    IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
    ログ ラベル

    ログを有効にすると、ログ ラベルがファイアウォール ログに記録されます。長いラベルを入力することもできますが、サポートされるのは、生成されたログの最初の 31 文字のみです。

  20. [公開] をクリックします。複数のルールを追加し、まとめて一度に公開できます。
  21. データ パスの認識状態とトランスポート ノードの詳細がポリシー テーブルの右側に表示されます。