Identity Firewall を有効にするには、 [セキュリティ] > [ゲートウェイ ファイアウォール] の順に移動し、 [アクション] > [全般設定] の順にクリックします。バーを切り替えて Identity Firewall を有効にします。Active Directory が必要であることが通知されます。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [セキュリティ] > [ゲートウェイ ファイアウォール] の順に選択します。
  3. ゲートウェイ ファイアウォールを有効にするには、[アクション] > [全般設定] の順に選択し、状態ボタンを切り替えます。[保存] をクリックします。
  4. [ポリシーの追加] をクリックします。カテゴリの詳細については、ゲートウェイ ファイアウォールを参照してください。
  5. 新しいポリシー セクションの [名前] を入力します。
  6. ポリシーの [宛先] を選択します。
  7. 歯車アイコンをクリックし、次のポリシーを構成します。
    設定 説明
    TCP Strict 3 ウェイ ハンドシェイク(SYN、SYN ACK、ACK)で TCP 接続が開始し、通常、2 方向の交換(FIN、ACK)で接続が終了します。特定の状況では、ファイアウォールに特定のフローの 3 ウェイ ハンドシェイクが検証されない場合があります(たとえば、トラフィックが非対称になっている場合など)。デフォルトでは、ファイアウォールは 3 ウェイ ハンドシェイクを検証する必要がないため、すでに確立されているセッションをピックアップします。TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。特定のファイアウォール ポリシーで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このポリシー セクションの TCP ベースのルールに一致するパケットがドロップされます。Strict はステートフル TCP ルールにのみ適用され、ゲートウェイ ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。
    ステートフル ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
    ロック済み 複数のユーザーが同じセクションに変更を加えることを防ぐため、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。
  8. [公開] をクリックします。
    複数のポリシーを追加し、まとめて一度に公開できます。
    新しいポリシーは画面に表示されます。
  9. ポリシーのセクションを選択し、[ルールの追加] をクリックします。
  10. ルールの名前を入力します。IPv4 アドレスと IPv6 アドレスがサポートされます。
  11. [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。Active Directory のメンバーを含むグループは、IDFW ルールの [送信元] ボックスで使用できます。グループの追加 を参照してください。
  12. [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。グループの追加 を参照してください。
  13. [サービス] 列で鉛筆アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。サービスの追加を参照してください。
  14. Tier-1 ゲートウェイの場合、[プロファイル] 列で編集アイコンをクリックし、コンテキスト プロファイルまたは L7 アクセス プロファイルを選択します。または、新しいプロファイルを作成します。プロファイルを参照してください。
    • セキュリティ ルールには、コンテキスト プロファイルまたは L7 アクセス プロファイルのいずれかを含めることができます。両方を含めることはできません。
    • コンテキスト プロファイルと L7 アクセス プロファイルは、Tier-0 ゲートウェイ ファイアウォール ポリシーでサポートされていません。
    • ゲートウェイ ファイアウォール ルールは、ドメイン名 (FQDN) 属性タイプを含むコンテキスト プロファイルをサポートしていません。
    • ゲートウェイ ファイアウォール ルールは、属性タイプがアプリケーション ID、URL カテゴリ、カスタム URL、URL レピュテーションの L7 アクセス プロファイルをサポートします。属性タイプのアプリケーション ID は、複数のサブ属性をサポートします。
    サービスが [任意] に設定されたファイアウォール ルールには、複数のアプリケーション ID コンテキスト プロファイルを使用できます。単一のゲートウェイ ファイアウォール ルールで使用できる L7 アクセス プロファイルは 1 つだけです。
  15. [適用] をクリックします。
  16. [適用先] 列の鉛筆アイコンをクリックして、ルールごとに適用範囲を変更します。[適用先 | 新しいルール] ダイアログ ボックスで、[カテゴリ] ドロップダウン メニューをクリックして、インターフェイス、ラベル、VTI などのオブジェクト タイプでフィルタリングし、これらの特定のオブジェクトを選択します。
    デフォルトでは、ゲートウェイ ファイアウォール ルールは、選択したゲートウェイで使用可能なすべてのアップリンク インターフェイスとサービス インターフェイスに適用されます。

    URL フィルタリングの場合、[適用先] は Tier-1 ゲートウェイのみになります。

  17. [アクション] 列で、アクションを選択します。
    オプション 説明
    許可 指定された送信元、宛先、およびプロトコルを持つすべてのトラフィックに、現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。

    L7 アクセス プロファイルのルール アクションは、[許可] にする必要があります。

    ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
    却下

    指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットが却下されると、宛先到達不能のメッセージが送信者に送信されます。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。接続が確立できない場合、送信元のアプリケーションに通知されます。

  18. 状態の切り替えボタンをクリックして、ルールを有効または無効にします。
  19. 歯車アイコンをクリックして、ログ作成、方向、IP プロトコル、コメントを設定します。
    オプション 説明
    ログの記録

    ログの記録を有効または無効にすることができます。ゲートウェイ ファイアウォールのログには、ゲートウェイ仮想ルーティングと転送、ゲートウェイ インターフェイスの情報、およびフローの詳細が表示されます。ゲートウェイ ファイアウォールのログは、/var/log ディレクトリの firewallpkt.log という名前のファイルにあります。

    方向 オプションは、受信送信、および 受信/送信 です。デフォルトは 受信/送信 です。このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信 はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信 はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信 は両方のトラフィックがチェックされることを意味します。
    IP プロトコル オプションは、IPv4IPv6、および IPv4_IPv6 です。デフォルトは IPv4_IPv6 です。
    注: グラフ アイコンをクリックして、ファイアウォール ルールのフロー統計を表示します。バイト数、パケット数、セッション数などの情報を表示できます。
  20. [公開] をクリックします。複数のルールを追加し、まとめて一度に公開できます。
  21. 各ポリシー セクションで [情報] アイコンをクリックし、Edge ノードにプッシュした Edge ファイアウォール ルールの現在の状態を確認します。ルールが Edge ノードにプッシュされたときに生成されたすべてのアラームも表示されます。
  22. Edge ノードに適用されるポリシー ルールの統合の状態を表示するには、API 呼び出しを行います。
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true