ファイアウォール ルール テーブルは、NSX Security ポリシーを実装します。このポリシーは、NSX Manager GUI または REST API フレームワークを使用して作成できます。

ここでは、セキュリティ ポリシーの定義とその準備手順を簡単に説明します。
  • VM Inventory CollectionNSX-T トランスポート ノードにホストされているすべての仮想化ワークロードを確認して整理できます。インベントリは、NSX Manager によって動的に収集され、ノードとして保存されます。 ESXi または KVM が NSX-T トランスポート ノードとして追加されます。インベントリのリストを表示するには、[インベントリ] > [仮想マシン] メニューに移動します。
  • TagNSX-T では、仮想マシン、セグメント、セグメント ポートにタグを付けることができます。これらのオブジェクトにタグを付けるには、関連するオブジェクトのページに移動するか、[インベントリ] > [タグ] に移動します。オブジェクトには 1 つ以上のタグを設定できます。たとえば、仮想マシンには Tag = PRODTag = HR-APP、または Tag = WEB-Tier を設定できます。
  • Group Workloads:仮想マシン名、タグ、セグメント、セグメント ポート、IP、その他の属性に基づいて、動的または静的なメンバーシップ基準を使用して NSX-T 論理グループの構成できます。
  • Define Security Policy[セキュリティ] > [分散ファイアウォール] で使用可能な分散ファイアウォール ルール テーブルを使用して、セキュリティ ポリシーを定義できます。イーサネット、緊急、インフラストラクチャ、環境、アプリケーションなどの事前定義のカテゴリに基づいて、ポリシーを編成できます。

詳細については、NSX-T Data Center 管理ガイドを参照してください。

タグの追加

インベントリで使用可能な既存のタグを選択することも、新しいタグを作成してオブジェクトに追加することもできます。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. タグのオブジェクトを編集します。オブジェクトは、仮想マシン、セグメント、セグメント ポートなどです。オブジェクトにタグを付けるには、各オブジェクトのインベントリを使用するか、[インベントリ] > [タグ] に移動してタグの作成と割り当てを行います。
    たとえば、仮想マシンに直接タグを付ける場合は、 [インベントリ] > [仮想マシン] の順にクリックします。編集する仮想マシンの横にある アクション メニュー をクリックして、 [編集] をクリックします。
  3. [タグ] ドロップダウン メニューで、タグ名を入力します。完了したら [アイテムを追加] をクリックします。
    タグ名の最大長は 256 文字です。

    タグがインベントリに存在する場合は、使用可能なすべてのタグとその範囲が [タグ] ドロップダウン メニューに表示されます。使用可能なタグのリストには、ユーザー定義のタグ、システム定義のタグ、検出されたタグが含まれます。ドロップダウン メニューから既存のタグを選択し、仮想マシンに追加することができます。

  4. (オプション) タグの範囲を入力します。
    たとえば、オペレーティング システム(Windows、Mac、Linux)に基づいて仮想マシンにタグを付けるとします。Windows、Linux、Mac などの 3 つのタグを作成し、それぞれのタグの範囲を OS として設定します。
    範囲の最大長は 128 文字です。

    インベントリから既存のタグを選択した場合は、選択したタグの範囲が自動的に適用されます。それ以外の場合は、作成するタグの範囲を入力できます。

  5. [+] アイコンをクリックします。
    仮想マシンにタグが追加されます。
  6. (オプション) 手順 3 ~ 5 を繰り返して、別のタグを仮想マシンに追加します。
  7. [保存] をクリックします。

グループの追加

グループには静的および動的に追加されたさまざまなオブジェクトが含まれています。これらは、ファイアウォール ルールの送信元または宛先として使用できます。

手順

  1. ナビゲーション パネルから、[インベントリ] > [グループ] の順に選択します。
  2. [グループの追加] をクリックし、グループ名を入力します。
  3. [設定] をクリックします。
  4. [メンバーの設定] ウィンドウで、[グループ タイプ] を選択します。
    表 1.
    グループ タイプ 説明
    汎用

    このグループ タイプがデフォルトの選択になります。汎用グループ定義は、メンバーシップ基準、手動で追加されたメンバー、IP アドレス、MAC アドレス、Active Directory グループの組み合わせで構成できます。

    グループでメンバーシップ基準を定義すると、メンバーは 1 つ以上の基準に従ってグループに動的に追加されます。手動で追加されたメンバーには、セグメント ポート、分散ポート、分散ポート グループ、VIF、仮想マシンなどのオブジェクトがあります。
    IP アドレスのみ

    このグループ タイプには、IP アドレス(IPv4 または IPv6)のみが含まれます。手動で追加された IP アドレスのメンバーのみを含む [IP アドレスのみ] グループは、DFW ルールの [適用先] で使用できません。ルールの作成はできますが、適用されません。

    [IP アドレスのみ] タイプのグループが NSX-T Data Center で認識された後、このグループ タイプを編集して [汎用] にすることはできません。ただし、グループ タイプが [汎用]の場合は、グループ タイプを編集して [IP アドレスのみ] にできます。この場合、IP アドレスのみがグループに保持されます。メンバーシップ基準と他のグループ定義はすべて失われます。
  5. [メンバーシップ基準] ページで、[条件の追加] をクリックして、1 つ以上のメンバーシップ基準に基づいてグループにメンバーを動的に追加します。
  6. [メンバー] をクリックして、グループに静的メンバーを追加します。
  7. (オプション) [IP/MAC アドレス] をクリックして、IP アドレスおよび MAC アドレスをグループ メンバーとして追加します。IPv4 アドレス、IPv6 アドレス、マルチキャスト アドレスがサポートされています。
    [アクション] > [インポート] の順にクリックして、カンマ区切りの IP/MAC 値を含む TXT ファイルまたは CSV ファイルから IP/MAC アドレスをインポートします。
  8. [Active Directory グループ] をクリックして、Active Directory グループを追加します。これは Identity Firewall に使用されます。Active Directory のメンバーを持つグループは、Identity Firewall の分散ファイアウォール ルールの送信元に使用できます。グループには、Active Directory とコンピュート メンバーの両方を含めることができます。
  9. (オプション) 説明とタグを入力します。
  10. [適用] をクリックします。
    グループが表示され、メンバーとグループの使用場所を表示するオプションが示されます。

分散ファイアウォール ポリシー

分散ファイアウォールでは、ファイアウォール ルールにカテゴリが事前に定義されています。カテゴリを使用すると、セキュリティ ポリシーを編成できます。

カテゴリは左から右に評価され(イーサネット > 緊急 > インフラストラクチャ > 環境 > アプリケーション)、カテゴリ内の分散ファイアウォール ルールは上から下に評価されます。

表 2. 分散ファイアウォール ルールのカテゴリ
[イーサネット]

このカテゴリにはレイヤー 2 ルールを含めることを推奨します。

 [緊急]

このカテゴリには隔離ルールと許可ルールを含めることを推奨します。

 [インフラストラクチャ]

このカテゴリの共有サービスへのアクセスを定義するルールを含めることを推奨します。次はその例です。

  • Active Directory
  • DNS
  • NTP
  • DHCP
  • バックアップ
  • 管理サーバ
 [環境]

このカテゴリのゾーン間にルールを含めることを推奨します。次はその例です。

  • 本番環境と開発環境
  • PCI と非 PCI
  • ビジネス部門間のルール
 [アプリケーション]

次の間のルールを含めることを推奨します。

  • アプリケーション
  • アプリケーション層
  • マイクロ サービス

分散ファイアウォール ポリシーの追加

分散ファイアウォールは、仮想マシンですべての East-West トラフィックを監視します。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. ナビゲーション パネルから [セキュリティ] > [分散ファイアウォール] の順に選択します。
  3. 正しい事前定義済みカテゴリであることを確認し、[ポリシーの追加] をクリックします。
  4. [名前] に、新しいポリシー セクションを入力します。
  5. (オプション) [適用先] で、選択したグループにポリシー内のルールを適用します。デフォルトで、ポリシーの [適用先] フィールドは分散ファイアウォールに設定されており、ポリシー ルールはすべてのワークロードに適用されます。デフォルトを変更するときに、ポリシーとポリシー内のルールの [適用先] がグループに設定されている場合、ポリシー レベルの [適用先] は、ルール レベルの [適用先] よりも優先されます。
    注: IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。

    [適用先] はポリシーあたりの適用範囲を定義します。また、ESXi および KVM ホストのリソースの最適化に主に使用されます。特定のゾーン、テナント、またはアプリケーションのターゲットとなるポリシーを定義するのに役立ち、その他のアプリケーション、テナント、およびゾーンに定義されている他のポリシーに干渉することもありません。

  6. 次のポリシーを構成するには、歯車アイコンをクリックします。
  7. [発行] をクリックします。複数のポリシーを追加し、まとめて一度に発行できます。
    新しいポリシーは画面に表示されます。
  8. ポリシー セクションを選択して [ルールを追加] をクリックし、ルール名を入力します。
  9. [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。Active Directory のメンバーを持つグループは、IDFW ルールの [送信元] テキストボックスで使用できます。
  10. [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。
  11. [サービス] 列で編集アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、[すべて] と一致します。
  12. イーサネット カテゴリにルールを追加する場合、[プロファイル] 列は使用できません。他のルール カテゴリの場合は、[プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[新しいコンテキスト プロファイルの追加] をクリックします。#GUID-654F5332-2978-49F8-BE83-297E5C69C22F を参照してください
    このパラメータは、L7 アプリケーション ID フィルタリングと FQDN フィルタリングに使用されます。
  13. [適用] をクリックして、ルールにコンテキスト プロファイルを適用します。
  14. [適用先] で、選択したグループにルールを適用します。ゲスト イントロスペクションを使用して DFW ルールを作成する場合は、宛先グループに [適用先] フィールドが適用されていることを確認します。デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。デフォルトを変更するときに、ポリシーとポリシー内のルールの [適用先][グループ] に設定されている場合、ポリシー レベルの [適用先] は、ルール レベルの [適用先] よりも優先されます。
    注: IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。
  15. [アクション] 列で、アクションを選択します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびプロトコルを持つすべての L3 または L2 トラフィックが現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。
    ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
    却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットの却下は、送信者に対して宛先に到達できないというメッセージを送信するので、パケットを拒否する方法としてはより適切です。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。[却下] を使用するメリットの 1 つは、一度接続を試行するのみで、接続を確立できないことが、送信側のアプリケーションに通知されることです。
    アプリケーションにジャンプ NSX-T Data Center 3.1 以降。このアクションは、環境カテゴリでのみ使用できます。

    アプリケーション カテゴリ ルールを適用するために、環境カテゴリ ルールに一致するトラフィックを続行できるようにします。このアクションは、環境カテゴリ ルールと一致したトラフィックを終了し、アプリケーション カテゴリ ルールを適用する場合に使用します。

    たとえば、環境カテゴリ ルールで特定の送信元に許可アクションが設定され、アプリケーション カテゴリ ルールで同じ送信元にドロップ アクションが設定されているとします。この場合、環境カテゴリに一致するパケットは許可されてファイアウォールを通過し、それ以降のルールは適用されなくなります。[アプリケーションにジャンプ] アクションを選択した場合、環境カテゴリ ルールと一致したパケットはアプリケーション カテゴリ ルールと照合され、結果としてドロップされます。
  16. 状態の切り替えボタンをクリックし、ルールを有効または無効にします。
  17. 歯車アイコンをクリックし、次のルールのオプションを構成します。
    オプション 説明
    ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
    方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信は両方のトラフィックがチェックされることを意味します。
    IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
    ログ ラベル

    ログを有効にすると、ログ ラベルがファイアウォール ログに記録されます。長いラベルを入力することもできますが、サポートされるのは、生成されたログの最初の 31 文字のみです。
  18. [発行] をクリックします。複数のルールを追加し、まとめて一度に発行できます。
  19. データ パスの認識状態とトランスポート ノードの詳細がポリシー テーブルの右側に表示されます。

分散 IDS/IPS ポリシーの追加

IDS/IPS ルールは、分散ファイアウォール (DFW) ルールと同じ方法で作成します。IDS ポリシーを作成してから、ポリシーのルールを作成します。

手順

  1. [セキュリティ] > [IDS/IPS] > [分散ファイアウォール ルール] の順に移動します。
  2. [ポリシーの追加] をクリックしてポリシーを作成し、ポリシー名を入力します。
  3. 歯車アイコンをクリックして、必要なポリシーを構成します。
    オプション 説明
    ステートフル ステートフル ファイアウォールは、アクティブな接続の状態を監視し、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
    ロック済み 複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。

    エンタープライズ管理者などの一部のロールにはフル アクセスの認証情報があるため、ロックアウトできません。

  4. [ルールの追加] をクリックしてルールを追加し、ルール名を入力します。
  5. 送信元、宛先、サービスを構成して、IDS で検査するトラフィックを定義します。IDS は、任意のタイプの送信元と宛先のグループをサポートします。
  6. [セキュリティ プロファイル] 列で、このルールに必要なプロファイルを選択します。
  7. [適用先] 列で、ルールの範囲を制限する適切なオプションを選択します。デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。また、選択したグループにルールまたはポリシーを適用することもできます。IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、[適用先] テキスト ボックスで使用できません。
  8. 次のオプションから必要な [モード] を選択します。
    • [検出のみ]:シグネチャと比較して侵入を検出しますが、アクションは実行しません。
    • [検出して防止]:シグネチャと比較して侵入を検出し、アクションを実行します。プロファイルまたはグローバル設定でシグネチャに指定したように、ドロップまたは拒否を実行します。
  9. 歯車アイコンをクリックして、次のルール オプションを構成します。
    オプション 説明
    ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
    方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。IN は、オブジェクトへのトラフィックのみがチェックされます。OUT は、オブジェクトからのトラフィックのみがチェックされます。In-Out では、両方向のトラフィックがチェックされます。
    IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
    ログ ラベル ログを有効にすると、ログ ラベルがファイアウォール ログに記録されます。
  10. [発行] をクリックします。ルールがホストに正常にプッシュされると、状態が [成功] と表示されます。
  11. グラフのアイコンをクリックして表示します。
    • ポリシーの状態:ホストにルールが正常にプッシュされています。
    • トランスポート ノードの状態とエラー
    詳細なポリシー構成については、『 NSX-T Data Center 管理ガイド』を参照してください。

ゲートウェイ ファイアウォール ポリシー

ゲートウェイ ファイアウォールを構成するには、これらのルールを事前定義カテゴリのファイアウォール ポリシー セクションに追加します。

手順

  1. [セキュリティ] > [ゲートウェイ ファイアウォール] > [ゲートウェイ固有のルール] の順に移動します。
  2. [T0-Gateway] を選択して、[ポリシーの追加] をクリックします。
    GFW ポリシーの追加
  3. ルールを追加します。
  4. ルールのサービスを追加します。
  5. 送信元、宛先、サービス、ゲートウェイなどの詳細を指定し、アクションを選択します。
  6. ポリシーとルールを公開します。