グローバル マネージャ に登録されている複数の場所に適用するセキュリティ ポリシーと DFW ルールを作成できます。

前提条件

ファイアウォール ルールに使用するカスタム リージョンがすでに作成されていることを確認します。グローバル マネージャ からのリージョンの作成を参照してください。

手順

  1. ブラウザから、グローバル マネージャ (https://<global-manager-ip-address>) にエンタープライズ管理者またはセキュリティ管理者の権限でログインします。
  2. [セキュリティ] > [分散ファイアウォール] の順に選択します。
  3. 正しい事前定義済みカテゴリであることを確認し、[ポリシーの追加] をクリックします。カテゴリの詳細については、分散ファイアウォールを参照してください。
    注: グローバル マネージャ では、「イーサネット」と「緊急」のカテゴリ、デフォルト ポリシーはサポートされません。
  4. [ポリシーの追加] をクリックします。
  5. [名前] に、新しいポリシー セクションを入力します。
  6. [適用先] の横にある鉛筆アイコンをクリックして、このポリシーの範囲を設定します。
  7. [適用先の設定] ダイアログ ボックスで、次の項目を選択できます。
    • [リージョン]:ポリシーを適用する ローカル マネージャ を選択します。ローカル マネージャ は、自動的にリージョンとして追加されます。カスタマイズされたリージョンを作成することもできます。グローバル マネージャ からのリージョンの作成を参照してください。
    • [適用先の選択]:デフォルトでは、ポリシーは [DFW] に適用されます。つまり、ポリシーは、そのポリシーに選択された領域に基づいて ローカル マネージャ のすべてのワークロードに適用されます。選択したグループにもポリシーを適用できます。適用先はポリシーごとの適用範囲を定義します。これは主に ESXi ホストのリソース最適化で使用されます。また、特定のゾーン、テナント、アプリケーションのターゲットとなるポリシーを定義する際に役立ちます。他のテナント、ゾーン、アプリケーションに定義済みのポリシーに干渉することはありません。

      DFW ポリシーとルールを参照して、ポリシーの範囲に応じて DFW ルールの有効性が決まる仕組みを理解してください。
  8. 次のポリシーを構成するには、歯車アイコンをクリックします。
    オプション 説明
    TCP Strict 3 ウェイ ハンドシェイク(SYN、SYN ACK、ACK)で TCP 接続が開始し、通常、2 方向の交換(FIN、ACK)で接続が終了します。特定の状況では、分散ファイアウォール(DFW)に特定のフローの 3 ウェイ ハンドシェイクが検証されない場合があります(トラフィックが非対称であったり、フローの存在中に分散ファイアウォールが有効になっている場合など)。デフォルトでは、分散ファイアウォールは 3 ウェイ ハンドシェイクを検証する必要がないため、すでに確立されているセッションをピックアップします。TCP Strict をセクションごとに有効にして、中間セッションのピックアップをオフにし、3 ウェイ ハンドシェイクの要件を適用できます。

    特定の DFW ポリシーで TCP Strict モードを有効にし、デフォルトの ANY-ANY Block ルールを使用すると、3 ウェイ ハンドシェイクの接続要件を満たしていないパケットと、このセクションの TCP ベースのルールに一致するパケットはドロップします。Strict はステートフル TCP ルールにのみ適用され、分散ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。

    ステートフル ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
    ロック済み 複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。

    エンタープライズ管理者などの一部のロールにはフル アクセスの認証情報があるため、ロックアウトできません。ロールベースのアクセス コントロールを参照してください。

  9. [公開] をクリックします。複数のポリシーを追加し、まとめて一度に公開できます。
    新しいポリシーは画面に表示されます。
  10. ポリシーのセクションを選択し、[ルールの追加] をクリックします。
  11. ルールの名前を入力します。
  12. 送信元と宛先は、DFW ポリシーの範囲に基づいて検証されます。詳細については、DFW ポリシーとルールを参照してください。
    • DFW ポリシーが、Loc1 などの場所に適用される場合、送信元または宛先には、キーワード ANY を指定することも、Loc1 に属するグループを指定することもできます。

    • DFW ポリシーが、Region1 など、ユーザー作成リージョンに適用される場合、送信元または宛先には、キーワード ANY を指定することも、Region1 と同じ範囲のグループまたは Region1 の場所にまたがるグループを指定することもできます。

    • DFW ポリシーが [Global] に適用される場合、送信元または宛先を任意に設定できます。

    注: NSX フェデレーション では、Active Directory と IDFW はサポートされません。 グローバル マネージャ から、これらの機能を使用することはできません。
    1. [送信元] 列で、鉛筆アイコンをクリックし、ルールのソースを選択します。
    2. [宛先] 列で、鉛筆アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。
  13. [サービス] 列で鉛筆アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。
  14. [プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[新しいコンテキスト プロファイルの追加] をクリックします。プロファイルを参照してください。
  15. [適用] をクリックして、ルールにコンテキスト プロファイルを適用します。
  16. デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。また、選択したグループにルールまたはポリシーを適用することもできます。[適用先] は、ルールあたりの適用範囲を定義します。また、ESXi ホストのリソースの最適化に主に使用されます。また、特定のゾーン、テナント、アプリケーションのターゲットとなるポリシーを定義する際に役立ちます。他のテナント、ゾーン、アプリケーションに定義済みのポリシーに干渉することはありません。
    注: [適用先] に、次のタイプのグループは選択できません。
    • IP アドレスまたは MAC アドレスを持つグループ
    • Active Directory ユーザー グループ
  17. [アクション] 列で、アクションを選択します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびプロトコルを持つすべての L3 または L2 トラフィックが現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。
    ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
    却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットの却下は、送信者に対して宛先に到達できないというメッセージを送信するので、パケットを拒否する方法としてはより適切です。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。[却下] を使用するメリットの 1 つは、一度接続を試行するのみで、接続を確立できないことが、送信側のアプリケーションに通知されることです。
  18. 切り替えボタンをクリックし、ルールを有効または無効にします。
  19. 歯車アイコンをクリックし、次のルールのオプションを構成します。
    オプション 説明
    ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi ホストの /var/log/dfwpktlogs.log に保存されます。
    方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信は両方のトラフィックがチェックされることを意味します。
    IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
    ログ ラベル ログを有効にすると、ログ ラベルがファイアウォール ログに記録されます。
  20. [公開] をクリックします。複数のルールを追加し、まとめて一度に公開できます。
  21. 各ポリシーで、[状態を確認] をクリックして、含まれているルールの状態を場所ごと表示します。[成功] または [失敗] をクリックすると、ポリシーの状態ウィンドウを開くことができます。
  22. [状態を確認] をクリックして、さまざまな場所のトランスポート ノードに適用されるポリシーの認識状態を確認します。