ゲートウェイファイアウォールのポリシーおよびルールの追加

Tier-0 ゲートウェイファイアウォールでアプリケーションファイアウォールルールを作成する前に、BGP、OSPF、障害検出プロトコル BFD などのルーティングプロトコルを許可するために、ゲートウェイファイアウォールルールを手動で追加することが重要です。これらのルールは、アプリケーションルールの前に追加する必要があります。これにより、アプリケーションファイアウォールルールの変更時に、ルーティングピアリングのそれぞれの障害検出プロトコルが影響を受けないようにする必要があります。

前提条件

IPv4 アドレスと IPv6 アドレスがサポートされます。

ゲートウェイファイアウォールをオンにするには、[セキュリティ] > [ゲートウェイファイアウォール] > [設定] を選択します。有効にする Tier-1 または Tier-0 ゲートウェイファイアウォールの [有効にする] をクリックします。

手順

管理者権限で NSX Manager にログインします。
[セキュリティ] > [ゲートウェイファイアウォール] の順に選択します。
[すべての共有ルール] または [ゲートウェイ固有のルール] タブのいずれかを選択します。[ポリシーの追加] をクリックします。ルールカテゴリの詳細については、「ゲートウェイファイアウォール」を参照してください。
新しいポリシーセクションの [名前] を入力します。

歯車アイコンをクリックし、次のポリシーを構成します。


設定	説明
TCP Strict	デフォルトでは、ゲートウェイファイアウォールは厳密な TCP モードで動作します。TCP Strict はステートフル TCP ルールにのみ適用され、ゲートウェイファイアウォールポリシーレベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。
ステートフル	デフォルトでは、ステートフルがオンになっています。ステートフルファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
ロック済み	デフォルトでは、ロックはオフに調整されます。複数のユーザーが同じセクションに変更を加えることを防ぐため、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。

ポリシーのセクションを選択し、[ルールの追加] をクリックします。
ルールの名前を入力します。
[送信元] 列で鉛筆アイコンをクリックし、[グループ] または [IP アドレス] のいずれかを選択します。IP アドレスには、IP アドレス、CIDR、または IP アドレスの範囲を入力できます。Active Directory のメンバーを含むグループは、IDFW ルールの [送信元] ボックスで使用できます。グループの追加を参照してください。
[宛先] 列で鉛筆アイコンをクリックし、[グループ] または [IP アドレス] のいずれかを選択します。IP アドレスには、IP アドレス、CIDR、または IP アドレスの範囲を入力できます。定義しない場合、宛先はすべてに一致します。グループの追加を参照してください。
[サービス] 列で鉛筆アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。「サービスの追加」を参照してください。
Tier-1 ゲートウェイの場合、[プロファイル] 列で鉛筆アイコンをクリックし、コンテキストプロファイルまたは L7 アクセスプロファイルを選択します。または、新しいプロファイルを作成します。「プロファイル」を参照してください。コンテキストプロファイルの設計ガイドラインについては、「レイヤー 7 ファイアウォールルールのワークフロー」を参照してください。
- ゲートウェイファイアウォールルールには、コンテキストプロファイルまたは L7 アクセスプロファイルのいずれかを含めることができますが、両方を含めることはできません。
- ゲートウェイファイアウォールルールは、属性タイプがドメイン名 (FQDN) のコンテキストプロファイルをサポートしていません。
- 単一のゲートウェイファイアウォールルールで使用できる L7 アクセスプロファイルは 1 つだけです。
4.1.2 以降では、Tier-0 ゲートウェイの場合は、[プロファイル] 列で鉛筆アイコンをクリックし、L7 アクセスプロファイルを選択します。「L7 アクセスプロファイル」を参照してください。Tier-0 ゲートウェイファイアウォールポリシーでは、コンテキストプロファイルはサポートされていません。
[適用] をクリックします。
[適用先] 列の鉛筆アイコンをクリックして、ルールごとに適用範囲を変更します。[適用先] ダイアログボックスで、[カテゴリ] ドロップダウンメニューをクリックして、インターフェイス、ラベル、VTI などのオブジェクトタイプでフィルタリングし、これらの特定のオブジェクトを選択します。
デフォルトでは、ゲートウェイファイアウォールルールは、選択したゲートウェイで使用可能なすべてのアップリンクインターフェイスとサービスインターフェイスに適用されます。
URL フィルタリングの場合、[適用先] は Tier-1 ゲートウェイのみになります。

[アクション] 列で、アクションを選択します。

オプション	説明
許可	指定された送信元、宛先、およびプロトコルを持つすべてのトラフィックに、現在のファイアウォールコンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。 L7 アクセスプロファイルのルールアクションは、[許可] にする必要があります。
ドロップ	指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
却下	指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットが却下されると、宛先到達不能のメッセージが送信者に送信されます。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。接続が確立できない場合、送信元のアプリケーションに通知されます。

状態の切り替えボタンをクリックして、ルールを有効または無効にします。

歯車アイコンをクリックして、ログ作成、方向、IP プロトコル、コメントを設定します。

オプション	説明
ログの記録	ログの記録を有効または無効にすることができます。ゲートウェイファイアウォールのログには、ゲートウェイ仮想ルーティングと転送、ゲートウェイインターフェイスの情報、およびフローの詳細が表示されます。ゲートウェイファイアウォールのログは、/var/log ディレクトリの firewallpkt.log という名前のファイルにあります。
方向	オプションは、`受信`、`送信`、および `受信/送信` です。デフォルトは `受信/送信` です。このフィールドは、ゲートウェイのアップリンクインターフェイスまたはサービスインターフェイスから見たトラフィックの方向を示します。`受信` はアップリンクインターフェイスまたはサービスインターフェイスから入ってくるトラフィックのみ、`送信` はアップリンクインターフェイスまたはサービスインターフェイスから出ていくトラフィックのみ、`受信/送信` は両方のトラフィックがチェックされることを意味します。
IP プロトコル	オプションは、`IPv4`、`IPv6`、および `IPv4_IPv6` です。デフォルトは `IPv4_IPv6` です。
ログラベル	ログラベルは、ログを有効にしたときのログの名前です。最大文字数は 39 文字です。
コメント	ファイアウォールルールにコメントを追加します。

注：グラフアイコンをクリックして、ファイアウォールルールのフロー統計を表示します。バイト数、パケット数、セッション数などの情報を表示できます。

[公開] をクリックします。複数のルールを追加し、まとめて一度に公開できます。
各ポリシーセクションで [情報] アイコンをクリックし、Edge ノードにプッシュした Edge ファイアウォールルールの現在の状態を確認します。ルールが Edge ノードにプッシュされたときに生成されたすべてのアラームも表示されます。
Edge ノードに適用されているゲートウェイファイアウォールルールの統合状態を表示するには、API 呼び出しを行います。
GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true