Tier-0 ゲートウェイ ファイアウォールでアプリケーション ファイアウォール ルールを作成する前に、BGP、OSPF、障害検出プロトコル BFD などのルーティング プロトコルを許可するために、ゲートウェイ ファイアウォール ルールを手動で追加することが重要です。これらのルールは、アプリケーション ルールの前に追加する必要があります。これにより、アプリケーション ファイアウォール ルールの変更時に、ルーティング ピアリングのそれぞれの障害検出プロトコルが影響を受けないようにする必要があります。
前提条件
ゲートウェイ ファイアウォールをオンにするには、[セキュリティ] > [ゲートウェイ ファイアウォール] > [設定] に移動します。有効にする Tier-1 または Tier-0 ゲートウェイ ファイアウォールの [有効にする] をクリックします。
手順
- 管理者権限で NSX Manager にログインします。
- [セキュリティ] > [ゲートウェイ ファイアウォール] の順に選択します。
- [すべての共有ルール] または [ゲートウェイ固有のルール] タブのいずれかを選択します。[ポリシーの追加] をクリックします。ルール カテゴリの詳細については、「ゲートウェイ ファイアウォール」を参照してください。
- 新しいポリシー セクションの [名前] を入力します。
- 歯車アイコンをクリックし、次のポリシーを構成します。
設定 説明 TCP Strict デフォルトでは、ゲートウェイ ファイアウォールは厳密な TCP モードで動作します。TCP Strict はステートフル TCP ルールにのみ適用され、ゲートウェイ ファイアウォール ポリシー レベルで有効になります。TCP Strict は、TCP サービスが指定されていないデフォルトの ANY-ANY Allow と一致するパケットには適用されません。 ステートフル デフォルトでは、ステートフルがオンになっています。ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。 ロック済み デフォルトでは、ロックはオフに調整されます。複数のユーザーが同じセクションに変更を加えることを防ぐため、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。 - ポリシーのセクションを選択し、[ルールの追加] をクリックします。
- ルールの名前を入力します。
- [送信元] 列で鉛筆アイコンをクリックし、[グループ] または [IP アドレス] のいずれかを選択します。IP アドレスには、IP アドレス、CIDR、または IP アドレスの範囲を入力できます。Active Directory のメンバーを含むグループは、IDFW ルールの [送信元] ボックスで使用できます。グループの追加 を参照してください。
- [宛先] 列で鉛筆アイコンをクリックし、[グループ] または [IP アドレス] のいずれかを選択します。IP アドレスには、IP アドレス、CIDR、または IP アドレスの範囲を入力できます。定義しない場合、宛先はすべてに一致します。グループの追加 を参照してください。
- [サービス] 列で鉛筆アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、そのすべてと一致します。「サービスの追加」を参照してください。
- Tier-1 ゲートウェイの場合、[プロファイル] 列で鉛筆アイコンをクリックし、コンテキスト プロファイルまたは L7 アクセス プロファイルを選択します。または、新しいプロファイルを作成します。「プロファイル」を参照してください。コンテキスト プロファイルの設計ガイドラインについては、「レイヤー 7 ファイアウォール ルールのワークフロー」を参照してください。
- ゲートウェイ ファイアウォール ルールには、コンテキスト プロファイルまたは L7 アクセス プロファイルのいずれかを含めることができますが、両方を含めることはできません。
- ゲートウェイ ファイアウォール ルールは、属性タイプがドメイン名 (FQDN) のコンテキスト プロファイルをサポートしていません。
- 単一のゲートウェイ ファイアウォール ルールで使用できる L7 アクセス プロファイルは 1 つだけです。
- Tier-0 ゲートウェイの場合は、[プロファイル] 列で鉛筆アイコンをクリックし、L7 アクセス プロファイルを選択します。「L7 アクセス プロファイル」を参照してください。Tier-0 ゲートウェイ ファイアウォール ポリシーでは、コンテキスト プロファイルはサポートされていません。
- [適用] をクリックします。
- [適用先] 列の鉛筆アイコンをクリックして、ルールごとに適用範囲を変更します。[適用先] ダイアログ ボックスで、[カテゴリ] ドロップダウン メニューをクリックして、インターフェイス、ラベル、VTI などのオブジェクト タイプでフィルタリングし、これらの特定のオブジェクトを選択します。
デフォルトでは、ゲートウェイ ファイアウォール ルールは、選択したゲートウェイで使用可能なすべてのアップリンク インターフェイスとサービス インターフェイスに適用されます。
URL フィルタリングの場合、[適用先] は Tier-1 ゲートウェイのみになります。
- [アクション] 列で、アクションを選択します。
オプション 説明 許可 指定された送信元、宛先、およびプロトコルを持つすべてのトラフィックに、現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。 L7 アクセス プロファイルのルール アクションは、[許可] にする必要があります。
ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。 却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットが却下されると、宛先到達不能のメッセージが送信者に送信されます。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。接続が確立できない場合、送信元のアプリケーションに通知されます。
- 状態の切り替えボタンをクリックして、ルールを有効または無効にします。
- 歯車アイコンをクリックして、ログ作成、方向、IP プロトコル、コメントを設定します。
オプション 説明 ログの記録 ログの記録を有効または無効にすることができます。ゲートウェイ ファイアウォールのログには、ゲートウェイ仮想ルーティングと転送、ゲートウェイ インターフェイスの情報、およびフローの詳細が表示されます。ゲートウェイ ファイアウォールのログは、/var/log ディレクトリの firewallpkt.log という名前のファイルにあります。
方向 オプションは、受信、送信、および 受信/送信 です。デフォルトは 受信/送信 です。このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信 はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信 はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信 は両方のトラフィックがチェックされることを意味します。 IP プロトコル オプションは、IPv4、IPv6、および IPv4_IPv6 です。デフォルトは IPv4_IPv6 です。 ログ ラベル ログ ラベルは、ログを有効にしたときのログの名前です。最大文字数は 39 文字です。 コメント ファイアウォール ルールにコメントを追加します。 注: グラフ アイコンをクリックして、ファイアウォール ルールのフロー統計を表示します。バイト数、パケット数、セッション数などの情報を表示できます。 - [公開] をクリックします。複数のルールを追加し、まとめて一度に公開できます。
- 各ポリシー セクションで [情報] アイコンをクリックし、Edge ノードにプッシュした Edge ファイアウォール ルールの現在の状態を確認します。ルールが Edge ノードにプッシュされたときに生成されたすべてのアラームも表示されます。
- Edge ノードに適用されているゲートウェイ ファイアウォール ルールの統合状態を表示するには、API 呼び出しを行います。
GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true