ファイアウォール ルール セクションは独立して編集および保存され、個別のファイアウォール構成をテナントに適用するために使用されます。

前提条件

NSX Manager ユーザー インターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モード ボタンと [マネージャ] モード ボタンが表示されない場合は、ユーザー インターフェイスの構成を参照してください。

手順

  1. [セキュリティ] > [分散ファイアウォール] を選択します。
  2. レイヤー 3 (L3) ルールの場合には [全般] タブを、レイヤー 2 (L2) ルールの場合には、[イーサネット] タブをクリックします。
  3. 既存のセクションまたはルールをクリックします。
  4. メニュー バーのセクションのアイコンをクリックし、[セクションを上に追加] または [セクションを下に追加] を選択します。
    注: トラフィックがファイアウォールを通過しようとするとき、パケット情報は [ルール] テーブルに示されるルールに従います。ルールは、一番上から一番下のデフォルト ルールまで順番に適用されます。場合によっては、複数のルールがある場合にこの優先順位によって、パケット処理の決定に影響します。
  5. セクション名を入力します。
    注: デフォルトでは、ファイアウォール ルール セクション(およびそのルール)はステートフルとして構成されます。ステートフル ファイアウォールでは、アクションが「許可」であるファイアウォール ルールに一致するトラフィック フローのキャッシュが作成され、維持されます。新しいフローの最初のパケットがファイアウォール ルールセットに対して検証された後、そのフローに属する後続のネットワーク パケットを確認する必要がなくなります。これにより、トラフィックの負荷が高い状況で、フロー遅延が短くなり、ファイアウォール全体のパフォーマンスが向上します。ステートフル ファイアウォールは、承認されていないネットワーク トラフィックまたは偽装されたネットワーク トラフィックの特定にも適しています。

    一部のアプリケーションでは、ステートレス ファイアウォールが必要になる場合があります。ステートレス ファイアウォールでは、フローの各パケットがルールセットに対して検証されます。ステートレス フローのキャッシュは維持されません。ステートレス ルールのみを含むようにファイアウォール ルール セクションを変更するには手順 6、変更しない場合は手順 7 に進みます。

  6. (オプション) ファイアウォールをステートレスにするには、[ステートレス ファイアウォールを有効にする] ボタンを選択します。このオプションは L3 の場合にのみ適用できます。
    一度定義すると、ステートフルとステートレスを切り替えることはできません。
  7. セクションを適用する 1 つまたは複数のオブジェクトを選択します。
    オブジェクトのタイプは、論理ポート、論理スイッチ、NSGroup です。NSGroup を選択する場合、1 台以上の論理スイッチまたは論理ポートが含まれている必要があります。NSGroup に IP セットまたは MAC セットのみが含まれている場合は、無視されます。
    注: セクションとその中のルールの両方で [適用先] が NSGroup に設定されている場合、セクションの [適用先] により、そのセクション内にあるルールの [適用先] の設定がオーバーライドされます。これは、ファイアウォール セクション レベルの [適用先] が、ルール レベルの [適用先] よりも優先されるためです。
  8. [OK] をクリックします。

次のタスク

セクションにファイアウォール ルールを追加します。