ファイアウォール ルール テーブルは、NSX Security ポリシーを実装します。このポリシーは、NSX Manager GUI または REST API フレームワークを使用して作成できます。

ここでは、セキュリティ ポリシーの定義とその準備手順を簡単に説明します。
  • VM Inventory CollectionNSX トランスポート ノードにホストされているすべての仮想化ワークロードを確認して整理できます。インベントリは、NSX Manager によって動的に収集され、ノードとして保存されます。ESXi または KVM が NSX トランスポート ノードとして追加されます。インベントリのリストを表示するには、[インベントリ] > [仮想マシン] メニューに移動します。
  • TagNSX では、仮想マシン、セグメント、セグメント ポートにタグを付けることができます。これらのオブジェクトにタグを付けるには、関連するオブジェクトのページに移動するか、[インベントリ] > [タグ] に移動します。オブジェクトには 1 つ以上のタグを設定できます。たとえば、仮想マシンには Tag = PRODTag = HR-APP、または Tag = WEB-Tier を設定できます。
  • Group Workloads:仮想マシン名、タグ、セグメント、セグメント ポート、IP、その他の属性に基づいて、動的または静的なメンバーシップ基準を使用して NSX 論理グループの構成できます。
  • Define Security Policy[セキュリティ] > [分散ファイアウォール] で使用可能な分散ファイアウォール ルール テーブルを使用して、セキュリティ ポリシーを定義できます。イーサネット、緊急、インフラストラクチャ、環境、アプリケーションなどの事前定義のカテゴリに基づいて、ポリシーを編成できます。

詳細については、NSX 管理ガイドを参照してください。

タグの追加

インベントリで使用可能な既存のタグを選択することも、新しいタグを作成してオブジェクトに追加することもできます。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. オブジェクトにタグを割り当てるには、オブジェクトの編集モードであることを確認します。オブジェクトには、セグメント、グループ、Tier-0 ゲートウェイ、Tier-1 ゲートウェイなどがあります。
    たとえば、セグメントにタグを付ける場合は、 [ネットワーク] > [セグメント] をクリックします。編集するセグメントの横にある アクション メニュー をクリックして、 [編集] をクリックします。
  3. [タグ] ドロップダウン メニューで、タグ名を入力します。完了したら [アイテムを追加] をクリックします。
    タグ名の最大長は 256 文字です。

    タグがインベントリに存在する場合は、使用可能なタグとその範囲が [タグ] ドロップダウン メニューに表示されます。ドロップダウン メニューから既存のタグを選択し、セグメントに割り当てることができます。

    注: 仮想マシンにタグを割り当てる場合は、Edge_NSGroup タグを仮想マシンに割り当てないでください。システムは、DFW 除外リストに Edge 仮想マシンを含めるために、このタグを Edge 仮想マシンに自動的に割り当てます。
  4. (オプション) タグの範囲を入力します。
    たとえば、セールス、マーケティング、財務などの組織の部門名に基づいてセグメントにタグを付けるとします。セールス、マーケティング、財務などのタグを作成し、それぞれのタグの範囲を部門に設定します。
    範囲の最大長は 128 文字です。

    インベントリから既存のタグを選択した場合は、選択したタグの範囲が自動的に適用されます。それ以外の場合は、作成するタグの範囲を入力できます。

  5. [+] アイコンをクリックするか、Enter キーを押します。
    セグメントにタグが追加されます。
  6. 必要に応じて、さらにタグをセグメントに追加します。
  7. [保存] をクリックします。

グループの追加

グループには静的および動的に追加されたさまざまなオブジェクトが含まれています。これらは、ファイアウォール ルールの送信元または宛先として使用できます。

手順

  1. ナビゲーション パネルから、[インベントリ] > [グループ] の順に選択します。
  2. [グループの追加] をクリックし、グループ名を入力します。
  3. [設定] をクリックします。
  4. [メンバーの設定] ウィンドウで、[グループ タイプ] を選択します。
    表 1.
    グループ タイプ 説明
    汎用

    このグループ タイプがデフォルトの選択になります。汎用グループ定義は、メンバーシップ基準、手動で追加されたメンバー、IP アドレス、MAC アドレス、Active Directory グループの組み合わせで構成できます。

    グループでメンバーシップ基準を定義すると、メンバーは 1 つ以上の基準に従ってグループに動的に追加されます。手動で追加されたメンバーには、セグメント ポート、分散ポート、分散ポート グループ、VIF、仮想マシンなどのオブジェクトがあります。
    IP アドレスのみ

    このグループ タイプには、IP アドレス(IPv4 または IPv6)のみが含まれます。手動で追加された IP アドレスのメンバーのみを含む [IP アドレスのみ] グループは、DFW ルールの [適用先] で使用できません。ルールの作成はできますが、適用されません。

    グループ タイプが [汎用] の場合は、そのタイプを編集して [IP アドレスのみ] グループに設定できますが、悪意のある IP アドレスを含む [IP アドレスのみ] グループには設定できません。この場合、IP アドレスのみがグループに保持されます。メンバーシップ基準と他のグループ定義はすべて失われます。NSX[IP アドレスのみ] または悪意のある IP アドレスを含む [IP アドレスのみ] タイプのグループが認識された後、グループ タイプを [Generic] に編集することはできません。
  5. [メンバーシップ基準] ページで、[条件の追加] をクリックして、1 つ以上のメンバーシップ基準に基づいて汎用グループにメンバーを動的に追加します。
  6. [メンバー] をクリックして、グループに静的メンバーを追加します。
  7. (オプション) [IP アドレス] または [MAC アドレス] をクリックして、IP アドレスおよび MAC アドレスをグループ メンバーとして追加します。IPv4 アドレス、IPv6 アドレス、マルチキャスト アドレスがサポートされています。
    [アクション] > [インポート] の順にクリックして、カンマ区切りの IP/MAC 値を含む TXT ファイルまたは CSV ファイルから IP/MAC アドレスをインポートします。
  8. [Active Directory グループ] をクリックして、Active Directory グループを追加します。これは Identity Firewall に使用されます。Active Directory のメンバーを持つグループは、Identity Firewall の分散ファイアウォール ルールの送信元に使用できます。グループには、Active Directory とコンピュート メンバーの両方を含めることができます。
  9. (オプション) 説明とタグを入力します。
  10. [適用] をクリックします。
    グループが表示され、メンバーとグループの使用場所を表示するオプションが示されます。

分散ファイアウォール ポリシー

分散ファイアウォールでは、ファイアウォール ルールにカテゴリが事前に定義されています。カテゴリを使用すると、セキュリティ ポリシーを編成できます。

カテゴリは左から右に評価され(イーサネット > 緊急 > インフラストラクチャ > 環境 > アプリケーション)、カテゴリ内の分散ファイアウォール ルールは上から下に評価されます。

表 2. 分散ファイアウォール ルールのカテゴリ
[イーサネット]

このカテゴリにはレイヤー 2 ルールを含めることを推奨します。

 [緊急]

このカテゴリには隔離ルールと許可ルールを含めることを推奨します。

 [インフラストラクチャ]

このカテゴリの共有サービスへのアクセスを定義するルールを含めることを推奨します。次はその例です。

  • Active Directory
  • DNS
  • NTP
  • DHCP
  • バックアップ
  • 管理サーバ
 [環境]

このカテゴリのゾーン間にルールを含めることを推奨します。次はその例です。

  • 本番環境と開発環境
  • PCI と非 PCI
  • ビジネス部門間のルール
 [アプリケーション]

次の間のルールを含めることを推奨します。

  • アプリケーション
  • アプリケーション層
  • マイクロ サービス

分散ファイアウォール ポリシーの追加

分散ファイアウォールは、仮想マシンですべての East-West トラフィックをモニターします。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. ナビゲーション パネルから [セキュリティ] > [分散ファイアウォール] の順に選択します。
  3. 正しい事前定義済みカテゴリであることを確認し、[ポリシーの追加] をクリックします。
  4. [名前] に、新しいポリシー セクションを入力します。
  5. (オプション) [適用先] で、選択したグループにポリシー内のルールを適用します。デフォルトで、ポリシーの [適用先] フィールドは分散ファイアウォールに設定されており、ポリシー ルールはすべてのワークロードに適用されます。デフォルトを変更するときに、ポリシーとポリシー内のルールの [適用先] がグループに設定されている場合、ポリシー レベルの [適用先] は、ルール レベルの [適用先] よりも優先されます。
    注: IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。

    [適用先] はポリシーあたりの適用範囲を定義します。また、ESXi ホストのリソースの最適化に主に使用されます。特定のゾーン、テナント、またはアプリケーションのターゲットとなるポリシーを定義するのに役立ち、その他のアプリケーション、テナント、およびゾーンに定義されている他のポリシーに干渉することもありません。

  6. 次のポリシーを構成するには、歯車アイコンをクリックします。
  7. [公開] をクリックします。複数のポリシーを追加し、まとめて一度に公開できます。
    新しいポリシーは画面に表示されます。
  8. ポリシー セクションを選択して [ルールを追加] をクリックし、ルール名を入力します。
  9. [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。Active Directory のメンバーを持つグループは、IDFW ルールの [送信元] テキストボックスで使用できます。IPv4、IPv6、マルチキャスト アドレスがサポートされています。IPv6 ファイアウォールでは、接続されたセグメントで IPv6 に対して IP 検出を有効にする必要があります。詳細については、「#GUID-F481E554-F39D-4091-BA19-0D9F585F97F1」を参照してください。
  10. [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。IPv4、IPv6、マルチキャスト アドレスがサポートされています。
  11. [サービス] 列で編集アイコンをクリックし、サービスを選択します。サービスを定義しない場合は、[すべて] と一致します。
  12. イーサネット カテゴリにルールを追加する場合、[コンテキスト プロファイル] 列は使用できません。他のルール カテゴリの場合は、[プロファイル] 列で編集アイコンをクリックしてコンテキスト プロファイルを選択するか、[コンテキスト プロファイルの追加] をクリックします。
    このパラメータは、L7 アプリケーション ID フィルタリングと FQDN フィルタリングに使用されます。
  13. [適用] をクリックして、ルールにコンテキスト プロファイルを適用します。
  14. [適用先] で、選択したグループにルールを適用します。ゲスト イントロスペクションを使用して DFW ルールを作成する場合は、宛先グループに [適用先] フィールドが適用されていることを確認します。デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。デフォルトを変更するときに、ポリシーとポリシー内のルールの [適用先][グループ] に設定されている場合、ポリシー レベルの [適用先] は、ルール レベルの [適用先] よりも優先されます。
    注: IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。
  15. [アクション] 列で、アクションを選択します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびプロトコルを持つすべての L3 または L2 トラフィックが現在のファイアウォール コンテキストを通過することを許可します。ルールに一致し、承認されたパケットは、ファイアウォールが存在しないかのようにシステム内を移動します。
    ドロップ 指定されたソース、ターゲット、およびプロトコルを持つパケットをドロップします。パケットのドロップは情報が表示されず、送信元のシステムまたは宛先のシステムへの通知なしで実行されます。パケットをドロップすると、再試行のしきい値に到達するまで、接続が再試行されます。
    却下 指定されたソース、ターゲット、およびプロトコルを持つパケットを却下します。パケットの却下は、送信者に対して宛先に到達できないというメッセージを送信するので、パケットを拒否する方法としてはより適切です。プロトコルが TCP の場合、TCP RST メッセージが送信されます。UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。[却下] を使用するメリットの 1 つは、一度接続を試行するのみで、接続を確立できないことが、送信側のアプリケーションに通知されることです。
    アプリケーションにジャンプ
    注: このアクションは、環境カテゴリでのみ使用できます。

    アプリケーション カテゴリ ルールを適用するために、環境カテゴリ ルールに一致するトラフィックを続行できるようにします。このアクションは、環境カテゴリ ルールと一致したトラフィックを終了し、アプリケーション カテゴリ ルールを適用する場合に使用します。

    たとえば、環境カテゴリ ルールで特定の送信元に許可アクションが設定され、アプリケーション カテゴリ ルールで同じ送信元にドロップ アクションが設定されているとします。この場合、環境カテゴリに一致するパケットは許可されてファイアウォールを通過し、それ以降のルールは適用されなくなります。[アプリケーションにジャンプ] アクションを選択した場合、環境カテゴリ ルールと一致したパケットはアプリケーション カテゴリ ルールと照合され、結果としてドロップされます。
  16. 状態の切り替えボタンをクリックし、ルールを有効または無効にします。
  17. 歯車アイコンをクリックし、次のルールのオプションを構成します。
    オプション 説明
    ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
    方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。受信はアップリンク インターフェイスまたはサービス インターフェイスから入ってくるトラフィックのみ、送信はアップリンク インターフェイスまたはサービス インターフェイスから出ていくトラフィックのみ、受信/送信は両方のトラフィックがチェックされることを意味します。
    IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
    ログ ラベル

    ログを有効にすると、ログ ラベルがファイアウォール ログに記録されます。最大文字数は 39 文字です。

  18. [公開] をクリックします。同じセクションの 1,000 個のルールを追加し、まとめて一度に公開できます。
  19. データ パスの認識状態とトランスポート ノードの詳細がポリシー テーブルの右側に表示されます。

分散 IDS/IPS ポリシーの追加

IDS/IPS ルールは、分散ファイアウォール (DFW) ルールと同じ方法で作成します。IDS ポリシーを作成してから、ポリシーのルールを作成します。

手順

  1. [セキュリティ] > [IDS/IPS] > [分散ファイアウォール ルール] の順に移動します。
  2. [ポリシーの追加] をクリックしてポリシーを作成し、ポリシー名を入力します。
  3. 歯車アイコンをクリックして、必要なポリシーを構成します。
    オプション 説明
    ステートフル ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。
    ロック済み 複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。

    エンタープライズ管理者などの一部のロールにはフル アクセスの認証情報があるため、ロックアウトできません。

  4. [ルールの追加] をクリックしてルールを追加し、ルール名を入力します。
  5. 送信元、宛先、サービスを構成して、IDS で検査するトラフィックを定義します。IDS は、任意のタイプの送信元と宛先のグループをサポートします。
  6. [セキュリティ プロファイル] 列で、このルールに必要なプロファイルを選択します。
  7. [適用先] 列で、ルールの範囲を制限する適切なオプションを選択します。デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。また、選択したグループにルールまたはポリシーを適用することもできます。IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、[適用先] テキスト ボックスで使用できません。
  8. 次のオプションから必要な [モード] を選択します。
    • [検出のみ]:シグネチャと比較して侵入を検出しますが、アクションは実行しません。
    • [検出して防止]:シグネチャと比較して侵入を検出し、アクションを実行します。プロファイルまたはグローバル設定でシグネチャに指定したように、ドロップまたは拒否を実行します。
  9. 歯車アイコンをクリックして、次のルール オプションを構成します。
    オプション 説明
    ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
    方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。IN は、オブジェクトへのトラフィックのみがチェックされます。OUT は、オブジェクトからのトラフィックのみがチェックされます。In-Out では、両方向のトラフィックがチェックされます。
    IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
    ログ ラベル ログを有効にすると、ログ ラベルがファイアウォール ログに記録されます。
  10. [公開] をクリックします。ルールがホストに正常にプッシュされると、状態が [成功] と表示されます。
  11. グラフのアイコンをクリックして表示します。
    • ポリシーの状態:ホストにルールが正常にプッシュされています。
    • トランスポート ノードの状態とエラー
    詳細なポリシー構成については、『 NSX 管理ガイド』を参照してください。

ゲートウェイ ファイアウォール ポリシー

ゲートウェイ ファイアウォールを構成するには、これらのルールを事前定義カテゴリのファイアウォール ポリシー セクションに追加します。

手順

  1. [セキュリティ] > [ゲートウェイ ファイアウォール] > [ゲートウェイ固有のルール] の順に移動します。
  2. [T0-Gateway] を選択して、[ポリシーの追加] をクリックします。
    GFW ポリシーの追加
  3. ルールを追加します。
  4. ルールのサービスを追加します。
  5. 送信元、宛先、サービス、ゲートウェイなどの詳細を指定し、アクションを選択します。
  6. ポリシーとルールを公開します。