管理 NSX Data Center for vSphere Edge 閘道防火牆

若要保護進出 Edge 閘道的流量，您可以建立和管理該 Edge 閘道上的防火牆規則。

如需保護在組織虛擬資料中心的虛擬機器之間傳輸之流量的相關資訊，請參閱使用租用戶入口網站管理 NSX Data Center for vSphere 分散式防火牆規則。

在分散式防火牆畫面上建立且在其 [套用至] 資料行中已指定進階 Edge 閘道的規則，不會顯示在該進階 Edge 閘道的 [防火牆] 畫面中。

Edge 閘道的 Edge 閘道防火牆規則會顯示在防火牆畫面中，並按以下順序強制執行：

內部規則，亦稱為自動連接規則。這些內部規則可控制 Edge 閘道服務的流量流動。
使用者定義的規則。
預設規則。

預設規則的設定會套用至不符合任何使用者定義之防火牆規則的流量。預設規則會顯示在 [防火牆] 畫面上的規則底部。

在租用戶入口網站中，使用 Edge 閘道之 [防火牆規則] 畫面上的啟用切換按鈕，可啟用或停用 Edge 閘道防火牆。

將 Edge 閘道轉換為進階 Edge 閘道

若要使用租用戶入口網站中的 Edge 閘道，您需要將其轉換為進階 Edge 閘道。一旦將其轉換為進階 Edge 閘道，您可以使用租用戶入口網站，設定 NSX 軟體針對這些進階 Edge 閘道所提供的靜態和動態路由功能。

必要條件

您具有現有的 Edge 閘道。

程序

在頂部導覽列中，按一下網路，然後按一下 Edge 閘道索引標籤。
選取要編輯的 Edge 閘道。
按一下轉換成進階。

結果

Edge 閘道隨即轉換為進階 Edge 閘道。

下一步

一旦轉換為進階 Edge 閘道，您可以透過選取閘道並按一下服務進行設定。

新增 NSX Data Center for vSphere Edge 閘道防火牆規則

使用 Edge 閘道防火牆索引標籤，新增該 Edge 閘道的防火牆規則。您可以新增多個 NSX Edge 介面和多個 IP 位址群組，以做為這些防火牆規則的來源和目的地。

針對規則的來源或目的地指定內部，指示連線至 NSX Edge 閘道之連接埠群組上的所有子網路的流量。如果您選取內部做為來源，會在 NSX 閘道上設定其他內部介面時自動更新規則。

備註：將 Edge 閘道設定為進行動態路由時，內部介面上的 Edge 閘道防火牆規則無法運作。

程序

開啟 Edge 閘道服務。
1. 在頂部導覽列中，按一下網路，然後按一下 Edge 閘道。
2. 選取要編輯的 Edge 閘道，然後按一下服務。
如果防火牆規則畫面尚未顯示，請按一下防火牆索引標籤。
若要在防火牆規則資料表中的現有規則下方新增某個規則，請按一下現有的資料列，然後按一下建立按鈕。
新規則的資料列會新增至所選規則下方，並且預設獲指派任何目的地、任何服務和允許動作。如果系統定義的預設規則是防火牆資料表中的唯一規則，新規則便會新增到預設規則之上。
按一下名稱儲存格，然後輸入名稱。

按一下來源儲存格，並使用現在顯示的圖示來選取要新增至規則的來源：

選項	描述
按一下 IP 圖示	輸入您想要使用的來源值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 `any`。Edge 閘道防火牆同時支援 IPv4 和 IPv6 格式。
按一下 + 圖示	使用 + 圖示將來源指定為除特定 IP 位址以外的物件：使用選取物件視窗新增符合您選取項目的物件，然後按一下保留將其新增至規則。若要從規則中排除某個來源，請使用選取物件視窗將其新增到此規則，然後選取切換排除圖示以從此規則中排除此來源。在來源上選取切換排除時，此規則會套用至來自除了已排除來源以外的所有來源的流量。如果未選取切換排除，此規則會套用至來自選取物件視窗中所指定來源的流量。

選項

描述

按一下 IP 圖示

輸入您想要使用的來源值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 any。Edge 閘道防火牆同時支援 IPv4 和 IPv6 格式。

按一下 + 圖示

使用 + 圖示將來源指定為除特定 IP 位址以外的物件：

使用選取物件視窗新增符合您選取項目的物件，然後按一下保留將其新增至規則。
若要從規則中排除某個來源，請使用選取物件視窗將其新增到此規則，然後選取切換排除圖示以從此規則中排除此來源。

在來源上選取切換排除時，此規則會套用至來自除了已排除來源以外的所有來源的流量。如果未選取切換排除，此規則會套用至來自選取物件視窗中所指定來源的流量。

按一下目的地儲存格，然後執行下列其中一個選項：

選項	描述
按一下 IP 圖示	輸入您想要使用的目的地值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 `any`。Edge 閘道防火牆同時支援 IPv4 和 IPv6 格式。
按一下 + 圖示	使用 + 圖示將來源指定為除特定 IP 位址以外的物件：使用選取物件視窗新增符合您選取項目的物件，然後按一下保留將其新增至規則。若要從規則中排除某個來源，請使用 [選取物件] 視窗將其新增到此規則，然後選取切換排除圖示以從此規則中排除此來源。在來源上選取切換排除時，此規則會套用至來自除了已排除來源以外的所有來源的流量。如果未選取切換排除，此規則會套用至來自選取物件視窗中所指定來源的流量。

選項

描述

按一下 IP 圖示

輸入您想要使用的目的地值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 any。Edge 閘道防火牆同時支援 IPv4 和 IPv6 格式。

按一下 + 圖示

使用 + 圖示將來源指定為除特定 IP 位址以外的物件：

使用選取物件視窗新增符合您選取項目的物件，然後按一下保留將其新增至規則。
若要從規則中排除某個來源，請使用 [選取物件] 視窗將其新增到此規則，然後選取切換排除圖示以從此規則中排除此來源。

按一下新規則的服務儲存格，然後按一下 + 圖示，以連接埠-通訊協定組合形式指定服務：
1. 選取服務通訊協定。
2. 輸入來源和目的地連接埠的連接埠號碼，或指定 any。
3. 按一下保留。

在新規則的動作儲存格中，設定規則的動作。

選項	描述
接受	允許流出或流入指定來源、目的地和服務的流量。
拒絕	封鎖流出或流入指定來源、目的地和服務的流量。

按一下儲存變更。
儲存作業需要一分鐘時間才能完成。

修改 NSX Data Center for vSphere Edge 閘道防火牆規則

您只能編輯和刪除已新增至 Edge 閘道的使用者定義的防火牆規則。您無法編輯或刪除自動產生的規則或預設規則，但可以變更預設規則的動作設定。您可以變更使用者定義之規則的優先順序。

如需有關可用於各種規則儲存格之設定的詳細資料，請參閱新增 NSX Data Center for vSphere Edge 閘道防火牆規則。

程序

開啟 Edge 閘道服務。
1. 在頂部導覽列中，按一下網路，然後按一下 Edge 閘道。
2. 選取要編輯的 Edge 閘道，然後按一下服務。
按一下防火牆索引標籤。
管理防火牆規則。
- 透過按一下編號儲存格中的綠色核取記號停用規則。綠色核取記號會變成紅色的已停用圖示。如果規則已停用並且您想要啟用此規則，請按一下紅色的已停用圖示。
- 透過按兩下規則的名稱儲存格並輸入新名稱，編輯規則名稱。
- 透過選取適當的儲存格並使用顯示的控制項來修改規則設定，例如來源或動作設定。
- 透過選取規則，然後按一下位於規則資料表上方的刪除按鈕以刪除規則。
- 透過使用僅顯示使用者定義的規則切換按鈕，可隱藏系統產生的規則。
- 透過選取規則，然後按一下位於規則資料表上方的向上和向下箭頭按鈕，可在規則資料表中將該規則上移或下移。
按一下儲存變更。