透過使用 VMware Cloud Director Service Provider Admin Portal,可以先在組織虛擬資料中心範圍內新增分散式防火牆規則。然後,您可以縮小要套用規則的範圍。分散式防火牆可讓您在來源和目的地層級針對每個規則新增多個物件,這有助於減少要新增的防火牆規則總數。

如需可在規則使用中的預先定義的服務和服務群組的相關資訊,請參閱使用 VMware Cloud Director Service Provider Admin Portal檢視可用於防火牆規則的服務使用 VMware Cloud Director Service Provider Admin Portal檢視可用於防火牆規則的服務群組

必要條件

程序

  1. 從頂部導覽列中,選取資源,然後按一下雲端資源
  2. 在左面板中,按一下組織 VDC
  3. 按一下目標組織虛擬資料中心旁邊的選項按鈕,然後按一下管理防火牆
  4. 選取要建立的規則類型。您可以選擇建立一般規則或乙太網路規則。
    第 3 層 (L3) 規則會在 一般索引標籤上設定。第 2 層 (L2) 規則會在 乙太網路索引標籤上設定。
  5. 若要在防火牆資料表中的現有規則下方新增某個規則,請按一下現有的資料列,然後按一下建立 (建立按鈕) 按鈕。
    新規則的資料列會新增至所選規則下方,並且預設獲指派任何目的地、任何服務和 允許動作。如果系統定義的預設允許規則是防火牆資料表中的唯一規則,新規則便會新增到預設規則之上。
  6. 按一下名稱儲存格,然後輸入名稱。
  7. 按一下來源儲存格,並使用現在顯示的圖示來選取要新增至規則的來源:
    動作 描述
    按一下 IP 圖示 適用於一般索引標籤上定義的規則。

    輸入您要使用的來源值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 any。分散式防火牆僅支援 IPv4 格式。

    按一下 + 圖示 使用 + 圖示將來源指定為除特定 IP 位址以外的物件:
    • 使用選取物件視窗新增符合您選取項目的物件,然後按一下保留將其新增至規則。
    • 若要從規則中排除某個來源,請使用選取物件視窗將其新增到此規則,然後選取切換排除圖示以從此規則中排除此來源。

    在來源上選取切換排除時,此規則會套用至來自除了已排除來源以外的所有來源的流量。如果未選取切換排除,此規則會套用至來自選取物件視窗中所指定來源的流量。

  8. 按一下目的地儲存格,然後執行下列其中一個動作:
    動作 描述
    按一下 IP 圖示 適用於一般索引標籤上定義的規則。

    輸入您要使用的目的地值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 any。分散式防火牆僅支援 IPv4 格式。

    按一下 + 圖示 使用 + 圖示將來源指定為除特定 IP 位址以外的物件:
    • 使用選取物件視窗新增符合您選取項目的物件,然後按一下保留將其新增至規則。
    • 若要從規則中排除某個來源,請使用 [選取物件] 視窗將其新增到此規則,然後選取切換排除圖示以從此規則中排除此來源。

    在來源上選取切換排除時,此規則會套用至來自除了已排除來源以外的所有來源的流量。如果未選取切換排除,此規則會套用至來自選取物件視窗中所指定來源的流量。

  9. 按一下新規則的服務儲存格,然後執行下列其中一個動作:
    動作 描述
    按一下 IP 圖示 以連接埠–通訊協定組合形式指定服務:
    1. 選取服務通訊協定。
    2. 輸入來源和目的地連接埠的連接埠號碼,或指定 any,然後按一下保留
    按一下 + 圖示 若要選取預先定義的服務或服務群組,或定義新的服務或服務群組:
    1. 選取一或多個物件,然後將其新增至篩選器。
    2. 按一下保留
  10. 在新規則的動作儲存格中,設定規則的動作。
    選項 描述
    允許 允許流出或流入指定來源、目的地和服務的流量。
    拒絕 封鎖流出或流入指定來源、目的地和服務的流量。
  11. 在新規則的方向儲存格中,選取此規則是否套用至傳入流量和/或傳出流量。
  12. 如果此為一般索引標籤上的規則,請在新規則的封包類型儲存格中,選取任何IPV4IPV6 封包類型。
  13. 選取套用至儲存格,並使用 + 圖示定義此規則適用的物件範圍。
    當規則包含 來源目的地儲存格中的虛擬機器時,您必須同時將來源和目的地虛擬機器新增至規則的 套用至,才能使規則正常運作。
    重要: IP 位址群組 (IP 集)、MAC 位址群組 (MAC 集) 以及包含 IP 集或 MAC 集的安全群組不是有效的輸入參數。
  14. 按一下儲存變更