使用 VMware Cloud Director Tenant Portal管理 NSX Data Center for vSphere 分散式防火牆規則

如 NSX Data Center for vSphere 說明文件中所述，預設防火牆設定會套用至不符合任何使用者定義之防火牆規則的流量。在 VMware Cloud Director Tenant Portal 中，預設分散式防火牆規則標示為「預設允許規則」。

分散式防火牆功能必須在組織虛擬資料中心上啟用，您才能使用 VMware Cloud Director Tenant Portal 管理分散式防火牆設定。

預設分散式防火牆規則設定為允許所有第 3 層和第 2 層流量通過組織虛擬資料中心。此設定由使用者介面之 [動作] 資料行中所設定的 [允許] 指示。預設規則一律位於 [規則] 資料表的底部。

重要：您無法刪除或修改預設的分散式防火牆規則。

使用 VMware Cloud Director Tenant Portal新增分散式防火牆規則

透過使用 VMware Cloud Director Tenant Portal，可以先在組織虛擬資料中心範圍內新增分散式防火牆規則。然後，您可以縮小要套用規則的範圍。分散式防火牆可讓您在來源和目的地層級針對每個規則新增多個物件，這有助於減少要新增的防火牆規則總數。

如需可在規則使用中的預先定義的服務和服務群組的相關資訊，請參閱使用 VMware Cloud Director Tenant Portal檢視可用於防火牆規則的服務和使用 VMware Cloud Director Tenant Portal檢視可用於防火牆規則的服務群組。

必要條件

使用 VMware Cloud Director Tenant Portal在 NSX Data Center for vSphere 支援的組織虛擬資料中心上啟用分散式防火牆
如果您想要使用 IP 集做為規則中的來源或目的地，使用 VMware Cloud Director Tenant Portal建立用於防火牆規則和 DHCP 轉送組態的 IP 集。
如果您想要使用 MAC 集作為規則中的來源或目的地，使用 VMware Cloud Director Tenant Portal建立用於防火牆規則的 MAC 集。
如果您想要使用安全群組做為規則中的來源或目的地，使用 VMware Cloud Director Tenant Portal建立安全群組。

程序

在虛擬資料中心儀表板畫面上，按一下您想要探索的虛擬資料中心的卡，然後在網路下，選取安全性。
選取您想要修改防火牆規則的安全性服務 VDC 網路，然後按一下設定服務。
[安全性服務] 畫面隨即顯示。
選取要建立的規則類型。您可以選擇建立一般規則或乙太網路規則。
第 3 層 (L3) 規則會在一般索引標籤上設定。第 2 層 (L2) 規則會在乙太網路索引標籤上設定。
若要在防火牆資料表中的現有規則下方新增某個規則，請按一下現有的資料列，然後按一下建立 () 按鈕。
新規則的資料列會新增至所選規則下方，並且預設獲指派任何目的地、任何服務和允許動作。如果系統定義的預設允許規則是防火牆資料表中的唯一規則，新規則便會新增到預設規則之上。
按一下名稱儲存格，然後輸入名稱。

按一下來源儲存格，並使用現在顯示的圖示來選取要新增至規則的來源：

動作	描述
按一下 IP 圖示	適用於一般索引標籤上定義的規則。輸入您要使用的來源值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 `any`。分散式防火牆僅支援 IPv4 格式。
按一下 + 圖示	使用 + 圖示將來源指定為除特定 IP 位址以外的物件：使用選取物件視窗新增符合您選取項目的物件，然後按一下保留將其新增至規則。若要從規則中排除某個來源，請使用選取物件視窗將其新增到此規則，然後選取切換排除圖示以從此規則中排除此來源。在來源上選取切換排除時，此規則會套用至來自除了已排除來源以外的所有來源的流量。如果未選取切換排除，此規則會套用至來自選取物件視窗中所指定來源的流量。

動作

描述

按一下 IP 圖示

適用於一般索引標籤上定義的規則。

輸入您要使用的來源值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 any。分散式防火牆僅支援 IPv4 格式。

按一下 + 圖示

使用 + 圖示將來源指定為除特定 IP 位址以外的物件：

使用選取物件視窗新增符合您選取項目的物件，然後按一下保留將其新增至規則。
若要從規則中排除某個來源，請使用選取物件視窗將其新增到此規則，然後選取切換排除圖示以從此規則中排除此來源。

在來源上選取切換排除時，此規則會套用至來自除了已排除來源以外的所有來源的流量。如果未選取切換排除，此規則會套用至來自選取物件視窗中所指定來源的流量。

按一下目的地儲存格，然後執行下列其中一個動作：

動作	描述
按一下 IP 圖示	適用於一般索引標籤上定義的規則。輸入您要使用的目的地值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 `any`。分散式防火牆僅支援 IPv4 格式。
按一下 + 圖示	使用 + 圖示將來源指定為除特定 IP 位址以外的物件：使用選取物件視窗新增符合您選取項目的物件，然後按一下保留將其新增至規則。若要從規則中排除某個來源，請使用 [選取物件] 視窗將其新增到此規則，然後選取切換排除圖示以從此規則中排除此來源。在來源上選取切換排除時，此規則會套用至來自除了已排除來源以外的所有來源的流量。如果未選取切換排除，此規則會套用至來自選取物件視窗中所指定來源的流量。

動作

描述

按一下 IP 圖示

適用於一般索引標籤上定義的規則。

輸入您要使用的目的地值。有效值為 IP 位址、CIDR、IP 範圍或關鍵字 any。分散式防火牆僅支援 IPv4 格式。

按一下 + 圖示

使用 + 圖示將來源指定為除特定 IP 位址以外的物件：

使用選取物件視窗新增符合您選取項目的物件，然後按一下保留將其新增至規則。
若要從規則中排除某個來源，請使用 [選取物件] 視窗將其新增到此規則，然後選取切換排除圖示以從此規則中排除此來源。

按一下新規則的服務儲存格，然後執行下列其中一個動作：

動作	描述
按一下 IP 圖示	以連接埠–通訊協定組合形式指定服務：選取服務通訊協定。輸入來源和目的地連接埠的連接埠號碼，或指定 `any`，然後按一下保留。
按一下 + 圖示	若要選取預先定義的服務或服務群組，或定義新的服務或服務群組：選取一或多個物件，然後將其新增至篩選器。按一下保留。

在新規則的動作儲存格中，設定規則的動作。

選項	描述
允許	允許流出或流入指定來源、目的地和服務的流量。
拒絕	封鎖流出或流入指定來源、目的地和服務的流量。

在新規則的方向儲存格中，選取此規則是否套用至傳入流量和/或傳出流量。
如果此為一般索引標籤上的規則，請在新規則的封包類型儲存格中，選取任何、IPV4 或 IPV6 封包類型。
選取套用至儲存格，並使用 + 圖示定義此規則適用的物件範圍。
當規則包含來源和目的地儲存格中的虛擬機器時，您必須同時將來源和目的地虛擬機器新增至規則的套用至，才能使規則正常運作。
重要： IP 位址群組 (IP 集)、MAC 位址群組 (MAC 集) 以及包含 IP 集或 MAC 集的安全群組不是有效的輸入參數。
按一下儲存變更。

使用 VMware Cloud Director Tenant Portal編輯分散式防火牆規則

在 VMware Cloud Director 環境中，若要修改組織虛擬資料中心的現有分散式防火牆規則，請使用分散式防火牆畫面。

如需有關可用於各種規則儲存格之設定的詳細資料，請參閱使用 VMware Cloud Director Tenant Portal新增分散式防火牆規則。

程序

在虛擬資料中心儀表板畫面上，按一下您想要探索的虛擬資料中心的卡，然後在網路下，選取安全性。
選取您想要修改防火牆規則的安全性服務 VDC 網路，然後按一下設定服務。
[安全性服務] 畫面隨即顯示。
執行下列任何動作以管理分散式防火牆規則：
- 透過按一下編號儲存格中的綠色核取記號停用規則。
  綠色核取記號會變成紅色的已停用圖示。如果規則已停用並且您想要啟用此規則，請按一下紅色的已停用圖示。
- 透過按兩下規則的名稱儲存格並輸入新名稱，編輯規則名稱。
- 透過選取適當的儲存格並使用顯示的控制項來修改規則設定，例如來源或動作設定。
- 透過選取規則，然後按一下位於規則資料表上方的刪除按鈕以刪除規則。
- 透過選取規則，然後按一下位於規則資料表上方的向上和向下箭頭按鈕，可在規則資料表中將該規則上移或下移。
按一下儲存變更。