Distributed Firewall 規則在虛擬機器 (vNIC) 層級套用,可以控制 SDDC 內的東西向流量。

嘗試通過 Distributed Firewall 的所有流量皆會受到規則的約束,按規則資料表中所顯示的順序,從頂端開始處理。第一個規則允許的封包會傳遞到第二個規則,後續規則依此類推,直到封包被捨棄、遭到拒絕或命中預設規則 (允許所有流量)。

小心:

在 SDDC 版本 1.20、1.20v2 或 1.20v3 中,如果分散式防火牆規則的內容設定檔具有 FQDN 屬性,則 DNS 伺服器的回應中顯示 CNAME 記錄時,可能會觸發 PSOD 故障。如需詳細資料,請參閱 VMware 知識庫文章 91654

分散式防火牆規則會分組為原則。原則會依類別進行組織整理。每個類別都有評估優先順序。具有較高優先順序類別中的規則,會在具有較低優先順序類別中的規則之前進行評估。
表 1. 分散式防火牆規則類別
類別評估優先順序 類別名稱 說明
1 乙太網路 適用於所有第 2 層 SDDC 網路流量。
備註: 此類別中的規則需要 MAC 位址作為來源和目的地。IP 位址已接受,但會被忽略。
2 緊急 用於隔離和允許規則。
3 基礎結構 定義對共用服務的存取權。全域規則、AD、DNS、NTP、DHCP、備份、管理伺服器。
4 環境 安全區域 (例如生產區域、開發區域或專用於特定業務用途的區域) 之間的規則。
5 應用程式 應用程式、應用程式層或微服務之間的規則。
如需有關分散式防火牆詞彙的詳細資訊,請參閱 NSX Data Center 管理指南》中的 〈安全性詞彙〉

必要條件

分散式防火牆規則需要詳細目錄群組做為來源和目的地,並且必須套用至服務,該服務可以是預先定義的服務或您為 SDDC 定義的自訂服務。您可以在建立規則時建立這些群組和服務,但如果事先處理程序的某些部分,則可以加快程序的執行。請參閱使用詳細目錄群組

程序

  1. 登入 VMware Cloud Services,網址為 https://vmc.vmware.com
  2. 按一下詳細目錄 > SDDC,然後挑選一個 SDDC 卡並按一下檢視詳細資料
  3. 按一下開啟 NSX Manager,然後使用 SDDC 設定頁面上顯示的 NSX Manager 管理員使用者帳戶登入。請參閱使用 NSX Manager 的 SDDC 網路管理
    也可以使用 VMware Cloud 主控台網路與安全性索引標籤執行此工作流程。
  4. 開啟分散式防火牆頁面。
    按一下 類別特定規則,然後選取一個類別來檢視並修改該類別中的原則和規則,或按一下 所有規則以檢視 (但不修改) 所有原則和類別中的規則。
  5. (選擇性) 變更預設連線策略。
    Distributed Firewall 包括套用至所有第 2 層和第 3 層流量的預設規則。這些規則會在其類別中的所有其他規則之後進行評估,並允許不符合前述規則的流量通過防火牆。可以變更其中一個或兩個規則使其具有更多的限制,但不能停用任一規則。
    • 若要變更預設第 2 層規則,請展開乙太網路類別中的預設第 2 層區段,然後將該規則的動作變更為捨棄
    • 若要變更預設第 3 層規則,請展開應用程式類別中的預設第 3 層區段,然後將該規則的動作變更為捨棄拒絕
    按一下 發佈以更新規則。
  6. 若要新增原則,請開啟適當的類別,按一下新增原則,然後為新原則提供名稱

    新原則隨即新增至其類別的原則清單頂端。若要在現有原則前方或後方新增原則,請按一下原則列開頭的垂直省略符號按鈕以開啟 [原則設定] 功能表,然後按一下在上方新增原則在下方新增原則

    依預設,套用至資料行已設為 DFW,且規則會套用至所有工作負載。您也可以將規則或原則套用至所選群組。套用至定義了每個規則的強制執行範圍,主要用於最佳化主機資源耗用。這有助於為特定區域和承租人定義目標原則,而不會干擾為其他承租人和區域定義的其他原則。

    備註: 僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。
  7. 若要新增規則,請選取原則,按一下新增規則,然後為規則指定名稱
  8. 輸入新規則的參數。
    參數會初始化為其預設值 (例如, 來源目的地全部)。若要編輯參數,請將滑鼠游標移到參數值上,然後按一下鉛筆圖示 ( 鉛筆圖示) 以開啟參數特定的編輯器。
    選項 說明
    來源 按一下來源資料行中的任何,並為來源網路流量選取詳細目錄群組,或按一下新增群組以建立新的使用者定義的詳細目錄群組來用於此規則。按一下儲存
    目的地 按一下目的地資料行中的任何,並為目的地網路流量選取詳細目錄群組,或按一下新增群組以建立新的使用者定義的詳細目錄群組來用於此規則。按一下儲存
    服務 按一下服務資料行中的任何,然後從清單中選取服務。按一下儲存
    套用至 此規則會從包含的原則繼承其套用至值。
    動作
    • 選取允許以允許所有 L2 和 L3 流量通過防火牆。
    • 選取捨棄,以捨棄符合任何指定的來源目的地服務的封包。這是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    • 選取拒絕,以拒絕符合任何指定的來源目的地服務的封包。此動作會向寄件者傳回「無法連線到目的地的訊息」。對於 TCP 封包,回應包括 TCP RST 訊息。針對 UDP、ICMP 和其他通訊協定,回應包括「以系統管理方式禁止」程式碼 (9 或 10)。如果無法建立連線,會立即通知寄件者 (無需重試)。
    新規則預設為啟用。將切換開關向左滑可將其停用。
  9. (選擇性) 設定進階設定。
    若要變更規則的方向性或記錄行為,請按一下齒輪圖示 以開啟 設定頁面。
    方向
    依預設,此值為 輸入/輸出,會將規則套用至所有來源和目的地。可以將此變更為 輸入以將規則僅套用至來源的傳入流量,或變更為 輸出以將其僅套用至目的地的傳出流量。變更此值可能會導致非對稱路由和其他流量異常,因此在變更 方向的預設值之前,請務必瞭解所有來源和目的地的可能結果。
    記錄
    依預設已停用新規則的記錄。將切換開關向右滑可啟用規則動作的記錄。
  10. 按一下發佈以建立規則。

    系統會為新規則提供整數識別碼值,用於在產生的記錄項目中識別規則。

下一步

您可以使用現有的防火牆規則來接受任何或所有的選用動作。

  • 按一下齒輪圖示 (cog 圖示),以檢視或修改規則記錄設定。記錄項目會傳送至 VMware VMware Aria Operations for Logs 服務。請參閱VMware Cloud on AWS 作業指南中的使用 VMware Aria Operations for Logs

  • 按一下圖形圖示 圖形圖示,以檢視規則的生效規則數和流量統計資料。
    表 2. 生效規則統計資料
    熱門度索引 在過去 24 小時內觸發規則的次數。
    叫用次數 自規則建立以來觸發規則的次數。
    表 3. 流量統計資料
    封包計數 流經此規則的封包總計。
    位元組計數 流經此規則的位元組總計。
    啟用此規則後,統計資料即會開始累積。
  • 重新排序防火牆規則。

    透過新增規則按鈕建立的規則,將置於原則中的規則清單頂部。每個原則中的防火牆規則會依順序自上而下套用。若要變更清單中規則的位置,請選取該規則並將其拖曳到新位置。按一下發佈以發佈變更。