依預設,計算閘道會封鎖對所有上行的流量。可以視需要新增計算閘道防火牆規則以允許流量。

計算閘道防火牆規則會指定針對從指定來源到指定目的地的網路流量,要採取的動作。動作可以是允許 (允許流量) 或捨棄 (捨棄與指定來源和目的地相符的所有封包)。來源和目的地可以從實體網路介面清單中進行選擇,也可以是所有上行的通用規格,即離開閘道並進入 VPC 介面、網際網路介面或 Direct Connect 介面的所有流量。套用至所有上行的防火牆規則不會套用至 VPN 通道介面 (VTI),VTI 是一個虛擬介面,而不是實體上行。在任何透過路由型 VPN 管理工作負載虛擬機器通訊的防火牆規則的套用至參數中,必須明確指定 VPN 通道介面。計算閘道包括捨棄對 VTI 之所有流量的預設 VTI 規則。若要讓工作負載虛擬機器能夠透過 VTI 進行通訊,請修改此規則或將其移至規則階層中的較低位置 (即放在更寬鬆的規則之後)。

嘗試通過防火牆的所有流量皆會受到規則的約束,按規則資料表中所顯示的順序,從頂端開始處理。第一個規則允許的封包會傳遞到第二個規則,後續規則依此類推,直到封包被捨棄、遭到拒絕或命中預設規則 (允許所有流量)。

必要條件

計算閘道 防火牆規則需要來源和目的地值的具名詳細目錄群組。請參閱新增或修改計算群組

程序

  1. 登入 VMC 主控台,網址為 https://vmc.vmware.com
  2. 網路與安全性索引標籤上,按一下閘道防火牆
  3. 閘道防火牆頁面上,按一下計算閘道
  4. 若要新增規則,請按一下新增規則,並為新規則提供名稱
  5. 輸入新規則的參數。
    參數會初始化為其預設值 (例如, 來源目的地全部)。若要編輯參數,請將滑鼠游標移到參數值上,然後按一下鉛筆圖示 ( ) 以開啟參數特定的編輯器。
    選項 說明
    來源 按一下來源資料行中的任何,並為來源網路流量選取詳細目錄群組,或按一下新增群組以建立新的使用者定義的詳細目錄群組來用於此規則。按一下儲存
    目的地 按一下目的地資料行中的任何,並為目的地網路流量選取詳細目錄群組,或按一下建立新群組以建立新的使用者定義的詳細目錄群組來用於此規則。按一下儲存
    服務 按一下服務資料行中的任何,然後從清單中選取服務。按一下儲存
    套用至 定義將套用規則的流量類型:
    • 如果要將規則套用至透過路由型 VPN 的流量,則選取 VPN 通道介面
    • 如果要將規則套用至透過連結的 AWS VPC 連線的流量,則選取 VPC 介面
    • 如果要將規則套用至透過網際網路的流量 (包括使用公用 IP 的原則型 VPN),則選取網際網路介面
    • 如果要將規則套用至透過 AWS Direct Connect (私人 VIF) 的流量 (包括使用私人 IP 的原則型 VPN),則選取 Direct Connect 介面
    • 如果要將規則套用至 VPC 介面網際網路介面Direct Connect 介面,但不套用至 VPN 通道介面,則選取所有上行
      備註: VPN 通道介面並未歸類為上行。
    動作
    • 選取允許以允許所有 L2 和 L3 流量通過防火牆。
    • 選取捨棄,以捨棄符合任何指定的來源目的地服務的封包。這是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    • 選取拒絕,以拒絕符合任何指定的來源目的地服務的封包。此動作會向寄件者傳回「無法連線到目的地的訊息」。對於 TCP 封包,回應包括 TCP RST 訊息。針對 UDP、ICMP 和其他通訊協定,回應包括「以系統管理方式禁止」程式碼 (9 或 10)。如果無法建立連線,會立即通知寄件者 (無需重試)。
    新規則預設為啟用。將切換開關向左滑可將其停用。
  6. 按一下發佈以建立規則。

後續步驟

您可以使用現有的防火牆規則來接受任何或所有的選用動作。

  • 按一下齒輪圖示 ,以檢視或修改規則記錄設定。記錄項目會傳送至 VMware vRealize Log Insight Cloud Service。請參閱VMware Cloud on AWS 作業指南中的使用 vRealize Log Insight Cloud

  • 按一下圖形圖示 ,以檢視規則的統計資料,包括:
    熱門度索引
    在過去 24 小時內觸發規則的次數。
    叫用次數
    自規則建立以來觸發規則的次數。
    啟用此規則後,統計資料即會開始累積。
  • 重新排序防火牆規則。

    透過新增規則按鈕建立的規則,將置於規則清單頂部。依序自上而下套用防火牆規則。若要變更清單中規則的位置,請選取該規則並將其拖曳到新位置。按一下發佈以發佈變更。