防火牆是一種網路安全系統,可根據預先決定的防火牆規則,監視和控制傳入和傳出的網路流量。
系統會在 NSX Manager 範圍中新增防火牆規則。使用 [套用至] 欄位,便可以縮小您要套用規則的範圍。您可以在每個規則的來源及目的地層級新增多個物件,這有助於降低要新增的防火牆規則總數。
備註: 依預設,規則符合任何來源、目的地和服務規則元素的預設值,且符合所有介面及流量方向。如果您要限制規則對特定介面或流量方向的影響,則必須指定規則中的限制。
程序
- 選取。
- 按一下 L3 規則的一般索引標籤,或是 L2 規則的乙太網路 索引標籤。
- 按一下現有的區段或規則。
- 在規則的第一個資料行中按一下功能表圖示,然後選取新增以上規則或新增以下規則。
隨即顯示新的列可用來定義防火牆規則。
備註: 對於嘗試通過防火牆的任何流量,封包資訊皆會受到 [規則] 表格中所顯示規則順序的約束,從頂端開始,一路往底部的預設規則依序處理。在某些情況下,兩個以上規則的優先順序對於判定封包的處理方式而言可能很重要。
- 在名稱資料行中,輸入規則名稱。
- 在來源資料行中,按一下編輯圖示並選取規則來源。若未定義,則來源會符合任何項目。
選項 |
說明 |
IP 位址 |
在以逗點分隔的清單中輸入多個 IP 或 MAC 位址。該清單最多可包含 255 個字元。支援 IPv4 和 IPv6 格式。 |
容器物件 |
可用的物件為 IP 集合、邏輯連接埠、邏輯交換器及 NS 群組。選取物件,然後按一下確定。 |
- 在目的地資料行中,按一下編輯圖示並選取目的地。若未定義,則目的地會符合任何項目。
選項 |
說明 |
IP 位址 |
您可以在以逗點分隔的清單中輸入多個 IP 或 MAC 位址。該清單最多可包含 255 個字元。支援 IPv4 和 IPv6 格式。 |
容器物件 |
可用的物件為 IP 集合、邏輯連接埠、邏輯交換器及 NS 群組。選取物件,然後按一下確定。 |
- 在服務資料行中,按一下編輯圖示並選取服務。若未定義,則服務會符合任何項目。
- 若要選取預先定義的服務,請選取一或多項可用服務。
- 若要定義新服務,請按一下原始連接埠通訊協定索引標籤,然後按一下新增。
選項 |
說明 |
服務類型 |
- ALG
- ICMP
- IGMP
- IP
- L4 連接埠集合
|
通訊協定 |
選取下列其中一項可用通訊協定。 |
來源連接埠 |
輸入來源連接埠。 |
目的地連接埠 |
選取目的地連接埠。 |
- 在套用至資料行中,按一下編輯圖示並選取物件。
- 在記錄資料行中,設定記錄選項。
記錄位於 ESXi 和 KVM 主機上的
/var/log/dfwpktlogs.log 檔案中。啟用記錄可能會影響效能。
- 在動作資料行中,選取動作。
選項 |
說明 |
允許 |
允許具有指定來源、目的地和通訊協定的所有 L3 或 L2 流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。 |
捨棄 |
捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。 |
拒絕 |
拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包是較委婉的拒絕方式,它會傳送無法連線目的地訊息給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。使用拒絕的其中一個好處是,發生一次無法建立連線的情形後,傳送方應用程式即會收到通知。 |
- 按一下進階設定圖示,以指定 IP 通訊協定、方向、規則標籤及註解。
- 按一下發佈。