防火牆是一種網路安全系統,可根據預先決定的防火牆規則,監視和控制傳入和傳出的網路流量。

系統會在 NSX Manager 範圍中新增防火牆規則。使用 [套用至] 欄位,便可以縮小您要套用規則的範圍。您可以在每個規則的來源及目的地層級新增多個物件,這有助於降低要新增的防火牆規則總數。
備註: 依預設,規則符合任何來源、目的地和服務規則元素的預設值,且符合所有介面及流量方向。如果您要限制規則對特定介面或流量方向的影響,則必須指定規則中的限制。

必要條件

  • 若要使用一組位址,應先手動將每部虛擬機器的 IP 和 MAC 位址與其邏輯交換器建立關聯。

  • 確認已在 NSX Manager 使用者介面中選取管理程式模式。請參閱NSX Manager。如果看不到原則管理程式模式按鈕,請參閱設定使用者介面設定

程序

  1. 選取安全性 > 分散式防火牆
  2. 按一下 L3 規則的一般索引標籤,或是 L2 規則的乙太網路 索引標籤。
  3. 按一下現有的區段或規則。
  4. 在規則的第一個資料行中按一下功能表圖示,然後選取新增以上規則新增以下規則
    隨即顯示新的列可用來定義防火牆規則。
    備註: 對於嘗試通過防火牆的任何流量,封包資訊皆會受到 [規則] 表格中所顯示規則順序的約束,從頂端開始,一路往底部的預設規則依序處理。在某些情況下,兩個以上規則的優先順序對於判定封包的處理方式而言可能很重要。
  5. 名稱資料行中,輸入規則名稱。
  6. 來源資料行中,按一下編輯圖示並選取規則來源。若未定義,則來源會符合任何項目。
    選項 說明
    IP 位址 在以逗點分隔的清單中輸入多個 IP 或 MAC 位址。該清單最多可包含 255 個字元。支援 IPv4 和 IPv6 格式。
    容器物件 可用的物件為 IP 集合、邏輯連接埠、邏輯交換器及 NS 群組。選取物件,然後按一下確定
  7. 目的地資料行中,按一下編輯圖示並選取目的地。若未定義,則目的地會符合任何項目。
    選項 說明
    IP 位址 您可以在以逗點分隔的清單中輸入多個 IP 或 MAC 位址。該清單最多可包含 255 個字元。支援 IPv4 和 IPv6 格式。
    容器物件 可用的物件為 IP 集合、邏輯連接埠、邏輯交換器及 NS 群組。選取物件,然後按一下確定
  8. 服務資料行中,按一下編輯圖示並選取服務。若未定義,則服務會符合任何項目。
  9. 若要選取預先定義的服務,請選取一或多項可用服務。
  10. 若要定義新服務,請按一下原始連接埠通訊協定索引標籤,然後按一下新增
    選項 說明
    服務類型
    • ALG
    • ICMP
    • IGMP
    • IP
    • L4 連接埠集合
    通訊協定 選取下列其中一項可用通訊協定。
    來源連接埠 輸入來源連接埠。
    目的地連接埠 選取目的地連接埠。
  11. 套用至資料行中,按一下編輯圖示並選取物件。
  12. 記錄資料行中,設定記錄選項。
    記錄位於 ESXi 和 KVM 主機上的 /var/log/dfwpktlogs.log 檔案中。啟用記錄可能會影響效能。
  13. 動作資料行中,選取動作。
    選項 說明
    允許 允許具有指定來源、目的地和通訊協定的所有 L3 或 L2 流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。
    捨棄 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    拒絕 拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包是較委婉的拒絕方式,它會傳送無法連線目的地訊息給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。使用拒絕的其中一個好處是,發生一次無法建立連線的情形後,傳送方應用程式即會收到通知。
  14. 按一下進階設定圖示,以指定 IP 通訊協定、方向、規則標籤及註解。
  15. 按一下發佈