您可以從全域管理程式建立要套用至多個位置或特定位置所選介面的閘道防火牆原則和規則。
從全域管理程式建立的第 0 層或第 1 層閘道會涵蓋所有或一組位置。套用從全域管理程式建立的閘道防火牆規則時,您有幾個選項:閘道防火牆規則可套用至閘道範圍內包含的所有位置、特定位置的所有介面,或一或多個位置的特定介面。
在本機管理程式上,規則依下列順序強制執行:- 您從全域管理程式建立的任何可在本機管理程式上成功實現的規則,會優先強制執行。
- 接著會強制執行從本機管理程式建立的任何規則。
- 上次強制執行的規則是預設的閘道防火牆規則。這是適用於所有位置和所有工作負載的全部允許或全部拒絕規則。您可以從全域管理程式編輯此預設規則的行為。
程序
- 從瀏覽器以企業管理員或安全管理員權限登入全域管理程式,網址為 https://<global-manager-ip-address>。
- 選取安全性 > 閘道防火牆。
- 確保您處於正確的預先定義類別。全域管理程式上僅支援預先定義的規則、本機閘道和預設類別。若要在本機閘道類別下定義原則,請按一下所有共用的規則索引標籤的類別名稱,或直接按一下閘道特定規則索引標籤。
從閘道旁的下拉式功能表中,選取第 0 層或第 1 層閘道。您選取的第 0 層或第 1 層閘道的範圍將成為閘道防火牆原則和規則的預設範圍。您可以減少範圍,但不能將其擴大。
- 按一下新增原則。
- 為新的原則區段輸入名稱。
- (選擇性) 按一下齒輪圖示以進行下列原則設定:
設定 說明 TCP 嚴格 TCP 連線會以三向信號交換 (SYN、SYN-ACK、ACK) 開始,並通常以雙向交換 (FIN、ACK) 結束。在某些情況下,防火牆可能看不到特定流量的三向信號交換 (例如由於非對稱流量)。依預設,防火牆不會強制必須看到三向信號交換,且將會提取已建立的工作階段。TCP 嚴格可以就個別區段啟用,以關閉中間工作階段提取,並強制要求三向信號交換。為特定防火牆原則啟用 TCP 嚴格模式,且使用預設的「任何-任何」封鎖規則時,系統會捨棄未完成三向信號交換連線要求,且符合此原則區段中以 TCP 為基礎之規則的封包。「嚴格」僅適用於可設定狀態的 TCP 規則,且會在閘道防火牆原則層級上啟用。TCP 嚴格不會針對符合未指定任何 TCP 服務之預設「任何-任何」允許的封包強制執行。 可設定狀態 可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定可通過防火牆的封包。 已鎖定 您可以鎖定原則,以防多位使用者對相同的區段進行變更。鎖定區段時,必須加上註解。 - 按一下發佈。您可以新增多個原則,然後一同發佈。
新的原則即會顯示在畫面上。
- 選取原則區段,然後按一下新增規則。
- 輸入規則的名稱。
- 在來源資料行中按一下編輯圖示,然後選取規則來源。來源群組必須具有閘道的相同範圍或其子集。
- 在目的地資料行中按一下編輯圖示,然後選取規則的目的地。若未定義,則代表不分目的地。目的地群組必須具有閘道的相同範圍或其子集。
- 在服務資料行中按一下鉛筆圖示,然後選取服務。若未定義,則服務會比對任何項目。按一下套用以儲存。
- 在設定檔資料行中按一下編輯圖示,然後選取內容設定檔,或是按一下新增內容設定檔。請參閱新增內容設定檔。
備註: 第 0 層閘道不支援內容設定檔。您可以將 L7 內容設定檔套用至第 1 層閘道。
- 按一下套用至資料行中的鉛筆圖示。在套用至對話方塊中:
套用至選取項目 結果 選取將規則套用至閘道 閘道防火牆規則會套用至閘道範圍涵蓋的所有位置。如果將其他位置新增至閘道,則此閘道防火牆規則會自動套用至位置。 選取位置,然後選取將規則套用至所有實體 將此規則套用至所選位置中的所有介面。 選取位置,然後選取該位置的介面 僅將規則套用至一或多個位置中的所選介面。 備註: 套用至沒有預設的選取項目。您必須進行選擇才能發佈此規則。 - 在動作資料行中,選取動作。
選項 說明 允許 允許具有指定來源、目的地和通訊協定的所有流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。 捨棄 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。 拒絕 拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包時,系統會將「無法連線到目的地」訊息傳送給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。經過一次嘗試而無法建立連線後,傳送方應用程式會收到通知。
- 按一下狀態切換按鈕以啟用或停用規則。
- 按一下齒輪圖示,以設定記錄、方向、IP 通訊協定、標籤和說明。
選項 說明 記錄 可關閉或開啟記錄。您可以在 NSX Edge 上使用下列 NSX CLI 命令來存取記錄: get log-file syslog | find datapathd.firewallpkt
也可以將記錄傳送到外部 Syslog 伺服器。方向 選項為傳入、傳出及傳入/傳出。預設為傳入/傳出。此欄位是指從目的地物件的角度而言的流量方向。傳入表示僅會檢查流向物件的流量,傳出表示僅會檢查來自物件的流量,而傳入/傳出則表示會檢查這兩個方向的流量。 IP 通訊協定 選項為 IPv4、IPv6 及 IPv4_IPv6。預設為 IPv4_IPv6。 記錄標籤 已新增至規則的記錄標籤。 備註: 按一下圖表圖示以檢視防火牆規則的流量統計資料。您可以查看位元組、封包計數和工作階段等資訊。 - 按一下發佈。可以新增多個規則,然後一同發佈。
- 按一下檢查狀態來檢視透過不同位置的 Edge 節點,套用至閘道的原則實現狀態。您可以按一下成功或失敗以開啟原則狀態視窗。