NSX-T Data Center 會使用防火牆規則來指定網路內外的流量處理。

防火牆提供多個可設定規則集:第 3 層規則 ([一般] 索引標籤) 和第 2 層規則 ([乙太網路] 索引標籤)。先處理第 2 層防火牆規則,然後再處理第 3 層規則,如果第 2 層規則允許,則將由第 3 層規則進行處理。您可以設定排除清單,其中包含邏輯交換器、邏輯連接埠或要從防火牆強制執行排除的群組。

防火牆規則根據下列方式強制執行:

  • 規則會以從上到下的順序處理。
  • 在資料表中將後續規則向下移動之前,系統會對規則資料表中的頂端規則檢查每一個封包。
  • 系統會強制執行資料表中符合流量參數的第一個規則。

無法強制執行後續規則,因為系統接著會終止該封包的搜尋。由於這個行為,建議您一律在規則資料表頂端放置最精細的原則。這樣可確保它們在更具體的規則之前予以強制執行。

預設規則位於規則表格的底部,這是一個概括規則,不符合任何其他規則的封包都將由預設規則強制執行。在主機準備作業之後,系統會設定預設規則以允許動作。這樣可確保虛擬機器至虛擬機器的通訊,在暫存或移轉階段期間不會中斷。最佳做法是將此預設規則變更為封鎖動作,並透過正控制模型來強制執行存取控制 (例如,網路上僅允許防火牆規則中定義的流量)。
備註: TCP 嚴格可以每個區段為基礎啟用,以關閉中間工作階段接聽並強制執行三向信號交換的要求。當針對特定分散式防火牆區段啟用 TCP 嚴格模式,且使用預設「任何-任何」封鎖規則時,系統將捨棄並未完成三向信號交換連線要求,且符合中此區段中以 TCP 為基礎之規則的封包。嚴格僅適用於可設定狀態的 TCP 規則,且會在分散式防火牆區段層級上啟用。TCP 嚴格不會針對符合未指定任何 TCP 服務之預設「任何-任何」允許的封包強制執行。
表 1. 防火牆規則的內容
內容 說明
名稱 防火牆規則名稱。
識別碼 每個規則的唯一系統產生識別碼。
來源 規則的來源可以是 IP 或 MAC 位址,或是 IP 位址以外的物件。若未定義,則來源會符合任何項目。來源或目的地範圍同時支援 IPv4 和 IPv6。
目的地 受規則影響的連線目的地 IP 或 MAC 位址/網路遮罩。若未定義,則目的地會符合任何項目。來源或目的地範圍同時支援 IPv4 和 IPv6。
服務 服務可能為預先定義的第 3 層連接埠通訊協定組合。若為 L2,則可以是乙太類型。若為 L2 和 L3,您可以手動定義新的服務及服務群組。若未定義,則服務會符合任何項目。
套用至 定義此規則適用的範圍。若未定義,則範圍將為全部的邏輯連接埠。如果您已在區段中新增「套用至」,則它會覆寫規則。
記錄 可關閉或開啟記錄。記錄會儲存在 ESX 及 KVM 主機上的 /var/log/dfwpktlogs.log 檔案。
動作 規則套用的動作可為允許捨棄拒絕。預設為允許
IP 通訊協定 選項為 IPv4IPv6IPv4_IPv6。預設為 IPv4_IPv6。若要存取此內容,請按一下進階設定圖示。
方向 選項為傳入傳出傳入/傳出。預設為傳入/傳出。此欄位是指從目的地物件的角度而言的流量方向。傳入表示僅會檢查流向物件的流量,傳出表示僅會檢查來自物件的流量,而傳入/傳出則表示會檢查這兩個方向的流量。若要存取此內容,請按一下進階設定圖示。
規則標記 已新增至規則的標記。若要存取此內容,請按一下進階設定圖示。
流量統計資料 顯示位元組、封包計數和工作階段的唯讀欄位。若要存取此內容,請按一下圖表圖示。
備註: 若未啟用 SpoofGuard,即無法保證自動探索的位址繫結是可靠的,因為惡意虛擬機器可以宣告另一個虛擬機器的位址。若啟用 SpoofGuard,請確認每個探索的繫結,以便僅顯示已核准的繫結。