您可以新增第 0 層或第 1 層邏輯路由器的防火牆規則,以控制對路由器的通訊。

Edge 防火牆功能會在上行路由器連接埠上實作,這表示只有在流量抵達 Edge 上的上行路由器連接埠時,才會套用防火牆規則。若要將防火牆規則套用至特定 IP 目的地,您必須設定 /32 網路的群組。如果您提供 /32 以外的子網路,防火牆規則將會套用至整個子網路。

必要條件

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 網路 > 第 0 層邏輯路由器網路 > 第 1 層邏輯路由器中找到路由器。
  3. 按一下邏輯路由器的名稱。
  4. 選取服務 > Edge 防火牆
  5. 按一下現有的區段或規則。
  6. 若要新增規則,請按一下功能表列上的新增規則,然後選取新增以上規則新增以下規則,或按一下規則第一個資料行中的功能表圖示,然後選取新增以上規則新增以下規則,並指定規則參數。
    [套用至] 欄位不會顯示,因為此規則僅會套用至邏輯路由器。
  7. 若要刪除規則,請選取規則,按一下功能表列上的刪除,或按一下第一個資料行中的功能表圖示,然後選取刪除

結果

備註: 如果您將防火牆規則新增至第 0 層邏輯路由器,並且支援路由器的 NSX Edge 叢集在作用中/作用中式模式下執行,則防火牆只能在無狀態模式下執行。如果您使用 HTTP、SSL、TCP 等可設定狀態的服務設定防火牆規則,防火牆規則將無法按預期運作。為避免此問題,請將 NSX Edge 叢集設定為在作用中/待命模式下執行。