分散式防火牆會監控虛擬機器上的所有東西向流量。

必要條件

若要受到 DFW 保護,虛擬機器必須將其 vNIC 連線至 NSX 覆疊或 VLAN 區段。

若要為身分識別防火牆建立規則,請先建立含有 Active Directory 成員的群組。若要檢視 IDFW 支援的通訊協定,請參閱 身分識別防火牆支援的組態
備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應 開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。

請注意,如果您使用第 7 層和 ICMP 的組合,或使用任何其他通訊協定,則需要將第 7 層防火牆規則放置於最後。第 7 層「任何/任何」規則之後的任何規則都將不會執行。

如需分散式防火牆原則與規則建立的聯盟專屬詳細資料,請參閱從全域管理程式建立 DFW 原則和規則

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 選取導覽面板中的安全性 > 分散式防火牆
  3. 確定您是位於正確的預先定義類別,然後按一下新增原則。如需類別的詳細資訊,請參閱分散式防火牆
  4. 為新的原則區段輸入名稱
  5. (選擇性) 使用套用至,將原則內的規則套用至選取的群組。依預設,原則的套用至欄位會設定為 DFW,而原則規則會套用至所有工作負載。變更預設時,如果原則層級和其中的規則將套用至設定至數個群組,則原則層級的套用至會優先於規則層級的套用至
    備註: 僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。

    套用至定義了每個原則的強制執行範圍,主要用於 ESXi 與 KVM 主機上的資源最佳化。這有助於為特定的區域、承租人或應用程式定義針對性的原則,卻不干擾為其他應用程式、承租人與區域定義的其他原則。

  6. (選擇性) 若要設定下列原則設定,請按一下齒輪圖示:
    選項 說明
    TCP 嚴格 TCP 連線會以三向信號交換 (SYN、SYN-ACK、ACK) 開始,並通常以雙向交換 (FIN、ACK) 結束。在某些情況下,分散式防火牆 (DFW) 可能看不到特定流量的三向信號交換 (由於非對稱流量,或流量存在時所啟用的分散式防火牆)。依預設,分散式防火牆不會強制必須看到三向信號交換,且將會提取已建立的工作階段。TCP 嚴格可以每個區段為基礎啟用,以關閉中間工作階段接聽並強制執行三向信號交換的要求。

    為特定 DFW 原則啟用 TCP 嚴格模式,且使用預設的「任何-任何」封鎖規則時,系統會捨棄未完成三向信號交換連線要求,且符合此區段中以 TCP 為基礎之規則的封包。「嚴格」僅適用於可設定狀態的 TCP 規則,且會在分散式防火牆原則層級上啟用。TCP 嚴格不會針對符合未指定任何 TCP 服務之預設「任何-任何」允許的封包強制執行。
    可設定狀態 可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定允許通過防火牆的封包。
    已鎖定 您可以鎖定原則,以防止多個使用者編輯相同的區段。鎖定區段時,必須加上註解。

    某些角色 (如企業管理員) 具有完整存取認證,且無法鎖定。請參閱角色型存取控制
  7. 按一下發佈。您可以新增多個原則,然後一同發佈。
    新的原則即會顯示在畫面上。
  8. 選取原則區段並按一下新增規則,然後輸入規則名稱。
  9. 來源資料行中按一下編輯圖示,然後選取規則來源。含有 Active Directory 成員的群組可在 IDFW 規則的來源文字方塊中使用。如需詳細資訊,請參閱新增群組
    支援 IPv4、IPv6 和多點傳播位址。

    附註: IPv6 防火牆必須在已連線的區段上為 IPv6 啟用 IP 探索。如需詳細資訊,請參閱瞭解 IP 探索區段設定檔

  10. 目的地資料行中按一下編輯圖示,然後選取規則的目的地。若未定義,則代表不分目的地。如需詳細資訊,請參閱新增群組
    支援 IPv4、IPv6 和多點傳播位址。
  11. 服務資料行中按一下編輯圖示,然後選取服務。若未定義,則服務會比對任何項目。
  12. 將規則新增至「乙太網路」類別時,設定檔資料行無法使用。針對所有其他規則類別,請在設定檔資料行中按一下編輯圖示,然後選取內容設定檔,或是按一下新增內容設定檔。請參閱內容設定檔
    內容設定檔會使用在分散式防火牆規則和閘道防火牆規則中使用的第 7 層應用程式識別碼屬性。在服務設定為 任何的防火牆規則中,可以使用多個應用程式識別碼內容設定檔。對於 ALG 設定檔 (FTP 或 TFTP),每個規則可支援一個內容設定檔。
    建立 IDS 規則時不支援內容設定檔。
  13. 按一下套用,將內容設定檔套用至規則。
  14. 使用套用至,將規則套用至選取的群組。依預設,套用至資料行設定為 DFW,而規則會套用至所有工作負載。如果原則及其包含的規則都對群組設定了套用至,則原則層級的套用至會優先於規則層級的套用至
    備註: 僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。
  15. 動作資料行中,選取動作。
    選項 說明
    允許 允許具有指定來源、目的地和通訊協定的所有 L3 或 L2 流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。
    捨棄 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    拒絕 拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包是較委婉的拒絕方式,它會傳送無法連線目的地訊息給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。使用拒絕的其中一個好處是,發生一次無法建立連線的情形後,傳送方應用程式即會收到通知。
    跳至應用程式
    備註: 此動作僅適用於「環境」類別。

    請允許符合環境類別規則的流量繼續傳輸,以便能套用應用程式類別規則。如果流量符合環境類別規則並已結束,但您想要套用應用程式類別規則,則請使用此動作。

    例如,如果某個環境類別規則有適用於特定來源的允許動作,並且某個應用程式類別規則有適用於相同來源的捨棄動作,則系統會允許符合環境類別的封包通過防火牆,並且不再套用其他規則。使用「跳至應用程式」動作時,封包雖符合環境類別規則,但會繼續套用應用程式類別規則,從而導致這些封包遭到捨棄。
  16. 按一下狀態切換按鈕以啟用或停用規則。
  17. 按一下齒輪圖示以設定下列規則選項:
    選項 說明
    記錄 依預設會關閉記錄。記錄會儲存在 ESXi 與 KVM 主機上的 /var/log/dfwpktlogs.log 檔案。
    方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量,「傳出」表示僅檢查物件發出的流量,而「傳入/傳出」則表示檢查這兩個方向的流量。
    IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。
    記錄標籤

    啟用記錄時,記錄標籤會在防火牆記錄中延續使用。雖然可以輸入更長的標籤,但在產生的記錄中僅支援前 31 個字元。

  18. 按一下發佈。可以新增多個規則,然後一同發佈。
  19. 原則的資料路徑實現狀態與傳輸節點詳細資料會顯示在原則資料表右側。