安全管理員可以使用時間範圍,以針對特定期間限制來自某個來源或前往某個目的地的流量。
時間範圍適用於防火牆原則區段,以及其中的所有規則。每個防火牆原則區段可以有一個時間範圍。可以對多個原則區段套用相同的時間範圍。如果您想要在不同的日期或不同的時間針對不同的網站套用相同的規則,您必須建立多個原則區段。以時間為基礎的規則可用於 ESXi 和 KVM 主機上的分散式防火牆和閘道防火牆。
必要條件
網路時間通訊協定 (NTP) 是用於在電腦用戶端和伺服器之間進行時鐘同步的網際網路通訊協定。使用以時間為基礎的規則發佈時,必須在每個傳輸節點上執行 NTP 服務。
部署節點之後,如果 Edge 傳輸節點上的時區發生變更,請重新載入 Edge 節點或重新啟動數據平面,讓以時間為基礎的閘道防火牆原則生效。如需詳細資料,請參閱在應用裝置和傳輸節點上設定 NTP。
建立防火牆原則。
程序
- 按一下要有時間範圍之防火牆原則上的時鐘圖示。
時間範圍隨即出現。
- 按一下新增新的時間範圍,然後輸入名稱。
- 選取時區:UTC (國際標準時間) 或傳輸節點的本機時間。已啟用 NTP 服務的分散式防火牆僅支援 UTC,不支援時區組態的變更。
- 選取時間範圍的頻率:每週或一次。
- 選取時間範圍生效為星期幾。
當本機時區的整個時間範圍與 UTC 時區在同一天內時,
NSX-T Data Center 支援為本機時區設定每週 UTC 時間範圍。例如,您無法以 UTC 設定 PDT 上午 7 點至下午 7 點的時間範圍,這會對應至 UTC 的下午 2 點至隔天上午 2 點。
- 選取時間範圍的開始和結束日期,以及該範圍將生效的時間。
- 按一下儲存。
- 按一下要有時間範圍的原則區段旁的核取方塊。然後按一下時鐘圖示。
- 選取您要套用的時間範圍,然後按一下套用。
- 按一下發佈。該區段的時鐘圖示會變成綠色。
對於以時間為基礎規則的第一次發佈,會需要時間,而規則強制執行會在 2 分鐘內開始。部署規則後,每次時間範圍的強制執行會瞬間完成。