在屬於預先定義之類別的 [防火牆原則] 區段下新增閘道防火牆規則,即可實作閘道防火牆規則。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 選取安全性 > 南北向安全性 > 閘道防火牆
  3. 若要啟用閘道防火牆,請選取動作 > 一般設定,然後切換狀態按鈕。按一下儲存
  4. 按一下新增原則;如需類別的詳細資訊,請參閱閘道防火牆
  5. 為新的原則區段輸入名稱
  6. 選取原則目的地
  7. 按一下齒輪圖示以進行下列原則設定:
    設定 說明
    TCP 嚴格 TCP 連線會以三向信號交換 (SYN、SYN-ACK、ACK) 開始,並通常以雙向交換 (FIN、ACK) 結束。在某些情況下,防火牆可能看不到特定流量的三向信號交換 (例如由於非對稱流量)。依預設,防火牆不會強制必須看到三向信號交換,且將會提取已建立的工作階段。TCP 嚴格可以就個別區段啟用,以關閉中間工作階段提取,並強制要求三向信號交換。為特定防火牆原則啟用 TCP 嚴格模式,且使用預設的「任何-任何」封鎖規則時,系統會捨棄未完成三向信號交換連線要求,且符合此原則區段中以 TCP 為基礎之規則的封包。「嚴格」僅適用於可設定狀態的 TCP 規則,且會在閘道防火牆原則層級上啟用。TCP 嚴格不會針對符合未指定任何 TCP 服務之預設「任何-任何」允許的封包強制執行。
    可設定狀態 可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定可通過防火牆的封包。
    已鎖定 您可以鎖定原則,以防多位使用者對相同的區段進行變更。鎖定區段時,必須加上註解。
  8. 按一下發佈。您可以新增多個原則,然後一同發佈。
    新的原則即會顯示在畫面上。
  9. 選取原則區段,然後按一下新增規則
  10. 輸入規則的名稱。支援 IPv4、IPv6 和多點傳播位址。
  11. 來源資料行中按一下編輯圖示,然後選取規則來源。如需詳細資訊,請參閱新增群組
  12. 目的地資料行中按一下編輯圖示,然後選取規則的目的地。若未定義,則代表不分目的地。如需詳細資訊,請參閱新增群組
  13. 服務資料行中按一下鉛筆圖示,然後選取服務。若未定義,則代表不分服務。
  14. 設定檔資料行中按一下編輯圖示,然後選取內容設定檔,或是按一下新增內容設定檔。請參閱內容設定檔
    • 第 0 層閘道防火牆原則不支援內容設定檔。
    • 閘道防火牆規則不支援具有 FQDN 屬性或其他子屬性的內容設定檔。
    內容設定檔會使用在分散式防火牆規則和閘道防火牆規則中使用的第 7 層應用程式識別碼屬性。在服務設定為 任何的防火牆規則中,可以使用多個應用程式識別碼內容設定檔。對於 ALG 設定檔 (FTP 和 TFTP),每個規則可支援一個內容設定檔。
  15. 按一下套用
  16. 套用至資料行會定義每個規則的強制執行範圍,並允許使用者選擇性地將規則套用至一或多個上行介面或服務介面。依預設,閘道防火牆規則會套用至所選閘道上的所有可用上行和服務介面。
  17. 動作資料行中,選取動作。
    選項 說明
    允許 允許具有指定來源、目的地和通訊協定的所有流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。
    捨棄 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    拒絕

    拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包時,系統會將「無法連線到目的地」訊息傳送給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。經過一次嘗試而無法建立連線後,傳送方應用程式會收到通知。
  18. 按一下狀態切換按鈕以啟用或停用規則。
  19. 按一下齒輪圖示以設定記錄、方向、IP 通訊協定與註解。
    選項 說明
    記錄 可關閉或開啟記錄。記錄會儲存在 Edge 的 /var/log/syslog 上。
    方向 選項為傳入傳出傳入/傳出。預設為傳入/傳出。此欄位是指從目的地物件的角度而言的流量方向。傳入表示僅會檢查流向物件的流量,傳出表示僅會檢查來自物件的流量,而傳入/傳出則表示會檢查這兩個方向的流量。
    IP 通訊協定 選項為 IPv4IPv6IPv4_IPv6。預設為 IPv4_IPv6
    備註: 按一下圖表圖示以檢視防火牆規則的流量統計資料。您可以查看位元組、封包計數和工作階段等資訊。
  20. 按一下發佈。可以新增多個規則,然後一同發佈。
  21. 在每個原則區段中,按一下資訊圖示以檢視推送至 Edge 節點的 Edge 防火牆規則目前的狀態。此外也會顯示規則推送至 Edge 節點時所產生的任何警示。
  22. 若要檢視套用至 Edge 節點之原則規則的整併狀態,請執行 API 呼叫。
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true