NSX-T Data Center 會使用防火牆規則來指定網路內外的流量處理。
防火牆提供多個可設定規則集:第 3 層規則 ([一般] 索引標籤) 和第 2 層規則 ([乙太網路] 索引標籤)。先處理第 2 層防火牆規則,然後再處理第 3 層規則,如果第 2 層規則允許,則將由第 3 層規則進行處理。您可以設定排除清單,其中包含邏輯交換器、邏輯連接埠或要從防火牆強制執行排除的群組。
防火牆規則根據下列方式強制執行:
- 規則會以從上到下的順序處理。
- 在資料表中將後續規則向下移動之前,系統會對規則資料表中的頂端規則檢查每一個封包。
- 系統會強制執行資料表中符合流量參數的第一個規則。
無法強制執行後續規則,因為系統接著會終止該封包的搜尋。由於這個行為,建議您一律在規則資料表頂端放置最精細的原則。這樣可確保它們在更具體的規則之前予以強制執行。
預設規則位於規則表格的底部,這是一個概括規則,不符合任何其他規則的封包都將由預設規則強制執行。在主機準備作業之後,系統會設定預設規則以允許動作。這樣可確保虛擬機器至虛擬機器的通訊,在暫存或移轉階段期間不會中斷。最佳做法是將此預設規則變更為封鎖動作,並透過正控制模型來強制執行存取控制 (例如,網路上僅允許防火牆規則中定義的流量)。
備註: TCP 嚴格可以每個區段為基礎啟用,以關閉中間工作階段接聽並強制執行三向信號交換的要求。當針對特定分散式防火牆區段啟用 TCP 嚴格模式,且使用預設「任何-任何」封鎖規則時,系統將捨棄並未完成三向信號交換連線要求,且符合中此區段中以 TCP 為基礎之規則的封包。嚴格僅適用於可設定狀態的 TCP 規則,且會在分散式防火牆區段層級上啟用。TCP 嚴格不會針對符合未指定任何 TCP 服務之預設「任何-任何」允許的封包強制執行。
| 內容 | 說明 |
|---|---|
| 名稱 | 防火牆規則名稱。 |
| 識別碼 | 每個規則的唯一系統產生識別碼。 |
| 來源 | 規則的來源可以是 IP 或 MAC 位址,或是 IP 位址以外的物件。若未定義,則來源會符合任何項目。來源或目的地範圍同時支援 IPv4 和 IPv6。 |
| 目的地 | 受規則影響的連線目的地 IP 或 MAC 位址/網路遮罩。若未定義,則目的地會符合任何項目。來源或目的地範圍同時支援 IPv4 和 IPv6。 |
| 服務 | 服務可能為預先定義的第 3 層連接埠通訊協定組合。若為 L2,則可以是乙太類型。若為 L2 和 L3,您可以手動定義新的服務及服務群組。若未定義,則服務會符合任何項目。 |
| 套用至 | 定義此規則適用的範圍。若未定義,則範圍將為全部的邏輯連接埠。如果您已在區段中新增「套用至」,則它會覆寫規則。 |
| 記錄 | 可關閉或開啟記錄。記錄會儲存在 ESX 及 KVM 主機上的 /var/log/dfwpktlogs.log 檔案。 |
| 動作 | 規則套用的動作可為允許、捨棄或拒絕。預設為允許。 |
| IP 通訊協定 | 選項為 IPv4、IPv6 及 IPv4_IPv6。預設為 IPv4_IPv6。若要存取此內容,請按一下進階設定圖示。 |
| 方向 | 選項為傳入、傳出及傳入/傳出。預設為傳入/傳出。此欄位是指從目的地物件的角度而言的流量方向。傳入表示僅會檢查流向物件的流量,傳出表示僅會檢查來自物件的流量,而傳入/傳出則表示會檢查這兩個方向的流量。若要存取此內容,請按一下進階設定圖示。 |
| 規則標記 | 已新增至規則的標記。若要存取此內容,請按一下進階設定圖示。 |
| 流量統計資料 | 顯示位元組、封包計數和工作階段的唯讀欄位。若要存取此內容,請按一下圖表圖示。 |
備註: 若未啟用 SpoofGuard,即無法保證自動探索的位址繫結是可靠的,因為惡意虛擬機器可以宣告另一個虛擬機器的位址。若啟用 SpoofGuard,請確認每個探索的繫結,以便僅顯示已核准的繫結。
