防火牆規則區段會進行獨立編輯和儲存,並且用來將個別的防火牆組態套用至承租人。

必要條件

確認已在 NSX Manager 使用者介面中選取管理程式模式。請參閱NSX Manager。如果看不到原則管理程式模式按鈕,請參閱設定使用者介面設定

程序

  1. 選取安全性 > 分散式防火牆
  2. 對於第 3 層 (L3) 規則,按一下一般索引標籤,對於第 2 層 (L2) 規則,按一下乙太網路索引標籤。
  3. 按一下現有的區段或規則。
  4. 按一下功能表列上的區段圖示,然後選取新增以上區段新增以下區段
    備註: 對於嘗試通過防火牆的任何流量,封包資訊皆會受到 [規則] 表格中所顯示規則順序的約束,從頂端開始,一路往底部的預設規則依序處理。在某些情況下,兩個以上規則的優先順序對於判定封包的處理方式而言可能很重要。
  5. 輸入區段名稱。
  6. 若要使防火牆無狀態,請選取啟用無狀態防火牆。此選項僅適用於 L3。
    無狀態防火牆會監控網路流量,並根據來源和目的地位址或其他靜態值來限制或封鎖封包。對於 TCP 和 UDP 流量,在第一個封包之後,如果防火牆結果是 ALLOW,則會為任一方向的流量元組建立和維護快取。這表示流量不再需要檢查防火牆規則,如此可降低延遲。因此,無狀態防火牆在較大流量負載下通常較快且效能更佳。

    可設定狀態防火牆可以從端對端監控流量串流。系統一律會針對每個封包來諮詢防火牆,以驗證狀態和序號。可設定狀態防火牆較能識別未經過驗證及偽造的通訊。

    一旦定義完成後,便不會在可設定狀態及無狀態之間切換。
  7. 選取要套用區段的一或多個物件。
    物件的類型為邏輯連接埠、邏輯交換器和 NSGroup。如果您選取 NSGroup,它必須包含一或多個邏輯交換器或邏輯連接埠。僅包含 IP 集或 MAC 集的 NSGroup 將被忽略。
    備註: 如果區段及其所含規則的 套用至均設為 NSGroup,則區段中的 套用至會覆寫該區段所含規則中的所有 套用至設定。這是因為防火牆區段層級的 套用至優先於規則層級的 套用至
  8. 按一下確定

下一步

將防火牆規則新增至區段。