防火牆是一種網路安全系統,可根據預先決定的防火牆規則,監視和控制傳入和傳出的網路流量。

執行這項作業的原因和時機

系統會在 NSX Manager 範圍中新增防火牆規則。使用 [套用至] 欄位,便可以縮小您要套用規則的範圍。您可以在每個規則的來源及目的地層級新增多個物件,這有助於降低要新增的防火牆規則總數。

備註︰

依預設,規則符合任何來源、目的地和服務規則元素的預設值,且符合所有介面及流量方向。如果您要限制規則對特定介面或流量方向的影響,則必須指定規則中的限制。

先決條件

若要使用一組位址,應先手動將每部虛擬機器的 IP 和 MAC 位址與其邏輯交換器建立關聯。

程序

  1. 選取導覽面板中的防火牆 (Firewall)

    確定您位於 [一般] 索引標籤中以便新增 L3 規則。按一下 [乙太網路] 索引標籤以新增 L2 規則。

  2. 若要新增規則,請在第一個資料行中,按一下輪狀 (輪狀圖示) 圖示,並在清單底部選取新增規則 (Add Rule)

    隨即顯示新的列可用來定義防火牆規則。

    備註︰

    對於嘗試通過防火牆的任何流量,封包資訊皆會受到 [規則] 表格中所顯示規則順序的約束,從頂端開始,一路往底部的預設規則依序處理。在某些情況下,兩個以上規則的優先順序對於判定封包的處理方式而言可能很重要。

  3. 系統會在區段頂端新增規則。如果您要在區段中的特定位置新增規則,請選取規則。在第一個資料行中,按一下輪狀 (輪狀圖示) 圖示,並選取插入以上規則 (Insert Rule Above)插入以下規則 (Insert Rule Below)

    隨即顯示新的列可用來定義防火牆規則。

  4. 名稱 (Name)資料行的右上角,按一下鉛筆圖示。在 [編輯名稱] 對話方塊中輸入規則名稱。

    隨即顯示規則與指定名稱。

  5. 指向新規則的來源 (Sources)儲存格,接著按一下鉛筆圖示,然後選取規則的來源。若未定義,則來源會符合任何項目。編輯來源 (Edit Sources)對話方塊隨即顯示。
    備註︰

    建立新的防火牆規則時,您可以拖放用於 [來源]、[目的地]、[服務] 及 [套用至] 欄位的物件,而不需每次皆選取這些項目。這有助於加速規則建立程序,尤其是當經常重複使用相同的物件時。

    若要這麼做,請按一下防火牆規則視窗左側角中的物件,接著從清單中選取物件類型,然後將您需要的物件拖放至右側欄位,即防火牆規則中的 [來源]。

    表格 1. 編輯來源視窗

    選項

    說明

    IP 位址或 MAC 位址

    在以逗點分隔的清單中輸入多個 IP 或 MAC 位址。該清單最多可包含 255 個字元。支援 IPv4 和 IPv6 格式。

    物件

    按一下箭頭並選取物件。

    1. 選取 IP 集合、邏輯連接埠、邏輯交換器或 NS 群組。

      所選容器的可用物件隨即顯示。

    2. 選取一或多個物件並按一下箭頭。若要選取所有可用的物件,按一下 [可用] 旁的核取方塊,然後按一下箭頭。

    3. 物件會移至所選資料行。

    4. 按一下確定 (OK)

  6. 指向新規則的目的地 (Destinations)儲存格。若未定義,則目的地會符合任何項目。編輯目的地 (Edit Destinations)對話方塊隨即顯示。
    表格 2. 編輯目的地視窗

    選項

    說明

    IP 位址或 MAC 位址

    您可以在以逗點分隔的清單中輸入多個 IP 或 MAC 位址。該清單最多可包含 255 個字元。支援 IPv4 和 IPv6 格式。

    物件

    按一下箭頭並選取物件。

    1. 您可以選取 IP 集合、邏輯連接埠、邏輯交換器或 NS 群組。

      所選容器的可用物件隨即顯示。

    2. 選取一或多個物件並按一下箭頭。若要選取所有可用的物件,按一下 [可用] 旁的核取方塊,然後按一下箭頭。

    3. 物件會移至所選資料行。

    4. 按一下確定 (OK)

  7. 指向新規則的服務 (Service)儲存格。若未定義,則服務會符合任何項目。

    編輯服務 (Edit Services)對話方塊隨即顯示。清單已顯示多個預先定義的服務,但您不受限於這些選擇。

  8. 若要選取預先定義的服務,請選取一或多個可用物件然後按一下箭頭。按一下確定 (OK)
  9. 若要定義新服務,按一下新增 (New)。NSService 對話方塊隨即顯示。

    選項

    說明

    名稱

    新服務的名稱。

    說明

    說明新服務。

    服務類型

    • ALG

    • ICMP

    • IP

    • L4 連接埠集合

    • IGMP

    通訊協定

    選取下列其中一項可用通訊協定。

    來源連接埠

    輸入來源連接埠。

    目的地連接埠

    選取目的地連接埠。

    群組現有服務

    按一下選項按鈕以新增現有群組服務。

  10. 指向動作 (Action)儲存格然後按一下鉛筆圖示。此為必要參數。[編輯動作] 對話方塊隨即顯示。

    選項

    說明

    允許

    允許具有指定來源、目的地和通訊協定的所有 L3 或 L2 流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。

    捨棄

    捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。

    拒絕

    拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包是較委婉的拒絕方式,它會傳送無法連線目的地訊息給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。使用拒絕的其中一個好處是,發生一次無法建立連線的情形後,傳送方應用程式即會收到通知。

  11. 指向套用至 (Applied To)儲存格,然後按一下鉛筆圖示。[編輯套用至] 對話方塊隨即顯示。

    從下拉式清單中選取物件類型。按一下確定 (OK)

  12. 指向記錄 (Log)儲存格然後按一下鉛筆圖示。依預設會關閉記錄。選取是 (Yes)以啟用記錄,或否 (No)以停用記錄。記錄會儲存在 ESX 及 KVM 主機上的 /var/log/dfwpktlogs.log 檔案。您也可以在此處寫下備註。請注意,選取是 (Yes)將會記錄符合此規則的所有工作階段。啟用記錄可能會影響效能。
  13. 若要讓您的規則生效,請按一下儲存 (Save)

    您可以先新增多個規則後再按一下儲存 (Save)