NSX-T 會使用防火牆規則來指定網路內外的流量處理。

防火牆提供多個可設定規則集:第 3 層規則 ([一般] 索引標籤) 和第 2 層規則 ([乙太網路] 索引標籤)。第 2 層防火牆規則會在第 3 層防火牆規則之前處理。[組態] 索引標籤包含排除清單,其中包含邏輯交換器、邏輯連接埠和要排除在防火牆強制執行之外的群組。

防火牆規則根據下列方式強制執行:

  • 規則會以從上到下的順序處理。

  • 在資料表中將後續規則向下移動之前,系統會對規則資料表中的頂端規則檢查每一個封包。

  • 系統會強制執行資料表中符合流量參數的第一個規則。

無法強制執行後續規則,因為系統接著會終止該封包的搜尋。由於這個行為,建議您一律在規則資料表頂端放置最精細的原則。這樣可確保它們在更具體的規則之前予以強制執行。

預設規則位於規則表格的底部,這是一個概括規則,不符合任何其他規則的封包都將由預設規則強制執行。在主機準備作業之後,系統會設定預設規則以允許動作。這樣可確保虛擬機器至虛擬機器的通訊,在暫存或移轉階段期間不會中斷。最佳做法是將此預設規則變更為封鎖動作,並透過正控制模型來強制執行存取控制 (例如,網路上僅允許防火牆規則中定義的流量)。

您可以按一下 [資料行] 旁的下拉式箭頭,並檢查要包含在防火牆規則視窗中的資料行來存取防火牆規則選項。可用選項如下。

表格 1. 防火牆規則畫面中的資料行

資料行名稱

定義

名稱

防火牆規則名稱。

來源

規則的來源可以是 IP 或 MAC 位址,或是 IP 位址以外的物件。若未定義,則來源會符合任何項目。來源或目的地範圍不支援 IPv6。

識別碼

每個規則的唯一系統產生識別碼。

方向

方向規則元素符合封包在周遊介面時所傳輸的方向。入口方向是經過防火牆的入口流量。出口方向是經過防火牆的出口流量。依預設,方向為出入口 (雙向)。

IP 通訊協定

這僅適用於第 3 層規則。支援 IPv4 和 IPv6。預設值為此兩者。

目的地

受規則影響的連線目的地 IP 或 MAC 位址/網路遮罩。若未定義,則目的地會符合任何項目。來源或目的地範圍不支援 IPv6。

服務

服務可能為預先定義的第 3 層連接埠通訊協定組合。若為 L2,則可以是乙太類型。若為 L2 和 L3,您可以手動定義新的服務及服務群組。若未定義,則服務會符合任何項目。

動作 (必要)

可允許、封鎖或拒絕規則所套用的動作。

套用至

定義此規則適用的範圍。若未定義,則範圍將為全部的邏輯連接埠。如果您已在區段中新增「套用至」,則它會覆寫規則。

記錄

可關閉或開啟記錄。記錄會儲存在 ESX 及 KVM 主機上的 /var/log/dfwpktlogs.log 檔案。

統計資料

顯示位元組、封包計數和工作階段的唯讀欄位。

備註

規則註解。

以下為預設防火牆規則與其部分資料行選項。

圖表 1. 防火牆規則視窗
您用來建立防火牆規則的主視窗。