您可以建立安全性原則和 DFW 規則,將其套用至向全域管理程式登錄的多個位置。
必要條件
確定您已建立要用於防火牆規則的任何自訂區域。請參閱從全域管理程式建立區域。
程序
- 從瀏覽器以企業管理員或安全管理員權限登入全域管理程式,網址為 https://<global-manager-ip-address>。
- 選取安全性 > 分散式防火牆
- 確定您是位於正確的預先定義類別,然後按一下新增原則。如需類別的詳細資訊,請參閱分散式防火牆。
備註: 全域管理程式 不支援乙太網路、緊急類別和預設原則。
- 按一下新增原則。
- 為新的原則區段輸入名稱。
- 按一下套用至旁的鉛筆圖示,以設定此原則的範圍。
- 在設定 [套用至] 對話方塊中,您可以進行下列選取項目:
- 區域:選取要套用原則的本機管理程式。每個本機管理程式會自動新增為區域。您也可以建立自訂區域。請參閱從全域管理程式建立區域。
- 選取 [套用至]:依預設,原則會套用至 DFW,也就是說,原則會根據為此原則選取的區域套用至本機管理程式上的所有工作負載。您也可以將原則套用至選取的群組。「套用至」會定義每個原則的強制執行範圍,主要用於 ESXi 主機上的資源最佳化。這有助於為特定的區域、承租人和應用程式定義針對性的原則,卻不干擾為其他承租人、區域和應用程式定義的其他原則。 請參閱DFW 原則和規則,瞭解原則範圍如何判斷您的 DFW 規則是否有效或無效。
- 若要設定下列原則設定,請按一下齒輪圖示:
選項 說明 TCP 嚴格 TCP 連線會以三向信號交換 (SYN、SYN-ACK、ACK) 開始,並通常以雙向交換 (FIN、ACK) 結束。在某些情況下,分散式防火牆 (DFW) 可能看不到特定流量的三向信號交換 (由於非對稱流量,或流量存在時所啟用的分散式防火牆)。依預設,分散式防火牆不會強制必須看到三向信號交換,且將會提取已建立的工作階段。TCP 嚴格可以每個區段為基礎啟用,以關閉中間工作階段接聽並強制執行三向信號交換的要求。 為特定 DFW 原則啟用 TCP 嚴格模式,且使用預設的「任何-任何」封鎖規則時,系統會捨棄未完成三向信號交換連線要求,且符合此區段中以 TCP 為基礎之規則的封包。「嚴格」僅適用於可設定狀態的 TCP 規則,且會在分散式防火牆原則層級上啟用。TCP 嚴格不會針對符合未指定任何 TCP 服務之預設「任何-任何」允許的封包強制執行。
可設定狀態 可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定允許通過防火牆的封包。 已鎖定 您可以鎖定原則,以防止多個使用者編輯相同的區段。鎖定區段時,必須加上註解。 某些角色 (如企業管理員) 具有完整存取認證,且無法鎖定。請參閱角色型存取控制。
- 按一下發佈。您可以新增多個原則,然後一同發佈。
新的原則即會顯示在畫面上。
- 選取原則區段,然後按一下新增規則。
- 輸入規則的名稱。
- 來源和目的地會根據 DFW 原則的範圍進行驗證。如需詳細資訊,請參閱DFW 原則和規則。
-
如果將 DFW 原則套用至某個位置 (例如 Loc1),則來源或目的地可以是關鍵字 ANY 或屬於 Loc1 的群組。
-
如果將 DFW 原則套用至使用者建立的區域 (例如 Region1),則來源或目的地可以是關鍵字 ANY,或範圍與 Region1 相同或跨越 Region1 內位置的群組。
-
如果將 DFW 原則套用至全域,則來源或目的地可以是任何項目。
備註: NSX 聯盟不支援 Active Directory 和 IDFW,也就是說,您無法從 全域管理程式使用這些功能。- 在來源資料行中按一下鉛筆圖示,然後選取規則的來源。
- 在目的地資料行中按一下鉛筆圖示,然後選取規則的目的地。若未定義,則代表不分目的地。
-
- 在服務資料行中按一下鉛筆圖示,然後選取服務。若未定義,則代表不分服務。
- 在設定檔資料行中按一下編輯圖示,然後選取內容設定檔,或是按一下新增內容設定檔。請參閱設定檔。
- 按一下套用,將內容設定檔套用至規則。
- 依預設,套用至資料行設定為 [DFW],而規則會套用至所有工作負載。您也可以將規則或原則套用至選取的群組。套用至定義了每個規則的強制執行範圍,主要用於 ESXi 主機上的資源最佳化。這有助於為特定的區域、承租人和應用程式定義針對性的原則,卻不干擾為其他承租人、區域和應用程式定義的其他原則。
備註: 在 套用至中,您無法選取下列類型的群組:
- 具有 IP 或 MAC 位址的群組
- Active Directory 使用者群組
- 在動作資料行中,選取動作。
選項 說明 允許 允許具有指定來源、目的地和通訊協定的所有 L3 或 L2 流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。 捨棄 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。 拒絕 拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包是較委婉的拒絕方式,它會傳送無法連線目的地訊息給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。使用拒絕的其中一個好處是,發生一次無法建立連線的情形後,傳送方應用程式即會收到通知。 - 按一下切換按鈕以啟用或停用規則。
- 按一下齒輪圖示以設定下列規則選項:
選項 說明 記錄 依預設會關閉記錄。記錄會儲存在 ESXi 主機上的 /var/log/dfwpktlogs.log 中。 方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量,「傳出」表示僅檢查物件發出的流量,而「傳入/傳出」則表示檢查這兩個方向的流量。 IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。 記錄標籤 啟用記錄時,防火牆記錄中會出現記錄標籤。 - 按一下發佈。可以新增多個規則,然後一同發佈。
- 在每個原則上,按一下檢查狀態,以根據每個位置檢視其包含的規則狀態。您可以按一下成功或失敗以開啟原則狀態視窗。
- 按一下檢查狀態,以檢查對不同位置上的傳輸節點套用之原則的實現狀態。