防火牆規則區段會進行獨立編輯和儲存,並且用來將個別的防火牆組態套用至承租人。

必要條件

確認已在 NSX Manager 使用者介面中選取管理程式模式。請參閱NSX Manager。如果看不到原則管理程式模式按鈕,請參閱設定使用者介面設定

程序

  1. 選取安全性 > 分散式防火牆
  2. 對於第 3 層 (L3) 規則,按一下一般索引標籤,對於第 2 層 (L2) 規則,按一下乙太網路索引標籤。
  3. 按一下現有的區段或規則。
  4. 按一下功能表列上的區段圖示,然後選取新增以上區段新增以下區段
    備註: 對於嘗試通過防火牆的任何流量,封包資訊皆會受到 [規則] 表格中所顯示規則順序的約束,從頂端開始,一路往底部的預設規則依序處理。在某些情況下,兩個以上規則的優先順序對於判定封包的處理方式而言可能很重要。
  5. 輸入區段名稱。
    備註: 依預設,防火牆規則區域 (及其規則) 設定為 [可設定狀態]。在可設定狀態防火牆中,將為與動作為 [允許] 的防火牆規則相符的流量建立及保留快取。根據防火牆規則集驗證新流量的第一個封包後,不再需要檢查屬於該流量的後續網路封包。在流量負載較重的情況下,這可降低流量延遲並改善整體防火牆效能。可設定狀態防火牆也更能識別未經授權或偽造的網路流量。

    對於某些應用程式,可能需要使用無狀態防火牆。在無狀態防火牆中,會根據規則集驗證流量的每個封包。對於無狀態流量,不會保留任何快取。若要將防火牆規則區段變更為僅包含無狀態規則,請參閱步驟 6,否則請繼續執行步驟 7。

  6. (選擇性) 若要使防火牆無狀態,請選取啟用無狀態防火牆按鈕。此選項僅適用於 L3。
    一旦定義完成後,便不會在可設定狀態及無狀態之間切換。
  7. 選取要套用區段的一或多個物件。
    物件的類型為邏輯連接埠、邏輯交換器和 NSGroup。如果您選取 NSGroup,它必須包含一或多個邏輯交換器或邏輯連接埠。僅包含 IP 集或 MAC 集的 NSGroup 將被忽略。
    備註: 如果區段及其所含規則的 套用至均設為 NSGroup,則區段中的 套用至會覆寫該區段所含規則中的所有 套用至設定。這是因為防火牆區段層級的 套用至優先於規則層級的 套用至
  8. 按一下確定

下一步

將防火牆規則新增至區段。