專案中的使用者可以建立自己的分散式防火牆原則,以保護專案中的東西向流量。專案中的分散式防火牆規則不會影響專案外部的工作負載。

專案中的預設 DFW 規則

對於在 NSX 中新增的每個專案,系統都會在專案中建立一個預設 DFW 原則。預設原則會顯示在應用程式防火牆類別的原則清單底部。預設原則定義了專案內的虛擬機器在未遇到任何其他規則時的行為。

以下命名慣例用來識別專案中的預設 DFW 原則:

ORG-default PROJECT-<Project_Name> Default Layer 3 section

Project_Name 會取代為系統中的實際值。

例如,下列螢幕擷取畫面顯示專案中的預設 DFW 原則規則。


此圖的周圍有文字加以說明。

如此螢幕擷取畫面中所示,預設原則會套用至 DFW,且它包含下列防火牆規則:

  • 規則 1017 允許 IPv6-ICMP 流量。
  • 規則 1018 允許與 DHCPv4 用戶端和伺服器進行通訊。
  • 規則 1019 允許與 DHCPv6 用戶端和伺服器進行通訊。(在 NSX 4.1.1 中導入)
  • 規則 1020 允許在專案內的工作負載虛擬機器之間進行通訊。
  • 規則 1021 會捨棄不符合上述任何規則的所有其他通訊。

預設 DFW 原則可確保專案內的虛擬機器只能連線至同一專案中的其他虛擬機器,包括 DHCP 伺服器。與專案外部的虛擬機器進行的通訊會被封鎖。依預設,如果虛擬機器會連線至專案內的區段,就無法對其預設閘道執行 ping 動作。如果需要進行此類通訊,您必須在預設 DFW 原則中,新增規則或修改現有規則。

使用者在專案中建立的 DFW 規則

組織內的專案支援「基礎結構」、「環境」和「應用程式」DFW 防火牆類別。在每個防火牆類別中,會依下列優先順序來強制執行 DFW 規則:
  1. 預設空間中的 DFW 規則 (優先順序最高)
  2. 專案中的 DFW 規則
  3. (從 NSX 4.1.1 開始):專案內 NSX VPC 中的東西向防火牆規則 (優先順序最低)

預設空間中的 DFW 規則可以延伸至專案。

備註: 預設空間中的 DFW 規則會套用至 NSX 部署中的每一個虛擬機器,包括專案中的虛擬機器。但是,您可以從 UI 的 套用至設定中,選取 群組選項,以限制預設空間中的規則範圍。

例如,您可以選擇將規則套用至專案預設群組 (ORG-default-PROJECT-<Project_Name>)。專案的預設群組僅包含專案的工作負載虛擬機器。

專案內的 DFW 規則可以存取下列群組:
  • 在專案中建立的群組。
  • 供專案共用的群組。

提供給專案共用的群組只能用於防火牆規則的來源目的地欄位中,而不能用於防火牆規則的套用至欄位中。

(從 NSX 4.1.1 開始):如果在專案中新增了 NSX VPC,則可以在專案防火牆規則的來源目的地套用至欄位中,使用系統在 NSX VPC 中建立的預設群組。但是,不能在專案防火牆規則中使用使用者在 NSX VPC 中建立的群組。

專案中的防火牆規則只會套用至專案中的虛擬機器,亦即,連線至專案中區段的虛擬機器。專案中的防火牆規則 (包括套用至 DFW 的「任何-任何」規則) 不會影響專案外部的工作負載。

在專案中新增 DFW 原則

用來在專案中新增 DFW 原則的 UI 工作流程,與用來在 NSX 部署的預設視圖 (預設空間) 中新增原則的現有工作流程相同。

唯一的差異在於,在 UI 中,您必須先從應用程式列 (位於頂端) 上的專案切換器下拉式功能表中,選取一個專案,然後導覽至安全性 > 分散式防火牆,才能在該選取的專案中新增 DFW 原則。