在第 0 層閘道防火牆上建立應用程式防火牆規則之前,請務必手動新增閘道防火牆規則,以允許使用 BGP、OSPF 和故障偵測通訊協定 BFD 等路由通訊協定。應將這些規則新增到任何應用程式規則之前,以確保在變更應用程式防火牆規則時,路由對等對應的故障偵測通訊協定不受影響。

必要條件

支援 IPv4 和 IPv6 位址。

若要開啟閘道防火牆,請選取安全性 > 閘道防火牆 > 設定。對於要啟用的第 1 層或第 0 層閘道防火牆,按一下開啟

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取安全性 > 閘道防火牆
  3. 選取所有共用的規則閘道特定規則索引標籤。按一下新增原則。如需規則類別的詳細資訊,請參閱閘道防火牆
  4. 為新的原則區段輸入名稱
  5. 按一下齒輪圖示以進行下列原則設定:
    設定 說明
    TCP 嚴格 依預設,閘道防火牆在嚴格 TCP 模式下運作。「TCP 嚴格」僅適用於可設定狀態的 TCP 規則,且會在閘道防火牆原則層級上啟用。TCP 嚴格不會針對符合未指定任何 TCP 服務之預設「任何-任何」允許的封包強制執行。
    可設定狀態 依預設,系統會啟用「可設定狀態」。可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定可通過防火牆的封包。
    已鎖定 依預設,系統會關閉「已鎖定」。您可以鎖定原則,以防多位使用者對相同的區段進行變更。鎖定區段時,必須加上註解。
  6. 選取原則區段,然後按一下新增規則
  7. 輸入規則的名稱。
  8. 來源資料行中,按一下鉛筆圖示,然後選取群組IP 位址。對於 IP 位址,您可以輸入 IP 位址、CIDR 或 IP 位址範圍。具有 Active Directory 成員的群組可用於 IDFW 規則的來源文字方塊中。請參閱新增群組
  9. 目的地資料行中,按一下鉛筆圖示,然後選取群組IP 位址。對於 IP 位址,您可以輸入 IP 位址、CIDR 或 IP 位址範圍。若未定義,則代表不分目的地。請參閱新增群組
  10. 服務資料行中按一下鉛筆圖示,然後選取服務。若未定義,則服務會比對任何項目。請參閱新增服務
  11. 對於第 1 層閘道,請在設定檔資料行中,按一下鉛筆圖示,並選取內容設定檔或 L7 存取設定檔。或者,建立新的設定檔。請參閱設定檔。如需內容設定檔的設計準則,請參閱第 7 層防火牆規則工作流程
    • 閘道防火牆規則可包含內容設定檔或 L7 存取設定檔,但不可同時包含兩者。
    • 閘道防火牆規則不支援含有屬性類型「網域 (FQDN) 名稱」的內容設定檔。
    • 在單一閘道防火牆規則中只能使用一個 L7 存取設定檔。
  12. 在 4.2.1 及更新版本中,針對第 0 層閘道,在設定檔資料行中按一下鉛筆圖示,然後選取 L7 存取設定檔。請參閱L7 存取設定檔。第 0 層閘道防火牆原則不支援內容設定檔。
  13. 按一下套用
  14. 按一下套用至資料行的鉛筆圖示,以變更每個規則的強制執行範圍。在套用至對話方塊中,按一下類別下拉式功能表,以依物件類型 (如介面、標籤和 VTI) 來篩選,以便選取那些特定物件。
    依預設,閘道防火牆規則會套用至所選閘道上的所有可用上行和服務介面。

    對於 URL 篩選,套用至只能是第 1 層閘道。

  15. 動作資料行中,選取動作。
    選項 說明
    允許 允許具有指定來源、目的地和通訊協定的所有流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。

    L7 存取設定檔的規則動作必須為允許

    捨棄 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    拒絕

    拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包時,系統會將「無法連線到目的地」訊息傳送給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。經過一次嘗試而無法建立連線後,傳送方應用程式會收到通知。

  16. 按一下狀態切換按鈕以啟用或停用規則。
  17. 按一下齒輪圖示以設定記錄、方向、IP 通訊協定與註解。
    選項 說明
    記錄

    可以開啟或關閉記錄。閘道防火牆日誌會提供閘道虛擬路由和轉送、閘道介面資訊以及流量詳細資料。閘道防火牆記錄可在 /var/log 目錄中名為 firewallpkt.log 的檔案中找到。

    方向 選項為傳入傳出傳入/傳出。預設為傳入/傳出。此欄位是指從目的地物件的角度而言的流量方向。傳入表示僅會檢查流向物件的流量,傳出表示僅會檢查來自物件的流量,而傳入/傳出則表示會檢查這兩個方向的流量。
    IP 通訊協定 選項為 IPv4IPv6IPv4_IPv6。預設為 IPv4_IPv6
    記錄標籤 記錄標籤是開啟記錄功能時的記錄名稱。字元數目上限為 39。
    註解 在防火牆規則中新增註解。
    備註: 按一下圖表圖示以檢視防火牆規則的流量統計資料。您可以查看位元組、封包計數和工作階段等資訊。
  18. 按一下發佈。可以新增多個規則,然後一同發佈。
  19. 在每個原則區段中,按一下資訊圖示以檢視推送至 Edge 節點的 Edge 防火牆規則目前的狀態。此外也會顯示規則推送至 Edge 節點時所產生的任何警示。
  20. 若要檢視套用至 Edge 節點的閘道防火牆規則的整併狀態,請執行 API 呼叫。
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true