防火牆規則表實作了 NSX 安全性原則,您可以使用 NSX Manager GUI 或 REST API 架構來建立該原則。

以下是瞭解並準備定義安全性原則的高階步驟。
  • VM Inventory Collection:您可以識別及組織裝載在 NSX 傳輸節點上的所有虛擬化工作負載的清單。該詳細目錄由 NSX Manager 動態收集並儲存成節點 - 新增成 NSX 傳輸節點的 ESXi 或 KVM。您可以通過導覽至詳細目錄 > 虛擬機器功能表,來檢視詳細目錄清單。
  • TagNSX 允許標記虛擬機器、區段和區段連接埠。若要標記這每一個物件,請移至相關物件頁面,或移至詳細目錄 > 標籤。物件可以有一個或多個標籤。例如,虛擬機器可以具有 Tag = PRODTag = HR-APPTag = WEB-Tier
  • Group Workloads:您可以根據虛擬機器名稱、標籤、區段、區段連接埠、IP 或其他屬性,將 NSX 邏輯分組建構,與動態或靜態成員資格準則搭配使用。
  • Define Security Policy:您可以使用安全性 > 分散式防火牆中提供的分散式防火牆規則表,來定義安全性原則。您可以根據預先定義的類別 (例如:乙太網路、緊急、基礎架構、環境和應用程式),來組織原則。

如需詳細資料,請參閱 《NSX 管理指南》

新增標籤

您可以選取詳細目錄中可用的現有標籤,或是建立新標籤以新增至物件。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 請確定您處於物件的編輯模式,以便將標籤指派給它。物件可以是虛擬機器、區段、第 0 層閘道等。
    例如,若要標記虛擬機器,請按一下 詳細目錄 > 虛擬機器。在您要編輯的虛擬機器旁邊,按一下 [動作] 功能表,然後按一下 編輯
  3. 標籤下拉式功能表中,輸入標籤名稱。完成後,按一下新增項目
    標籤名稱的長度上限為 256 個字元。

    如果詳細目錄中存在標籤,則標籤下拉式功能表會顯示所有可用標籤及其範圍的清單。您可以從下拉式功能表中選取現有標籤,並將其指派給虛擬機器。

    備註: 請勿將 Edge_NSGroup 標籤指派給虛擬機器。系統會自動將此標籤指派給 Edge 虛擬機器,以將其包含在分散式防火牆排除清單中。
  4. (選擇性) 輸入標籤範圍。
    例如,假設您想要根據虛擬機器的作業系統 (Windows、Mac、Linux) 來標記虛擬機器。請建立三個標籤,例如 Windows、Linux 和 Mac,然後將每個標籤的範圍設定為作業系統。
    範圍的長度上限為 128 個字元。

    如果已從詳細目錄中選取現有標籤,則會自動套用所選標籤的範圍。否則,您可以為要建立的新標籤輸入範圍。

  5. 按一下 + 圖示。
    標籤即會新增至虛擬機器。
  6. (選擇性) 重複步驟 3-5 以將更多標籤新增至虛擬機器。
  7. 按一下儲存

新增群組

群組包含以靜態方式和動態方式新增的不同物件,可以作為防火牆規則的來源和目的地。

程序

  1. 選取導覽面板中的詳細目錄 > 群組
  2. 按一下新增群組,然後輸入群組名稱。
  3. 按一下設定
  4. 設定成員視窗中,選取群組類型
    表 1.
    群組類型 說明
    一般

    此群組類型是預設選取項目。「一般」群組定義可以由成員資格準則、手動新增的成員、IP 位址、MAC 位址和 Active Directory 群組等組合而成。

    在群組中定義成員資格準則時,將根據一或多個準則,在群組中動態新增成員。手動新增的成員包括區段連接埠、分散式連接埠、分散式連接埠群組、VIF、虛擬機器等物件。
    僅限 IP 位址

    此群組類型僅包含 IP 位址 (IPv4 或 IPv6)。不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的僅限 IP 位址群組。可以建立規則,但不會強制執行。

    如果群組類型為一般,則可以將其類型編輯為僅限 IP 位址群組或具有惡意 IP 的僅限 IP 位址群組。在這種情況下,只有 IP 位址還保留在群組中。所有成員資格準則和其他群組定義都將遺失。在 中實現僅限 IP 位址或具有惡意 IP 的僅限 IP 位址NSX群組類型後,便無法將群組類型編輯為一般
  5. 成員資格準則頁面上,按一下新增準則,以根據一或多個成員資格準則,將成員動態新增至一般群組。
  6. 按一下成員,即可在群組中新增靜態成員。
  7. (選擇性) 按一下 IP/MAC 位址以新增 IP 位址和 MAC 位址做為群組成員。支援 IPv4 位址、IPv6 位址和多點傳播位址。
    按一下 動作 > 匯入,從包含以逗號分隔之 IP/MAC 值的 .TXT 檔案或 .CSV 檔案匯入 IP/MAC 位址。
  8. 按一下 AD 群組以新增 Active Directory 群組。這用於身分識別防火牆。在身分識別防火牆的分散式防火牆規則的來源中,可使用含有 Active Directory 成員的群組。群組可同時包含 AD 和計算成員。
  9. (選擇性) 輸入說明和標籤。
  10. 按一下套用
    隨即列出群組,並附有選項讓您可以檢視成員及使用群組的位置。

分散式防火牆原則

分散式防火牆隨附了防火牆規則的預先定義類別。您可以使用類別來組織安全性原則。

系統會以由左到右 (乙太網路 > 緊急 > 基礎結構 > 環境 > 應用程式) 的順序評估類別,並以由上到下的順序評估類別內的分散式防火牆規則。

表 2. 分散式防火牆規則類別
乙太網路

建議在此類別中包含第 2 層規則。

 緊急

建議在此類別中包含隔離和允許規則。

 基礎結構

建議在此類別中包含定義共用服務存取權的規則。例如:

  • AD
  • DNS
  • NTP
  • DHCP
  • 備份
  • 管理伺服器
 環境

建議在此類別中包含區域之間的規則。例如:

  • 生產與開發
  • PCI 與非 PCI
  • 業務單位間規則
 應用程式

建議包含以下各項之間的規則:

  • 應用程式
  • 應用程式層
  • 微服務

新增分散式防火牆原則

分散式防火牆會監控虛擬機器上的所有東西向流量。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取導覽面板中的安全性 > 分散式防火牆
  3. 確定您是位於正確的預先定義類別,然後按一下新增原則
  4. 為新的原則區段輸入名稱
  5. (選擇性) 使用套用至,將原則內的規則套用至選取的群組。依預設,原則的套用至欄位會設定為 DFW,而原則規則會套用至所有工作負載。變更預設時,如果原則層級和其中的規則將套用至設定至一個群組,則原則層級的套用至會優先於規則層級的套用至
    備註: 僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。

    套用至定義了每個原則的強制執行範圍,主要用於 ESXi 主機上的資源最佳化。這有助於為特定的區域、承租人或應用程式定義針對性的原則,卻不干擾為其他應用程式、承租人與區域定義的其他原則。

  6. 若要設定下列原則設定,請按一下齒輪圖示。
  7. 按一下發佈。您可以新增多個原則,然後一同發佈。
    新的原則即會顯示在畫面上。
  8. 選取原則區段並按一下新增規則,然後輸入規則名稱。
  9. 來源資料行中按一下編輯圖示,然後選取規則來源。含有 Active Directory 成員的群組可在 IDFW 規則的來源文字方塊中使用。
  10. 目的地資料行中按一下編輯圖示,然後選取規則的目的地。若未定義,則代表不分目的地。
  11. 服務資料行中按一下編輯圖示,然後選取服務。若未定義,則服務會比對任何項目。
  12. 將規則新增至「乙太網路」類別時,內容設定檔資料行無法使用。針對所有其他規則類別,請在內容設定檔資料行中按一下編輯圖示,然後選取內容設定檔,或是按一下新增內容設定檔
    此參數用於 L7 應用程式識別碼篩選和 FQDN 篩選。
  13. 按一下套用,將內容設定檔套用至規則。
  14. 使用套用至,將規則套用至選取的群組。使用 Guest Introspection 建立 DFW 規則時,請確定套用至欄位套用至目的地群組。依預設,套用至資料行設定為 DFW,而規則會套用至所有工作負載。變更預設時,如果原則層級和其中的規則將套用至設定至數個群組,則原則層級的套用至會優先於規則層級的套用至
    備註: 僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。
  15. 動作資料行中,選取動作。
    選項 說明
    允許 允許具有指定來源、目的地和通訊協定的所有 L3 或 L2 流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。
    捨棄 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    拒絕 拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包是較委婉的拒絕方式,它會傳送無法連線目的地訊息給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。使用拒絕的其中一個好處是,發生一次無法建立連線的情形後,傳送方應用程式即會收到通知。
    跳至應用程式
    備註: 此動作僅適用於「環境」類別。

    請允許符合環境類別規則的流量繼續傳輸,以便能套用應用程式類別規則。如果流量符合環境類別規則並已結束,但您想要套用應用程式類別規則,則請使用此動作。

    例如,如果某個環境類別規則有適用於特定來源的允許動作,並且某個應用程式類別規則有適用於相同來源的捨棄動作,則系統會允許符合環境類別的封包通過防火牆,並且不再套用其他規則。使用「跳至應用程式」動作時,封包雖符合環境類別規則,但會繼續套用應用程式類別規則,從而導致這些封包遭到捨棄。
  16. 按一下狀態切換按鈕以啟用或停用規則。
  17. 按一下齒輪圖示以設定下列規則選項:
    選項 說明
    記錄 依預設會關閉記錄。記錄會儲存在 ESXi 主機上的 /var/log/dfwpktlogs.log 檔案中。
    方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量,「傳出」表示僅檢查物件發出的流量,而「傳入-傳出」則表示檢查這兩個方向的流量。
    IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。
    記錄標籤

    啟用記錄時,記錄標籤會在防火牆記錄中延續使用。雖然可以輸入更長的標籤,但在產生的記錄中僅支援前 31 個字元。
  18. 按一下發佈。可以新增多個規則,然後一同發佈。
  19. 原則的資料路徑實現狀態與傳輸節點詳細資料會顯示在原則資料表右側。

新增分散式 IDS/IPS 原則

IDS/IPS 規則的建立方式與分散式防火牆 (DFW) 規則相同。首先,建立一個 IDS 原則,然後為此原則建立規則。

程序

  1. 導覽至安全性 > IDS/IPS > 分散式防火牆規則
  2. 按一下新增原則以建立原則,然後輸入原則名稱。
  3. 按一下齒輪圖示,以進行下列必要的原則設定。
    選項 說明
    可設定狀態 可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定允許通過防火牆的封包。
    已鎖定 您可以鎖定原則,以防止多個使用者編輯相同的區段。鎖定區段時,必須加上註解。

    某些角色 (如企業管理員) 具有完整存取認證,且無法鎖定。

  4. 按一下新增規則以新增規則,然後輸入規則名稱。
  5. 設定來源、目的地和服務,以用來判定需要進行 IDS 檢查的流量。IDS 支援任何類型的群組做為來源和目的地。
  6. 安全性設定檔資料行中,選取規則必要的設定檔。
  7. 套用至資料行中選取適當選項,以限制規則的範圍。依預設,套用至資料行設定為 DFW,而規則會套用至所有工作負載。您也可以將規則或原則套用至選取的群組。僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在套用至文字方塊中使用。
  8. 從下列選項中選取必要的模式
    • 僅偵測 - 根據特徵碼偵測入侵情況,而不採取任何動作。
    • 偵測並防止 - 根據特徵碼來偵測入侵情況,並根據特徵碼中的指定,透過設定檔或全域設定,來採取捨棄或拒絕動作。
  9. 按一下齒輪圖示以設定下列規則選項。
    選項 說明
    記錄 依預設會關閉記錄。記錄會儲存在 ESXi 和 KVM 主機上的 /var/log/dfwpktlogs.log 檔案中。
    方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量。「傳出」表示僅檢查物件發出的流量。「傳入/傳出」表示會檢查兩個方向的流量。
    IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。
    記錄標籤 啟用記錄時,記錄標籤會在防火牆記錄中延續使用。
  10. 按一下發佈。當規則成功推送至主機時,狀態會顯示成功
  11. 按一下圖表圖示以檢視
    • 原則狀態 - 已成功將規則推送至主機
    • 傳輸節點狀態和錯誤
    如需進階原則組態,請參閱 《NSX 管理指南》

閘道防火牆原則

您可以將規則新增至屬於預先定義類別的防火牆原則區段之下,來設定閘道防火牆。

程序

  1. 移至安全性 > 閘道防火牆 > 閘道特定規則
  2. 選取 T0-Gateway,然後按一下新增原則
    新增 GFW 原則
  3. 新增規則。
  4. 為規則新增服務。
  5. 提供來源、目的地、服務和閘道等詳細資料,並選取動作。
  6. 發佈原則和規則。