分散式防火牆會監控虛擬機器上的所有東西向流量。

本主題中的程序說明新增防火牆原則的工作流程,這些原則會套用至 NSX 分散式防火牆或具有 NSX 管理物件的特定群組。

如果您的 NSX 環境中登錄了 Antrea 容器,則可以建立分散式防火牆原則,並將其套用至 Antrea 容器叢集。如需詳細資訊,請參閱:
備註: NSX 不支援在相同的分散式防火牆原則中,混合以 NSX 管理的物件所建立的規則與以 Antrea 容器叢集物件建立的規則。換言之,套用至 NSX 分散式防火牆與套用至 Antrea 容器叢集的防火牆規則,兩者必須位於不同的原則中。

必要條件

受 DFW 保護之虛擬機器的 vNIC 必須連線至 NSX 覆疊或 VLAN 區段。 NSX 中,分散式防火牆會保護原生連線至 VDS 分散式連接埠群組 (DVPG) 的工作負載。如需詳細資訊,請參閱適用於 vSphere Distributed Switch 的分散式安全性
若要為身分識別防火牆建立規則,請先建立含有 Active Directory 成員的群組。若要檢視 IDFW 支援的通訊協定,請參閱 身分識別防火牆支援的組態。使用 Guest Instrospection 建立 DFW 規則時,請確保 套用至欄位套用至目的地群組。
備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應 開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。

請注意,如果您使用第 7 層和 ICMP 的組合,或使用任何其他通訊協定,則需要將第 7 層防火牆規則放置於最後。第 7 層「任何/任何」規則之後的任何規則都將不會執行。

如需分散式防火牆原則與規則建立的聯盟專屬詳細資料,請參閱從全域管理員建立 DFW 原則和規則

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取導覽面板中的安全性 > 分散式防火牆
  3. 確定您是位於正確的預先定義類別,然後按一下新增原則
    如需類別的詳細資訊,請參閱 分散式防火牆
  4. 為新的原則區段輸入名稱
  5. (選擇性) 使用套用至,將原則內的規則套用至選取的群組。依預設,原則的套用至欄位會設定為 DFW,而原則規則會套用至所有工作負載。變更預設時,如果原則層級和其中的規則將套用至設定至一個群組,則原則層級的套用至會優先於規則層級的套用至
    備註: 僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。

    套用至定義了每個原則的強制執行範圍,主要用於 ESXi 主機上的資源最佳化。這有助於為特定的區域、承租人或應用程式定義針對性的原則,卻不干擾為其他應用程式、承租人與區域定義的其他原則。

  6. (選擇性) 若要設定下列原則設定,請按一下齒輪圖示。
    選項 說明
    TCP 嚴格

    依預設,分散式防火牆是在嚴格 TCP 模式下執行。「TCP 嚴格」僅適用於可設定狀態的 TCP 規則,且會在閘道防火牆原則層級上啟用。

    TCP 嚴格不會針對符合未指定任何 TCP 服務之預設「任何-任何」允許規則的封包強制執行。當使用預設的「任何-任何」封鎖規則時,系統會捨棄未完成三向信號交換連線要求,且符合此區段中以 TCP 為基礎之規則的封包。

    可設定狀態 可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定允許通過防火牆的封包。
    已鎖定 您可以鎖定原則,以防止多個使用者編輯相同的區段。鎖定區段時,必須加上註解。某些角色 (如企業管理員) 具有完整存取認證,且無法鎖定。

    請參閱角色型存取控制

  7. 按一下發佈。您可以新增多個原則,然後一同發佈。
    新的原則即會顯示在畫面上。
  8. 選取原則區段並按一下新增規則,然後輸入規則名稱。
  9. 來源資料行中按一下編輯圖示,然後選取規則來源。含有 Active Directory 成員的群組可在 IDFW 規則的來源文字方塊中使用。支援 IPv4、IPv6 和多點傳播位址。IPv6 防火牆必須在已連線的區段上為 IPv6 啟用 IP 探索。如需詳細資訊,請參閱瞭解 IP 探索區段設定檔
    請參閱 新增群組
  10. (選擇性) 如果選取否定選取項目,則將規則套用於來自所選來源以外的所有來源的流量。只有在定義了至少一個來源或目的地時,您才能選取 [否定選取項目]。已否定的選取項目以刪除線文字顯示。
  11. 目的地資料行中按一下編輯圖示,然後選取規則的目的地。若未定義,則代表不分目的地。支援 IPv4、IPv6 和多點傳播位址。
    請參閱 新增群組
  12. (選擇性) 如果選取否定選取項目,則將規則套用於流向所選目的地以外的所有目的地的流量。只有在定義了至少一個來源或目的地時,您才能選取 [否定選取項目]。已否定的選取項目以刪除線文字顯示。
  13. 服務資料行中按一下編輯圖示,然後選取服務。若未定義,則服務會比對任何項目。請參閱新增服務
  14. 將規則新增至「乙太網路」類別時,內容設定檔資料行無法使用。針對所有其他規則類別,請在內容設定檔資料行中按一下編輯圖示,然後選取內容設定檔,或是按一下新增內容設定檔
    請參閱 內容設定檔

    內容設定檔支援在分散式防火牆規則中,使用含有屬性類型 [應用程式識別碼] 和 [網域 (FQDN) 名稱] 的設定檔。在將服務設定為任何的分散式防火牆規則中,可以使用含有屬性類型 [應用程式識別碼] 或 [網域 (FQDN) 名稱] 的多個應用程式識別碼內容設定檔。

    建立 IDS 規則時不支援內容設定檔。

  15. 按一下套用,將內容設定檔套用至規則。
  16. 使用套用至,將規則套用至選取的群組。使用 Guest Introspection 建立 DFW 規則時,請確定套用至欄位套用至目的地群組。依預設,套用至資料行設定為 DFW,而規則會套用至所有工作負載。變更預設時,如果原則層級和其中的規則將套用至設定至數個群組,則原則層級的套用至會優先於規則層級的套用至
    備註: 僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。
  17. 動作資料行中,選取動作。
    選項 說明
    允許 允許具有指定來源、目的地和通訊協定的所有 L3 或 L2 流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。
    捨棄 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    拒絕 拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包是較委婉的拒絕方式,它會傳送無法連線目的地訊息給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。使用拒絕的其中一個好處是,發生一次無法建立連線的情形後,傳送方應用程式即會收到通知。
    跳至應用程式
    備註: 此動作僅適用於「環境」類別。

    請允許符合環境類別規則的流量繼續傳輸,以便能套用應用程式類別規則。如果流量符合環境類別規則並已結束,但您想要套用應用程式類別規則,則請使用此動作。

    例如,如果某個環境類別規則有適用於特定來源的允許動作,並且某個應用程式類別規則有適用於相同來源的捨棄動作,則系統會允許符合環境類別的封包通過防火牆,並且不再套用其他規則。使用「跳至應用程式」動作時,封包雖符合環境類別規則,但會繼續套用應用程式類別規則,從而導致這些封包遭到捨棄。

  18. 按一下狀態切換按鈕以啟用或停用規則。
  19. 按一下齒輪圖示以設定下列規則選項:
    選項 說明
    記錄 依預設會關閉記錄。記錄會儲存在 ESXi 主機上的 /var/log/dfwpktlogs.log 檔案中。
    方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量,「傳出」表示僅檢查物件發出的流量,而「傳入-傳出」則表示檢查這兩個方向的流量。
    IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。
    記錄標籤

    啟用記錄時,記錄標籤會在防火牆記錄中延續使用。字元數目上限為 39。

  20. 按一下發佈。可以在同一區段中新增 1,000 條規則並一起發佈。
  21. 原則的資料路徑實現狀態與傳輸節點詳細資料會顯示在原則資料表右側。