NSX 專案中的防火牆原則

當 NSX 專案成功實現時，系統會建立預設的閘道防火牆和分散式防火牆規則，以控管 NSX 專案中工作負載的南北向流量和東西向流量的預設行為。

概觀

專案中的防火牆規則僅適用於專案中的虛擬機器。即連線至專案中區段的虛擬機器。專案中的防火牆規則不會影響專案外部的工作負載。

在以下小節中，「基本授權」一詞是指以下兩種授權中的任何一種：

分散式防火牆

基本授權僅授權系統使用 NSX 網路功能。您無法設定分散式防火牆安全性功能。若要在 NSX 專案中新增或編輯分散式防火牆規則，必須在系統中套用適當的安全性授權。

如果未套用安全性授權，則不會在專案中啟用系統建立的預設分散式防火牆規則。預設防火牆規則存在於專案中，但它們在專案中處於非作用中狀態。您無法編輯預設防火牆規則，也無法在專案中啟用這些規則。

閘道防火牆

基本授權僅授權系統在專案中新增或編輯無狀態閘道防火牆規則。若要在專案中新增或編輯可設定狀態閘道防火牆規則和無狀態閘道防火牆規則，必須在系統中套用適當的安全性授權。

專案中的預設閘道防火牆原則是可設定狀態原則。如果未在系統中套用安全性授權，則只能編輯可設定狀態閘道防火牆規則的規則動作。不允許在預設規則中進行任何其他編輯。無法將預設閘道防火牆原則的狀態從可設定狀態變更為無狀態。

預設分散式防火牆 (DFW) 原則會顯示在應用程式防火牆類別的原則清單底部。預設原則定義了專案內的虛擬機器在未遇到任何其他規則時的行為。

以下命名慣例用來識別專案中的預設 DFW 原則：

PROJECT-<Project_Name>-Default Layer 3 section

Project_Name 會取代為系統中的實際值。

例如，下列螢幕擷取畫面顯示專案中的預設 DFW 原則規則。

如此螢幕擷取畫面中所示，預設原則會套用至 DFW，且它包含下列防火牆規則：

預設 DFW 原則可確保專案內的虛擬機器只能連線至同一專案中的其他虛擬機器，包括 DHCP 伺服器。與專案外部的虛擬機器進行的通訊會被封鎖。依預設，如果虛擬機器會連線至專案內的區段，就無法對其預設閘道執行 ping 動作。如果需要進行此類通訊，您必須在預設 DFW 原則中，新增規則或修改現有規則。

組織內的專案支援「基礎結構」、「環境」和「應用程式」DFW 防火牆類別。在每個防火牆類別中，會依下列優先順序來強制執行 DFW 規則：

預設空間中的 DFW 規則可以延伸至專案。

備註：預設空間中的 DFW 規則會套用至 NSX 部署中的每一個虛擬機器，包括專案中的虛擬機器。但是，您可以從 UI 的套用至設定中，選取群組選項，以限制預設空間中的規則範圍。

例如，您可以選擇將規則套用至專案預設群組 (PROJECT-<Project_Name>-default)。專案的預設群組僅包含專案的工作負載虛擬機器。

專案內的 DFW 規則可以存取下列群組：

提供給專案共用的群組只能用於防火牆規則的來源或目的地欄位中，而不能用於防火牆規則的套用至欄位中。

如果在專案中新增了 NSX VPC，則可以在專案防火牆規則的來源、目的地和套用至欄位中，使用系統在 NSX VPC 中建立的預設群組。但是，不能在專案防火牆規則中使用使用者在 NSX VPC 中建立的群組。

用來在專案中新增 DFW 原則的 UI 工作流程，與用來在 NSX 部署的預設視圖 (預設空間) 中新增原則的現有工作流程相同。

唯一的差異在於，在 UI 中，您必須先從應用程式列 (位於頂端) 上的專案切換器下拉式功能表中，選取一個專案，然後導覽至安全性 > 分散式防火牆，才能在該選取的專案中新增 DFW 原則。

專案的預設閘道防火牆原則是可設定狀態原則，其中包含單一防火牆規則，如以下螢幕擷取畫面中所示。

依預設，預設規則允許所有流量流經專案閘道防火牆。您只能修改此預設規則的規則動作。此規則中的其他所有欄位均不可編輯。

如前面在本說明文件的〈概觀〉一節中所述，基本授權僅允許系統在專案中新增或編輯無狀態閘道防火牆規則。若要在專案中新增或編輯可設定狀態閘道防火牆規則和無狀態閘道防火牆規則，您必須在系統中套用適當的安全性授權。

用來在專案中新增閘道防火牆原則的 UI 工作流程，與用來在 NSX 部署的預設視圖 (預設空間) 中新增閘道防火牆原則的現有工作流程相同。

唯一的差異在於，在 UI 中，您必須先從應用程式列 (位於頂端) 上的專案切換器下拉式功能表中，選取一個專案，然後導覽至安全性 > 閘道防火牆 > 閘道特定規則，才能在所選專案的第 1 層閘道新增閘道防火牆原則。