當 NSX 專案成功實現時,系統會建立預設的閘道防火牆和分散式防火牆規則,以控管 NSX 專案中工作負載的南北向流量和東西向流量的預設行為。
概觀
專案中的防火牆規則僅適用於專案中的虛擬機器。即連線至專案中區段的虛擬機器。專案中的防火牆規則不會影響專案外部的工作負載。
在以下小節中,「基本授權」一詞是指以下兩種授權中的任何一種:
- NSX Networking for VMware Cloud Foundation
- VCF 的解決方案授權
專案中的預設 DFW 規則
預設分散式防火牆 (DFW) 原則會顯示在應用程式防火牆類別的原則清單底部。預設原則定義了專案內的虛擬機器在未遇到任何其他規則時的行為。
以下命名慣例用來識別專案中的預設 DFW 原則:
PROJECT-<Project_Name>-Default Layer 3 sectionProject_Name 會取代為系統中的實際值。
例如,下列螢幕擷取畫面顯示專案中的預設 DFW 原則規則。
![此螢幕擷取畫面的周圍有文字加以說明。](images/GUID-430392ED-41D7-4EA5-B453-90EB7A115DD0-low.png)
如此螢幕擷取畫面中所示,預設原則會套用至 DFW,且它包含下列防火牆規則:
- 規則 1002 允許 IPv6-ICMP 流量。
- 規則 1003 允許與 DHCPv4 用戶端和伺服器進行通訊。
- 規則 1004 允許與 DHCPv6 用戶端和伺服器進行通訊。(在 NSX 4.1.1 中導入)
- 規則 1005 允許在專案內的工作負載虛擬機器之間進行通訊。
- 規則 1006 會捨棄不符合上述任何規則的所有其他通訊。
預設 DFW 原則可確保專案內的虛擬機器只能連線至同一專案中的其他虛擬機器,包括 DHCP 伺服器。與專案外部的虛擬機器進行的通訊會被封鎖。依預設,如果虛擬機器會連線至專案內的區段,就無法對其預設閘道執行 ping 動作。如果需要進行此類通訊,您必須在預設 DFW 原則中,新增規則或修改現有規則。
使用者在專案中建立的 DFW 規則
- 預設空間中的 DFW 規則 (優先順序最高)
- 專案中的 DFW 規則
- 專案內 NSX VPC 中的東西向防火牆規則 (優先順序最低)
預設空間中的 DFW 規則可以延伸至專案。
例如,您可以選擇將規則套用至專案預設群組 (PROJECT-<Project_Name>-default)。專案的預設群組僅包含專案的工作負載虛擬機器。
- 在專案中建立的群組。
- 供專案共用的群組。
提供給專案共用的群組只能用於防火牆規則的來源或目的地欄位中,而不能用於防火牆規則的套用至欄位中。
如果在專案中新增了 NSX VPC,則可以在專案防火牆規則的來源、目的地和套用至欄位中,使用系統在 NSX VPC 中建立的預設群組。但是,不能在專案防火牆規則中使用使用者在 NSX VPC 中建立的群組。
在專案中新增 DFW 原則
用來在專案中新增 DFW 原則的 UI 工作流程,與用來在 NSX 部署的預設視圖 (預設空間) 中新增原則的現有工作流程相同。
唯一的差異在於,在 UI 中,您必須先從應用程式列 (位於頂端) 上的專案切換器下拉式功能表中,選取一個專案,然後導覽至
,才能在該選取的專案中新增 DFW 原則。專案中的預設閘道防火牆規則
專案的預設閘道防火牆原則是可設定狀態原則,其中包含單一防火牆規則,如以下螢幕擷取畫面中所示。
![此圖的周圍有文字加以說明。](images/GUID-35ADC2AE-BC98-4933-9F6C-CA6386E323E3-low.png)
依預設,預設規則允許所有流量流經專案閘道防火牆。您只能修改此預設規則的規則動作。此規則中的其他所有欄位均不可編輯。
如前面在本說明文件的〈概觀〉一節中所述,基本授權僅允許系統在專案中新增或編輯無狀態閘道防火牆規則。若要在專案中新增或編輯可設定狀態閘道防火牆規則和無狀態閘道防火牆規則,您必須在系統中套用適當的安全性授權。
在專案中新增閘道防火牆原則
用來在專案中新增閘道防火牆原則的 UI 工作流程,與用來在 NSX 部署的預設視圖 (預設空間) 中新增閘道防火牆原則的現有工作流程相同。
唯一的差異在於,在 UI 中,您必須先從應用程式列 (位於頂端) 上的專案切換器下拉式功能表中,選取一個專案,然後導覽至
,才能在所選專案的第 1 層閘道新增閘道防火牆原則。