Настройка запрещающих политик безопасности на межсетевом экране для защиты VDC

Для управления входящим и исходящим сетевым трафиком NSX-T Edge Gateways возможно создать правила брандмауэра.

Чтобы создать правила брандмауэра и добавить их NSX-T, в первую очередь требуется создать IP sets — группы объектов, к которым применяются правила брандмауэра.

Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых правил брандмауэра.

• перейдите в раздел Data Centers
• в блоке Networks перейдите в пункт Edges
• выберите нужный Edge

• в разделе Networking перейдите в пункт IP Sets блока Security
• нажмите на кнопку [NEW]

• в окне "New IP Set":

  • в поле Name введите имя IP Sets
  • в поле Description введите описание, если это необходимо
  • в поле IP Addresses введите IP-адрес или диапазон IP-адресов для виртуальных машин, входящих в набор IP-адресов
  • нажмите на кнопку [ADD]
  • нажмите на кнопку [SAVE] для сохранения
  • в данном примере добавлен публичный адрес EDGE

• в разделе Networking перейдите в пункт Firewall блока Services

• нажмите на кнопку [EDIT RULES]

• в окне "Edit Rules":

  • нажмите на кнопку [NEW ON TOP]
  • строка для нового правила будет добавлена над выбранным правилом Увеличить

• настройте правило брандмауэра:

  • в поле Name введите имя правила
  • в поле State включите переключатель, чтобы включить правило при создании
  • в поле Applications, если необходимо выбрать конкретный профиль порта, к которому применяется правило, включите переключатель
  • нажмите на кнопку [SAVE]
  • в данном примере разрешается входящий трафик на публичный адрес по http
  Увеличить

• в поле Source:

  • включите опцию "Any Source", чтобы разрешить или запретить трафик с любого Source адреса
  • чтобы разрешить или запретить трафик от определенных групп брандмауэра, выберите группы брандмауэра из списка
  • нажмите на кнопку [KEEP]
  • в данном примере - источник любой
  Увеличить

• в поле Destination:

  • включите опцию "Any Destination", чтобы разрешить или запретить трафик на любой адрес назначения
  • чтобы разрешить или запретить трафик к определенным группам брандмауэра, выберите группы брандмауэра из списка
  • в данном примере - это Public-ipset, созданный ранее
  Увеличить

• в поле Action выберите действие из раскрывающего списка:

  • Allow - разрешить трафик от или к указанным источникам, адресатам и службам
  • Drop - заблокировать трафик от или к указанным источникам, адресатам и службам без уведомления заблокированного клиента
  • Reject - заблокировать трафик от или к указанным источникам, адресатам и службам, а также уведомить заблокированного клиента об отклонении трафика
• в поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6
• в поле Logging включите переключатель, чтобы регистрировалось преобразование адресов, выполняемое этим правилом
• нажмите на кнопку [SAVE]