NSX计算网关防火墙配置
默认情况下,计算网关防火墙会阻止进出CGW T1下的业务网络所有流量,根据业务需求添加计算网关防火墙规则允许流量进出。
规则说明
计算网关防火墙规则针对不同的网络流量有三种操作,分别如下:
允许:允许匹配的流量。
丢弃:静默丢弃匹配的流量。
拒绝:丢弃匹配的流量并通知源。
同时计算网关防火墙规则可以应用于不同的上行链路接口,针对指定的上行链路接口进行业务网络流量的防护。支持的上行链路接口如下:
All uplinks:包含所有上行链路接口,但不包含VPN Tunnel Interface。
Internet Interface:T0逻辑路由器的上行链接接口,用于承载访问公网的网络流量。
Intranet Interface:T0逻辑路由器的上行链接接口,用于承载访问VPC环境和云下IDC环境的网络流量。
Services Interface:T0逻辑路由器的上行链接接口,该接口目前暂未启用。
VPN Tunnel Interface:基于路由方式和NSX建议VPN隧道且承载业务网络流量。
关于VMware服务网络架构可以参见网络架构介绍。
规则匹配
网络流量基于规则表从上到下的顺序进行规则匹配,命中规则,根据其操作指定的方式允许、丢弃或者拒绝网络流量,并停止后续规则的匹配。如果与用户自己创建的所有规则都不匹配,则最终匹配默认规则并丢弃网络数据。
计算网关防火墙包含两条默认规则,分别如下:
名称 | 源 | 目标 | 服务 | 已应用于 | 操作 | 说明 |
Default VTI Rule | 任意 | 任意 | 任意 | VPN Tunnel Interface | 丢弃 | 允许修改 |
默认上行链路规则 | 任意 | 任意 | 任意 | All uplinks | 丢弃 | 不允许修改 |
防火墙规则添加
登录VMware NSX控制台,详细内容请参见登录VMware管理组件。
在安全页面选择网关防火墙,点击计算网关。
单击添加规则,并为新规则指定名称。
输入新规则的参数。
参数将初始化为其默认值(例如,源和目标会初始化为任意)。如果要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标进行参数编辑。
选项
描述
源
在源列中单击任意,然后为源网络流量选择一个清单组,或者单击添加组,创建新的用户自定义清单组用于此规则。然后单击应用。
目标
在目标列中单击任意,然后为目标网络流量选择一个清单组,或者单击添加组,创建新的用户自定义清单组以用于此规则。然后单击应用。
服务
在服务列中单击任意,然后从列表中选择一个服务,或者单击添加服务,创建新的用户自定义服务用于此规则。单击应用。
应用对象
期望该防火墙规则应用于哪个类型的网络流量,选择对应的上行链路接口,分别为:
All uplinks
Internet Interface
Intranet Interface
Services Interface
VPN Tunnel Interface
操作
选择允许会允许所有 L3 流量通过防火墙。
选择丢弃,丢弃与规则指定的源、目标和服务匹配的数据包。这是静默操作,不会通知源或目标系统。丢弃数据包会重试连接,直到达到重试阈值。
选择拒绝,拒绝与规则指定的源、目标和服务匹配的数据包。此操作会向发送方返回“无法到达目标的消息”。对于 TCP 数据包,响应包括 TCP RST消息。对于 UDP、ICMP 和其他协议,响应包含“管理禁止”代码(9 或 10)。无法建立连接时,会立即通知发送方(不会执行任何重试操作)
说明新规则会默认处于启用状态。将开关滑到左侧可将其禁用。
单击发布以创建规则。
防火墙规则顺序调整
使用添加规则按钮创建的规则将放置在规则列表的顶部。防火墙规则将按从上到下的顺序匹配。要更改规则在列表中的位置,请选择该规则并将其拖动到新位置。单击发布以发布更改。