文档

NSX计算网关防火墙配置

更新时间:

默认情况下,计算网关防火墙会阻止进出CGW T1下的业务网络所有流量,根据业务需求添加计算网关防火墙规则允许流量进出。

规则说明

计算网关防火墙规则针对不同的网络流量有三种操作,分别如下:

  • 允许:允许匹配的流量。

  • 丢弃:静默丢弃匹配的流量。

  • 拒绝:丢弃匹配的流量并通知源。

image

同时计算网关防火墙规则可以应用于不同的上行链路接口,针对指定的上行链路接口进行业务网络流量的防护。支持的上行链路接口如下:

  • All uplinks:包含所有上行链路接口,但不包含VPN Tunnel Interface。

  • Internet Interface:T0逻辑路由器的上行链接接口,用于承载访问公网的网络流量。

  • Intranet Interface:T0逻辑路由器的上行链接接口,用于承载访问VPC环境和云下IDC环境的网络流量。

  • Services Interface:T0逻辑路由器的上行链接接口,该接口目前暂未启用。

  • VPN Tunnel Interface:基于路由方式和NSX建议VPN隧道且承载业务网络流量。

image

关于VMware服务网络架构可以参见网络架构介绍

规则匹配

网络流量基于规则表从上到下的顺序进行规则匹配,命中规则,根据其操作指定的方式允许、丢弃或者拒绝网络流量,并停止后续规则的匹配。如果与用户自己创建的所有规则都不匹配,则最终匹配默认规则并丢弃网络数据。

计算网关防火墙包含两条默认规则,分别如下:

名称

目标

服务

已应用于

操作

说明

Default VTI Rule

任意

任意

任意

VPN Tunnel Interface

丢弃

允许修改

默认上行链路规则

任意

任意

任意

All uplinks

丢弃

不允许修改

防火墙规则添加

  1. 登录VMware NSX控制台,详细内容请参见登录VMware管理组件

  2. 安全页面选择网关防火墙,点击计算网关

  3. 单击添加规则,并为新规则指定名称

  4. 输入新规则的参数。

    参数将初始化为其默认值(例如,目标会初始化为任意)。如果要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标进行参数编辑。

    选项

    描述

    列中单击任意,然后为源网络流量选择一个清单组,或者单击添加组,创建新的用户自定义清单组用于此规则。然后单击应用

    目标

    目标列中单击任意,然后为目标网络流量选择一个清单组,或者单击添加组,创建新的用户自定义清单组以用于此规则。然后单击应用

    服务

    服务列中单击任意,然后从列表中选择一个服务,或者单击添加服务,创建新的用户自定义服务用于此规则。单击应用

    应用对象

    期望该防火墙规则应用于哪个类型的网络流量,选择对应的上行链路接口,分别为:

    1. All uplinks

    2. Internet Interface

    3. Intranet Interface

    4. Services Interface

    5. VPN Tunnel Interface

    操作

    1. 选择允许会允许所有 L3 流量通过防火墙。

    2. 选择丢弃,丢弃与规则指定的目标服务匹配的数据包。这是静默操作,不会通知源或目标系统。丢弃数据包会重试连接,直到达到重试阈值。

    3. 选择拒绝,拒绝与规则指定的目标服务匹配的数据包。此操作会向发送方返回“无法到达目标的消息”。对于 TCP 数据包,响应包括 TCP RST消息。对于 UDP、ICMP 和其他协议,响应包含“管理禁止”代码(9 或 10)。无法建立连接时,会立即通知发送方(不会执行任何重试操作)

    说明

    新规则会默认处于启用状态。将开关滑到左侧可将其禁用。

  5. 单击发布以创建规则。

防火墙规则顺序调整

使用添加规则按钮创建的规则将放置在规则列表的顶部。防火墙规则将按从上到下的顺序匹配。要更改规则在列表中的位置,请选择该规则并将其拖动到新位置。单击发布以发布更改。

  • 本页导读 (0)