База знаний #CloudMTS
Page tree
Skip to end of metadata
Go to start of metadata

Distributed Firewall

VMware NSX-T™ Data Center предоставляет гибкую программно-определяемую инфраструктуру для создания облачных сред приложений.

Переход на платформу NSX-T позволяет изменить подход к сегментированию трафика внутри виртуального дата-центра.

Для трафика N-S (north south вертикальный трафик) изменений не произойдет, так как E-W трафик (east-west горизонтальный трафик) в NSX-T не проходит через пограничный шлюз (service router). Сегментация осуществляется на уровне ядра гипервизора с помощью Distributed Firewall.

  • в глобальном меню организации перейдите в раздел [Networking] 
  • перейдите на вкладку Data Center Groups
  • нажмите на название нужной Data Center Group

  • добавьте необходимый EDGE, к которому подключены VM, которые необходимо сегментировать

IP Sets

Чтобы создать  правила брандмауэра, в первую очередь требуется создать IP sets. IP sets — группы IP-адресов и сетей, к которым применяются правила брандмауэра. Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых распределенных правил брандмауэра.

  • в блоке Security перейдите в пункт IP sets
  • нажмите на кнопку [ADD]
  • в окне "Edit IP Set":
    • в поле Name введите имя набора IP-адресов
    • в поле Description введите описание, если это необходимо
    • в поле Addresses введите адрес IPv4, адрес IPv6 или диапазон адресов в формате CIDR
    • нажмите на кнопку [NEW]
    • чтобы изменить существующий IP-адрес или диапазон, нажмите на кнопку [MODIFY] и измените значение
    • нажмите на кнопку [SAVE]

Static Groups

Cети Data Center Groups возможно сгруппировать в статические группы безопасности. Статические группы безопасности — это группы Data Center Groups, к которым применяются правила распределенного брандмауэра.

  • в блоке Security перейдите в пункт Static Groups
  • нажмите на кнопку [NEW]
  • в поле Name введите имя статической группы
  • в поле Description введите описание, если это необходимо
  • нажмите на кнопку [SAVE]
  • в списке появится новая статическая группа безопасности
  • выберите созданную статическую группу безопасности
  • нажмите на кнопку [MANAGE MEMBERS]
  • в окне "Manage members of group *название*":
    • выберите сети группы центров обработки данных, которые необходимо добавить в статическую группу безопасности
    • нажмите на кнопку [SAVE]

Dynamic Groups

Возможно определить динамические группы безопасности виртуальных машин на основе определенных критериев, к каким применяются правила распределенного брандмауэра.

  • в блоке Security перейдите в пункт Static Groups
  • нажмите на кнопку [NEW]
  • в окне "Edit Dynamic Group":
    • в поле Name введите имя динамической группы безопасности
    • в поле Description введите описание, если это необходимо
    • для создания критерия для включения в группу добавьте до 4х правил, применяемых к имени VM или к тегу безопасности VM
    • нажмите на кнопку [SAVE]

Настройка правил Distributed Firewall

Чтобы добавить правило, нажмите на кнопку [NEW ON TOP]:

  • в поле Name введите имя правила
  • включите опцию "State" для включения правила при создании
  • включите опцию "Applications". чтобы выбрать сетевой профиль, к которому применяется правило
  • нажмите на кнопку [SAVE]

Чтобы добавить собственный профиль:

  • перейдите в блок Security
  • используйте пункт Application Port Profiles
  • в окне "Edit Rules":
    • в поле Context выберите профиль контекста ЦОД NSX-T
    • в поле Source выберите источник трафика и сохраните

      • чтобы разрешить или запретить трафик с любого Source, выберите Any Source

      • чтобы разрешить или запретить трафик с определенных наборов IP-адресов или групп безопасности, выберите наборы IP-адресов и группы безопасности из списка

    • в поле Destination выберите целевой трафик и сохраните
      • чтобы разрешить или запретить трафик на любой адрес назначения, включите Any Destination
      • чтобы разрешить или запретить трафик к определенным наборам IP-адресов или группам безопасности, выберите наборы IP-адресов и группы безопасности из списка
    • в поле Action выберите из списка, разрешить или запретить трафик из определенных источников или к ним
      • чтобы разрешить трафик от или к указанным источникам, адресатам и службам, выберите Accept
      • чтобы заблокировать трафик от или к указанным источникам, адресатам и службам, выберите Deny
    • в поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6
    • в поле Logging включите опцию "Enable logging", чтобы регистрировалось преобразование адресов, выполняемое этим правилом
    • нажмите на кнопку [SAVE]
  • чтобы настроить дополнительные правила, повторите шаги

  • No labels