Page tree
Skip to end of metadata
Go to start of metadata

Для управления входящим и исходящим сетевым трафиком NSX-T Edge Gateways возможно создать правила брандмауэра.

Чтобы создать правила брандмауэра и добавить их  NSX-T, в первую очередь требуется создать IP sets — группы объектов, к которым применяются правила брандмауэра.

Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых правил брандмауэра.

  • перейдите в раздел Data Centers
  • в блоке Networks перейдите в пункт Edges
  • выберите нужный Edge

  • в разделе Networking перейдите в пункт IP Sets блока Security
  • нажмите на кнопку [NEW]

  • в окне "New IP Set":
    • в поле Name введите имя IP Sets
    • в поле Description введите описание, если это необходимо
    • в поле IP Addresses введите IP-адрес или диапазон IP-адресов для виртуальных машин, входящих в набор IP-адресов
    • нажмите на кнопку [ADD]
    • нажмите на кнопку [SAVE] для сохранения
    • в данном примере добавлен публичный адрес EDGE

  • в разделе Networking перейдите в пункт Firewall блока Services

  • нажмите на кнопку [EDIT RULES]
  • в окне "Edit Rules":
    • нажмите на кнопку [NEW ON TOP]
    • строка для нового правила будет добавлена над выбранным правилом

    • настройте правило брандмауэра:
      • в поле Name введите имя правила

      • в поле State включите переключатель, чтобы включить правило при создании

      • в поле Applications, если необходимо выбрать конкретный профиль порта, к которому применяется правило, включите переключатель

      • нажмите на кнопку [SAVE]
      • в данном примере разрешается входящий трафик на публичный адрес по http

      • в поле Source:

        • включите опцию "Any Source", чтобы разрешить или запретить трафик с любого Source адреса

        • чтобы разрешить или запретить трафик от определенных групп брандмауэра, выберите группы брандмауэра из списка

        • нажмите на кнопку [KEEP]

        • в данном примере - источник любой

      • в поле Destination:
        • включите опцию "Any Destination", чтобы разрешить или запретить трафик на любой адрес назначения
        • чтобы разрешить или запретить трафик к определенным группам брандмауэра, выберите группы брандмауэра из списка
        • в данном примере - это Public-ipset, созданный ранее

      • в поле Action выберите действие из раскрывающего списка:

        • Allow - разрешить трафик от или к указанным источникам, адресатам и службам

        • Drop - заблокировать трафик от или к указанным источникам, адресатам и службам без уведомления заблокированного клиента

        • Reject - заблокировать трафик от или к указанным источникам, адресатам и службам, а также уведомить заблокированного клиента об отклонении трафика

      • в поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6
      • в поле Logging включите переключатель, чтобы регистрировалось преобразование адресов, выполняемое этим правилом
    • нажмите на кнопку [SAVE]

  • No labels