Вернуться наверх
На этой странице:

Сегментирование VM в VDC (Firewall E-W) — NSX-T

Distributed Firewall

Платформа NSX-T позволяет изменить подход к сегментированию трафика внутри виртуального дата-центра.

Для трафика N-S ("north-south" вертикальный трафик) изменений не происходит, так как E-W трафик ("east-west", горизонтальный трафик) в NSX-T не проходит через пограничный шлюз (service router). Сегментация осуществляется на уровне ядра гипервизора с помощью Distributed Firewall.

Для сегментирования VM в VDC:

  1. В глобальном меню организации перейдите в раздел Networking.

  2. Перейдите на вкладку Data Center Groups.

  3. Нажмите на название нужной Data Center Group

  4. Добавьте необходимый EDGE, к которому подключены VM, которые необходимо сегментировать.

IP Sets

Для создания правила брандмауэра, в первую очередь требуется создать IP sets. IP sets — группы IP-адресов и сетей, к которым применяются правила брандмауэра. Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых распределенных правил брандмауэра.

Для создания IP sets:

  1. В блоке Security перейдите в пункт IP sets.

  2. Нажмите на кнопку ADD.

  3. В окне Edit IP Set в поле Name введите имя набора IP-адресов.

  4. В поле Description введите описание, если необходимо.

  5. В поле Addresses введите адрес IPv4, адрес IPv6 или диапазон адресов в формате CIDR.

  6. Нажмите на кнопку NEW.

  7. Чтобы изменить существующий IP-адрес или диапазон, нажмите на кнопку MODIFY и измените значение.

  8. Нажмите на кнопку SAVE.

Static Groups

Cети Data Center Groups можно сгруппировать в статические группы безопасности. Статические группы безопасности — это группы Data Center Groups, к которым применяются правила распределенного брандмауэра.

Для создания статических групп:

  1. В блоке Security перейдите в пункт Static Groups.

  2. Нажмите на кнопку NEW.

  3. В поле Name введите имя статической группы.

  4. В поле Description введите описание, если необходимо.

  5. Нажмите на кнопку SAVE.

  6. В списке появится новая статическая группа безопасности.

  7. Выберите созданную статическую группу безопасности.

  8. Нажмите на кнопку MANAGE MEMBERS.

  9. В окне Manage members of group "название" выберите сети группы центров обработки данных, которые необходимо добавить в статическую группу безопасности.

  10. Нажмите на кнопку SAVE.

Dynamic Groups

Динамические группы безопасности виртуальных машин можно определить на основе определенных критериев, к которым применяются правила распределенного брандмауэра.

Для создания критериев динамических групп:

  1. В блоке Security перейдите в пункт Dynamic Groups.

  2. Нажмите на кнопку NEW.

  3. В окне Edit Dynamic Group в поле Name введите имя динамической группы безопасности.

  4. В поле Description введите описание, если необходимо.

  5. Добавьте до 4-х правил, применяемых к имени VM или к тегу безопасности VM.

  6. Нажмите на кнопку SAVE.

Настройка правил Distributed Firewall

Для добавления правила:

  1. Перейдите в блок Distributed Firewall.
  2. Нажмите на кнопку EDIT RULES.
  3. В окне Edit Rules нажмите на кнопку NEW ON TOP.
  4. В поле Name введите имя правила.
  5. В поле State включите переключатель, чтобы включить правило при создании.
  6. Включите опцию Applications, чтобы выбрать сетевой профиль, к которому применяется правило.
  7. Нажмите на кнопку SAVE.

Для добавления собственного профиля:

  1. В блоке Security перейдите в пункт Application Port Profiles.

  2. В окне Edit Rules в поле Context выберите профиль контекста ЦОД NSX-T.

  3. В поле Source выберите источник трафика:

    • чтобы разрешить или запретить трафик с любого источника, выберите Any Source,
    • чтобы разрешить или запретить трафик с определенных наборов IP-адресов или групп безопасности, выберите наборы IP-адресов и группы безопасности из списка.

  4. В поле Destination выберите целевой трафик:

    • чтобы разрешить или запретить трафик на любой адрес назначения, включите Any Destination,
    • чтобы разрешить или запретить трафик к определенным наборам IP-адресов или группам безопасности, выберите наборы IP-адресов и группы безопасности из списка.

  5. В поле Action выберите действие из выпадающего списка:

    • чтобы разрешить трафик от или к указанным источникам, адресатам и службам, выберите Accept,
    • чтобы заблокировать трафик от или к указанным источникам, адресатам и службам, выберите Deny.

  6. В поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6.

  7. В поле Logging включите опцию Enable logging, чтобы регистрировалось преобразование адресов, выполняемое данным правилом.

  8. Нажмите на кнопку SAVE.

Для настройки дополнительных правил повторите шаги данного раздела.