Вернуться наверх
На этой странице:

Защита VDC с помощью запрещающих политик безопасности на межсетевом экране (NSX-T)

Для управления входящим и исходящим сетевым трафиком NSX-T Edge Gateways возможно создать правила брандмауэра.

Чтобы создать правила брандмауэра и добавить их в NSX-T, в первую очередь требуется создать IP sets — группы объектов, к которым применяются правила брандмауэра.

Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых правил брандмауэра.

Создание IP sets

  1. Перейдите в раздел Data Centers.

  2. В блоке Networks перейдите в пункт Edges.

  3. Выберите нужный Edge.

  4. В разделе Networking перейдите в пункт IP Sets блока Security.

  5. Нажмите на кнопку NEW.

  6. В окне New IP Set в поле Name введите название IP-сета.

  7. В поле Description введите описание, если необходимо.

  8. В поле IP Addresses введите IP-адрес или диапазон IP-адресов для виртуальных машин, входящих в набор IP-адресов.

  9. Нажмите на кнопку ADD.

  10. Нажмите на кнопку SAVE для сохранения. В данном примере добавлен публичный адрес EDGE.

Создание правила брандмауэра

  1. В разделе Networking перейдите в пункт Firewall блока Services.

  2. Нажмите на кнопку EDIT RULES.

  3. В окне Edit Rules нажмите на кнопку NEW ON TOP. Строка для нового правила будет добавлена над выбранным правилом.

  4. В поле Name введите имя правила.

  5. В поле State включите переключатель, чтобы включить правило при создании.

  6. Включите опцию Applications, чтобы выбрать сетевой профиль, к которому применяется правило.

  7. Нажмите на кнопку SAVE. В данном примере разрешается входящий трафик на публичный адрес по HTTP.

  8. В поле Source:

    • чтобы разрешить или запретить трафик с любого источника, выберите Any Source;
    • чтобы разрешить или запретить трафик от определенных групп брандмауэра, выберите группы брандмауэра из списка.

  9. Нажмите на кнопку KEEP. В данном примере источник − любой.

  10. В поле Destination:

    • чтобы разрешить или запретить трафик на любой адрес назначения, включите Any Destination;
    • чтобы разрешить или запретить трафик к определенным группам брандмауэра, выберите группы брандмауэра из списка.

    В данном примере − это Public-ipset, созданный ранее.

  11. В поле Action выберите действие из выпадающего списка:

    • Allow − разрешить трафик от или к указанным источникам, адресатам и службам.
    • Drop − заблокировать трафик от или к указанным источникам, адресатам и службам без уведомления заблокированного клиента.
    • Reject − заблокировать трафик от или к указанным источникам, адресатам и службам, а также уведомить заблокированного клиента об отклонении трафика.

  12. В поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6.

  13. В поле Logging включите переключатель, чтобы регистрировалось преобразование адресов, выполняемое данным правилом.

  14. Нажмите на кнопку SAVE.