Защита VDC с помощью запрещающих политик безопасности на межсетевом экране (NSX-T)
Для управления входящим и исходящим сетевым трафиком NSX-T Edge Gateways возможно создать правила брандмауэра.
Чтобы создать правила брандмауэра и добавить их в NSX-T, в первую очередь требуется создать IP sets — группы объектов, к которым применяются правила брандмауэра.
Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых правил брандмауэра.
Создание IP sets
Перейдите в раздел Data Centers.
В блоке Networks перейдите в пункт Edges.
Выберите нужный Edge.
В разделе Networking перейдите в пункт IP Sets блока Security.
Нажмите на кнопку NEW.
В окне New IP Set в поле Name введите название IP-сета.
В поле Description введите описание, если необходимо.
В поле IP Addresses введите IP-адрес или диапазон IP-адресов для виртуальных машин, входящих в набор IP-адресов.
Нажмите на кнопку ADD.
Нажмите на кнопку SAVE для сохранения. В данном примере добавлен публичный адрес EDGE.
Создание правила брандмауэра
В разделе Networking перейдите в пункт Firewall блока Services.
Нажмите на кнопку EDIT RULES.
В окне Edit Rules нажмите на кнопку NEW ON TOP. Строка для нового правила будет добавлена над выбранным правилом.
В поле Name введите имя правила.
В поле State включите переключатель, чтобы включить правило при создании.
Включите опцию Applications, чтобы выбрать сетевой профиль, к которому применяется правило.
Нажмите на кнопку SAVE. В данном примере разрешается входящий трафик на публичный адрес по HTTP.
В поле Source:
- чтобы разрешить или запретить трафик с любого источника, выберите Any Source;
- чтобы разрешить или запретить трафик от определенных групп брандмауэра, выберите группы брандмауэра из списка.
Нажмите на кнопку KEEP. В данном примере источник − любой.
В поле Destination:
- чтобы разрешить или запретить трафик на любой адрес назначения, включите Any Destination;
- чтобы разрешить или запретить трафик к определенным группам брандмауэра, выберите группы брандмауэра из списка.
В данном примере − это Public-ipset, созданный ранее.
В поле Action выберите действие из выпадающего списка:
- Allow − разрешить трафик от или к указанным источникам, адресатам и службам.
- Drop − заблокировать трафик от или к указанным источникам, адресатам и службам без уведомления заблокированного клиента.
- Reject − заблокировать трафик от или к указанным источникам, адресатам и службам, а также уведомить заблокированного клиента об отклонении трафика.
В поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6.
В поле Logging включите переключатель, чтобы регистрировалось преобразование адресов, выполняемое данным правилом.
Нажмите на кнопку SAVE.