配置基于时间的防火墙规则
1.验证 ESXi 主机上的 NTP 状态
验证 NTP 服务是否正在 ESXi 主机上运行并且与配置的 NTP 服务器同步。
- SSH连接ESXi主机。
- 检索 NTP 配置并检查 ESXi 主机上 NTP 服务的状态。
- 验证 NTP 服务是否正在 ESXi 主机上运行。
- 验证时间是否已成功与 NTP 服务器同步。
- 检索 ESXi 主机上的当前 UTC 时间。
2.配置基于时间的分布式防火墙规则
创建基于时间的分布式防火墙策略
- 在 NSX UI 上,导航到安全>策略管理>分布式防火墙。
- 导航到“类别特定规则”选项卡,然后单击“应用程序”部分。
- 单击“+添加策略”。
- 新策略行出现后,输入Maintenance Window名称。
配置维护时段策略的时间窗口,以在接下来的 30 分钟间隔内启用该策略。 - 单击维护窗口策略右侧的时钟图标可设置时间窗口。
- 单击添加新时间窗口。
- 配置新的时间窗口。
- 时间窗口只能接受 30 分钟的间隔。
- 单击“保存”。
- 选择应用程序维护时间窗口并单击应用。
配置一条规则,拒绝通过端口8443从Web服务器到应用程序服务器的HTTPS流量。 - 单击维护时段策略附近的垂直省略号图标,然后选择添加规则。
将出现新规则的行。 - 在“名称”列中,输入Reject Web Traffic新规则的名称。
- 在“源”列中,单击铅笔图标,选中“Web 服务器”复选框,然后单击“应用”。
- 在“目标”列中,单击铅笔图标,选中“应用程序服务器”复选框,然后单击“应用”。
- 在“服务”列中,导航到“原始端口协议”选项卡,然后单击“添加服务条目”。
- 从服务类型下拉菜单中选择TCP ,并将源端口文本框留空
- 输入8443目标端口并单击“应用”。
- 在“上下文配置文件”列中,选择“无”(默认)。
- 在“应用到”列中,单击铅笔图标,单击“组”,选中“ Web 服务器”和“应用程序服务器”复选框,然后单击“应用”。
- 在操作列中,从下拉菜单中选择拒绝。
- 将所有其他设置保留为默认值。
- 单击发布。
3.从CLI验证基于时间的分布式防火墙规则
验证基于时间的分布式防火墙规则是否已在 ESXi 主机中成功实现。
1.查询sa-web-01虚拟机的vNIC关联的dvfilter。
检索与 sa-web-01 的 dvfilter 关联的基于时间的分布式防火墙规则
1.检索与 dvfilter 关联的分布式防火墙规则。
2.检索与 dvfilter 关联的调度程序。
4.测试时间窗口外的 HTTP 连接性
1.可以在计划的维护时段之外测试 HTTP 连接。
2. 从 sa-web-01,测试端口 8443 上对 sa-app-01 的 HTTPS 访问。
3. 验证是否从 sa-app-01 返回了 HTTPS 响应。
如果分布式防火墙规则的时间窗口已启动,则此步骤将失败。将时间窗口调整为下一个 30 分钟间隔,然后重试。