NSX-T 系列:第 13部分 - 配置东西向分布式防火墙

最新推荐文章于 2024-06-22 16:10:44 发布
最新推荐文章于 2024-06-22 16:10:44 发布
阅读量4.2k 收藏 4
点赞数 2
分类专栏: NSX-T 文章标签: vxlan 防火墙 NSX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33669839/article/details/120047631
版权

1、防火墙安全配置概述

可以为您的环境在预定义的类别下配置东西向和南北向防火墙策略。

分布式防火墙(东西向)和网关防火墙(南北向)提供了多组按类别划分的可配置规则。可以配置一个排除列表,其中包含要从防火墙实施中排除的逻辑交换机、逻辑端口或组。

安全策略按以下方式实施:

  • 规则在类别中按从左到右的顺序进行处理。
  • 规则是按从上到下的顺序处理的。
  • 根据规则表中的最上面规则检查每个数据包,然后向下移到表中的后续规则。
  • 强制实施表中与流量参数匹配的第一个规则。

无法强制实施后续规则,因为随后将停止为该数据包搜索规则。由于这种行为,始终建议将最精细的策略放在规则表顶部。这可确保这些规则将在更具体的规则之前加以实施。

在发生故障时,东西向或南北向防火墙是关闭还是打开取决于防火墙中的最后一个规则。要确保防火墙在发生故障时关闭,请将最后一个规则配置为拒绝或丢弃所有数据包。

2、前提条件

①要受 DFW 保护,虚拟机的 vNIC 必须连接到 NSX 覆盖网络或 VLAN 分段。

②如果您要为身份防火墙创建规则,首先创建一个具有 Active Directory 成员的组。

3、配置东西向安全策略

①导航到【安全】,在东西向安全菜单下,点击【分布式防火墙】,在右侧点击添加策略

②根据需要,修改【策略名称】,点击策略名称左侧的三个点,在下拉菜单选择【添加规则】

 ③修改规则名称,在服务下点击【任意】

④点击【添加服务】,输入服务的名称,点击设置服务条目

 ⑤根据需要,添加条目,选择要禁用的协议和端口,点击应用

⑥查看添加的服务和条目信息,点击应用

⑦将该规则的操作更改为【拒绝】,启用规则,点击右上角的【发布】

⑧测试规则

找台同同分段的机器,telnet 服务器(必须是连接到NSX交换机)的端口:137,139,445,查看是否正常。

4、操作选项解释

 

weixin_33669839
关注
专栏目录
什么是微隔离技术?
a38417的博客
03-09 1572
微隔离可以在数据中心深处部署灵活的安全策略。指数据中心内部服务器彼此相互访问所造成的内部流量,在云计算数据中心中,处于相同网络(子网)内用户业务虚拟机(容器)之间的流量,以及相同虚拟路由器不同网络(子网)内用户业务虚拟机(容器)间的流量,据统计,当代数据中心 75%以上的流量为东西向流量。指通过网关进出数据中心的流量,在云计算数据中心,处于用户业务虚拟机(容器)跟外部网络之间的流量,一般来说防火墙等安全设备部署在数据中心的出口处,来做南北向流量的安全防护。微隔离的四种技术路线微隔离的四种技术路线。
SDN NSX-T 配置防火墙规则
俩豆小窝的博客
06-28 386
配置分布式防火墙规则 登录到NSX-T Manager,在主页中单击“安全”->“东西向安全”->“分布式防火墙”。 单击“添加策略”,规则列表中出现一条新策略,输入策略名称。 在新建策略上单击“添加规则”。 在“源”上单击编辑按钮。 “设置源”中,可选择“组”和“IP地址”。 在“IP地址”中,可手动添加IP地址,也支持范围添加。 设置完成后,单击“应用”。 以相同的方式配置“目标”,这里不再赘述 在“服务”上单击编辑按钮。 可添加指定的端口或协议。NSX-T已经内置了一部分
SDN VMware NSX网络原理与实践- NSX-V 安全【2.5】
最新发布
qq_43416206的博客
06-22 1164
VMware NSX 不仅是网络虚拟化平台, 还是安全平台。与部署网络模式类似, NSX 安 全解决方案以软件的方式提供和部署 2 到 4 层的安全防护, 5 到 7 层的安全则可以通过集 成合作伙伴的安全解决方案来实现。在 NSX 网络虚拟化平台中,可以提供两种防火墙功能: 一个是由 NSX Edge 提供的集中化的虚拟防火墙服务,它主要用来处理南北向流量;另一 个就是基于微分段技术的分布式防火墙,主要用于处理东西向流量。
NSX-T 系列:第 20部分 - 配置分布式IPS/IDS服务
weixin_33669839的博客
10-14 1569
1、概述 分布式入侵检测和防御服务 (Distributed Intrusion Detection and Prevention Service, IDS/IPS) 监控主机上的网络流量是否存在可疑活动。 可以根据严重性启用特征码。严重性评分越高,表示与入侵事件相关的风险越大。严重性取决于以下内容: 特征码本身中指定的严重性 特征码中指定的 CVSS(通用漏洞评分系统)评分 与分类类型关联的类型评级 IDS 根据已知的恶意指令序列检测入侵尝试。在 IDS 中检测到的模式称为特征码。...
202107 VMware NSX-T培训笔记4(IOchain与分布式防火墙)
oasisss的博客
07-11 716
VM与NSX-T之间存在一台隐藏的IO链条,该链条上有16个slot,分别为slot0-slot15,这些slot为安全等需求所预留,其中Slot 0-3,Slot 12-15为VMware自留,其它用于连接合作伙伴方案;其中Slot2就是分布式防火墙,类似主机防火墙,在每个虚拟机生效。 ...
问题描述:分布式防火墙能管控东西向的流量,是否对进入虚拟机的所有流量都能够管控,例如外部访问虚拟机的流量。因为我现在的防火墙默认策略是允许,我像知道如果我默认策略改成阻止,外部流量会不会阻止
blackawhite的博客
03-23 1314
问题描述:分布式防火墙能管控东西向的流量,是否对进入虚拟机的所有流量都能够管控,例如外部访问虚拟机的流量。因为我现在的防火墙默认策略是允许,我像知道如果我默认策略改成阻止, 外部流量会不会阻止 技术回复:如电话沟通,分布式防火墙会管控虚拟机之间的通信和虚拟机与物理层面的通信,需在防火墙规则策略中对应流量进行设置。防火墙规则是在每个虚拟机的 vNIC 中实施的。在流量即将离开虚拟机并进入虚拟交换机(输出)时,将在虚拟机的 vNIC 中进行流量检查。在流量即将离开交换机但在进入虚拟机(输入)之前,也会在 vNI
你需要知道的东西:什么是防火墙防火墙的作用?
所爱的博客
09-24 1594
作为弱电行业的人员来说,其实对防火墙不必了解的太清楚,只需要了解它的作用与功能就行,然后在实际应该中看是否需要使用。 1、什么是防火墙? 我们知道,原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。 而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,其实原理是一样的,也就是防止灾难扩散。 应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与...
K8S安装和NSX-T协同配置--Step to Step lab
weixin_43394724的博客
07-26 2437
使用软件说明 vCenter 6.7 U1b (Build 11727113) ESX 6.7 U2 (Build 13006603) NSX-T 2.4.1 (Build 13716579) NSX Container Plugin 2.4.1 (Build 13515827) CentOS 7.6 Docker CE 18.09.6 Kubernetes 1.13.5 Open...
vsphere 5.5 升级到 6.7,部署nsx-v 6.4.8
ywg11180的博客
12-02 2147
vsphere 5.5 升级到 6.7,部署nsx-v 6.4.8 之前机房使用的vsphere 5.5,一直没有升级,主要是因为懒。最近要过等保2.0,所以进行了相应的升级。前后遇到的问题以及自己的理解在这里记录一下。最终结果如下图: 升级ESXI主机 访问ESXI主机,按F2进入配置界面,进入troubleshooting options(在网络配置下面),允许命令行模式,然后按alt+f1进入命令行。输入以下命令升级到vphere 6.7: 先查看升级包的内容 1 。 esxcli softwa
NSX-网络虚拟化-ielab
IE-lab网络实验室的博客
05-07 343
传统的数据中心都是用物理网络来分隔不同的业务系统,这就需要管理员预先规划好数据中心的网络拓扑结构,划分好 VLAN,以确保各个业务系统之间是相互隔离的;并且在防火墙配置上百条规则,针对每一个应用关闭不需要的网络端口,以降低黑客攻击的风险。这是一个费时费力的工作,一旦某个业务系统需要增加一些新的功能,或者不同的业务系统之间需要互相访问,就需要对数据中心内的网络做出相应的调整,这个过程不但费时,而且...
MATLAB算法实战应用案例精讲-【云计算】云网络技术(补充篇)
qq_36130719的博客
09-16 128
一般的云网络是分Region提供服务,Region之间也要能互通,Region内部署Host(母机或者宿主机),在Host上进行实例的虚拟化,主要是子机的虚拟化,子机通过母机网络出口访问本Region的其他母机内的子机,有直通模式,也有部分流量需要经过Gateway(网关设备),跨Region的流量底层要经过云网络的大网。Jupiter:Google通过SDN来构建Jupiter,Jupiter是一个能够支持超过10万台服务器规模的数据中心互联架构,支持超过1 Pb/s的总带宽来承载其服务。
VMWARE NSX-T
07-09
VMware NSX-T Reference Design Guide Table of Contents 1 Introduction 4 1.1 How to Use This Document 4 1.2 Networking and Security Today 5 1.3 NSX-T Architecture Value and Scope 5 2 NSX-T Architecture Components 11 2.1 Management Plane 11 2.2 Control Plane 12 2.3 Data Plane 12 3 NSX-T Logical Switching 13 3.1 The N-VDS 13 3.1.1 Uplink vs. pNIC 13 3.1.2 Teaming Policy 14 3.1.3 Uplink Profile 14 3.1.4 Transport Zones, Host Switch Name 16 3.2 Logical Switching 17 3.2.1 Overlay Backed Logical Switches 17 3.2.2 Flooded Traffic 18 3.2.2.1 Head-End Replication Mode 19 3.2.2.2 Two-tier Hierarchical Mode 19 3.2.3 Unicast Traffic 21 3.2.4 Data Plane Learning 22 3.2.5 Tables Maintained by the NSX-T Controller 23 3.2.5.1 MAC Address to TEP Tables 23 3.2.5.2 ARP Tables 23 3.2.6 Overlay Encapsulation 25 4 NSX-T Logical Routing 26 4.1 Logical Router Components 27 4.1.1 Distributed Router (DR) 27 4.1.2 Services Router 32 4.2 Two-Tier Routing 36 VMware NSX-T Reference Design Guide 2 4.2.1 Interface Types on Tier-1 and Tier-0 Logical Routers 37 4.2.2 Route Types on Tier-1 and Tier-0 Logical Routers 38 4.2.3 Fully Distributed Two Tier Routing 39 4.3 Edge Node 41 4.3.1 Bare Metal Edge 42 4.3.2 VM Form Factor 46 4.3.3 Edge Cluster 48 4.4 Routing Capabilities 49 4.4.1 Static Routing 49 4.4.2 Dynamic Routing 50 4.5 Services High Availability 53 4.5.1 Active/Active 53 4.5.2 Active/Standby 54 4.6 Other Network Services 56 4.6.1 Network Address Translation 56 4.6.2 DHCP Services 56 4.6.3 Metadata Proxy Service 57 4.6.4 Edge Firewall Service 57 4.7 Topology Consideration 57 4.7.1 Supported Topologies 57 4.7.2 Unsupported Topologies 59 5 NSX-T Security 60 5.1 NSX-T Security Use Cases 60 5.2 NSX-T DFW Architecture and Components 62 5.2.1 Management Plane 62 5.2.2 Control Plane 62 5.2.3 Data Plane 63 5.3 NSX-T Data Plane Implementation - ESXi vs. KVM Hosts 63 5.3.1 ESXi Hosts- Data Plane Components 64 5.3.2 KVM Hosts- Data Plane Components 64 5.3.3 NSX-T DFW Policy Lookup and Pa
NSX-T Data Center API Guide.html
08-13
NSX-T Data Center provides a programmatic API to automatemanagement activities. The API follows a resource-orientedRepresentational State Transfer (REST) architecture, using JSONobject encoding. Clients interact with the API using RESTful web servicecalls over the HTTPS protocol.
NSX-T 为vSphere with Tanzu提供网络支撑
weixin_43394724的博客
06-19 1455
vSphere with Tanzu是VMware太平洋计划的后续命名,我们在前面的讨论过WCP平台的安装,即是现在的vSphere with Tanzu。该平台是vSphere 7+和NSX-T共同形成,本文我们主要讨论NSX-T在本平台的网络功能和特性。 整体架构 vSphere with Tanzu 解决方案的基础是由 vSphere 7+、NSX-T 和 Storage 组成的 VMware SDDC 堆栈。该解决方案将 vSphere 集群转换为工作负载平台,每个 vSphere 集群都具有 K
NSX-T 架构-(1)
weixin_43394724的博客
05-12 3333
IT世界的变化以应用为导向,大抵可以分为Iphone出现和容器的大规模应用两次大的变革时间点,残喘十几年的物理机加各种功能性盒子组成的IT系统慢慢分崩离析,虚拟化、容器化和云化慢慢成为现代化应用新的栖身之所。 而连通这一切的网络,也随之变化,无从避免。 最初的物理机时代,每一个主机占据一个网络端口,分配一个IP地址,就如同城市的门牌号码,而网络也像是纵横交错的街道。人们通过门牌号码找到要去的地方,而网络上的端口和IP地址是应用找寻归途的门牌。 到了虚机时代,一个主机内要部署不同的虚拟主机,每个虚机都有自己
NSX-T 架构(3)
weixin_43394724的博客
05-16 2980
检查主机准备 上一篇我们做好了主机准备,整个过程是对我们屏蔽了细节的,那么,在ESXi上到底安装了些什么呢? VIB信息 可以登录到ESXi上面看看(ESXi可以在controller上打开SSH) 使用esxcli software vib list | grep nsx 里面的vib内容如下: nsx-adf (自动诊断框架)收集并分析性能数据,以生成对性能问题的本地(主机)和中心(跨数据中心)诊断。 nsx-mpa 在 NSX Manager 和管理程序主机之间提供通信。 更多详细解释参考: 在
C++ Primer 第十三章 13.3 交换操作 练习和总结
大琪子的博客
02-25 1595
13.3 交换操作 对于管理资源的类(我的理解是数据成员有动态分配的内存的类),一般需要定义一个swap函数。 默认的swap是这样的: A temp = v1; v1=v2; v2=temp; 代码会创建一个临时变量,并且使用两次赋值语句。 想一下,如果一个对象中有一个指针指向了一个占用内存非常大的对象。这样创建临时变量是比较消耗性能的。 **所以不创建临时变量,而是只交换两个对象内部的数据。...
NSX-T架构(2)
weixin_43394724的博客
05-13 2073
上回说到NSX-T manager的安装,成功导入ova文件以后,我们在vCenter上面可以看到NSX manager的虚机。 开机后,使用https://ip便可以登录到管理界面了。 查看Manager实例 导航到System–>Appliance,可以看到现在运行的控制节点实例,系统建议使用三台实例做成集群,实验中,我们只使用一台。 云网解耦物理网 先不急着往下,我们看看在基于软件的SDN最初是要解决什么问题,下图是在很多企业至今使用的架构 物理服务器已经虚拟化,企业大量使用虚机。为了解决
CCNP学习笔记13-交换部分---EthernetChannel
weixin_34233618的博客
12-24 1687
etherchannel 配置链路聚合- 提高骨干链路带宽- 提供骨干链路冗余- 负载均衡:(区别于路由中的负载均衡)基于源IP或源mac基于目标IP,或目标IP产生链路聚合 2种方法1,静态配置2,动态协商:动态协商协议 dynamic trunk negotiation pr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值