1、防火墙安全配置概述
可以为您的环境在预定义的类别下配置东西向和南北向防火墙策略。
分布式防火墙(东西向)和网关防火墙(南北向)提供了多组按类别划分的可配置规则。可以配置一个排除列表,其中包含要从防火墙实施中排除的逻辑交换机、逻辑端口或组。
安全策略按以下方式实施:
- 规则在类别中按从左到右的顺序进行处理。
- 规则是按从上到下的顺序处理的。
- 根据规则表中的最上面规则检查每个数据包,然后向下移到表中的后续规则。
- 强制实施表中与流量参数匹配的第一个规则。
无法强制实施后续规则,因为随后将停止为该数据包搜索规则。由于这种行为,始终建议将最精细的策略放在规则表顶部。这可确保这些规则将在更具体的规则之前加以实施。
在发生故障时,东西向或南北向防火墙是关闭还是打开取决于防火墙中的最后一个规则。要确保防火墙在发生故障时关闭,请将最后一个规则配置为拒绝或丢弃所有数据包。
2、前提条件
①要受 DFW 保护,虚拟机的 vNIC 必须连接到 NSX 覆盖网络或 VLAN 分段。
②如果您要为身份防火墙创建规则,首先创建一个具有 Active Directory 成员的组。
3、配置东西向安全策略
①导航到【安全】,在东西向安全菜单下,点击【分布式防火墙】,在右侧点击添加策略
②根据需要,修改【策略名称】,点击策略名称左侧的三个点,在下拉菜单选择【添加规则】
③修改规则名称,在服务下点击【任意】
④点击【添加服务】,输入服务的名称,点击设置服务条目
⑤根据需要,添加条目,选择要禁用的协议和端口,点击应用
⑥查看添加的服务和条目信息,点击应用
⑦将该规则的操作更改为【拒绝】,启用规则,点击右上角的【发布】
⑧测试规则
找台同同分段的机器,telnet 服务器(必须是连接到NSX交换机)的端口:137,139,445,查看是否正常。
4、操作选项解释