Исходный код вики A03. Создание правил DFW в DCG
Версия 3.1 от Ирина Сафонова на 20.03.2024, 20:48
Скрыть последних авторов
| author | version | line-number | content |
|---|---|---|---|
 |
3.1 | 1 | Созданные правила [[DFW>>https://wiki.dfcloud.ru/bin/view/Glossary/DFW]] применяются только к рабочим нагрузкам, подключенным к сетям [[DCG>>https://wiki.dfcloud.ru/bin/view/Glossary/DCG]]. Перед созданием правил DFW убедитесь, что: |
| |
2.1 | 2 | |
| |
3.1 | 3 | * В DCG подключен DFW. |
| 4 | * Созданы все необходимые IP Sets, к которым планируется применить правило DFW. | ||
| |
2.1 | 5 | |
| |
3.1 | 6 | Для создания правила DFW: |
| |
2.1 | 7 | |
| |
3.1 | 8 | ~1. На странице DCG в левом меню нажмите **Distributed Firewall**. |
| |
2.1 | 9 | |
| |
3.1 | 10 | 2. Нажмите **EDIT RULES** → **NEW ON TOP**. |
| |
2.1 | 11 | |
| |
3.1 | 12 | 4. В поле **Name** введите название правила. |
| |
2.1 | 13 | |
| |
3.1 | 14 | 5. В поле State активируйте переключатель, чтобы включить правило. |
| |
2.1 | 15 | |
| |
3.1 | 16 | 6. (Опционально) Чтобы выбрать конкретный порт назначения в VM, в поле Applications нажмите Редактировать, активируйте Choose a specific application, выберите порт и нажмите SAVE. |
| |
2.1 | 17 | |
| 18 | (Опционально) Чтобы выбрать контекстный профиль ЦОД NSX-T, в поле Context нажмите Редактировать, активируйте Choose a specific profile, выберите профиль для правила и нажмите SAVE. | ||
| 19 | |||
| 20 | Чтобы выбрать источник трафика, в поле Source нажмите Редактировать и выполните одно из следующих действий: | ||
| 21 | |||
| 22 | Чтобы разрешить или запретить трафик с любого адреса источника, активируйте Any Source и нажмите KEEP. | ||
| 23 | |||
| 24 | Чтобы разрешить или запретить трафик с определенных IP-адресов, активируйте Exclude, выберите источник и нажмите KEEP. | ||
| 25 | |||
| 26 | Чтобы выбрать адрес назначения трафика, в поле Destination нажмите Редактировать и выполните одно из следующих действий: | ||
| 27 | |||
| 28 | -Чтобы разрешить или запретить трафик на любой адрес назначения, активируйте Any Destination и нажмите KEEP. | ||
| 29 | |||
| 30 | -Чтобы разрешить или запретить трафик на определенные IP-адреса, активируйте Exclude, выберите адрес назначения и нажмите KEEP. | ||
| 31 | |||
| 32 | В поле Action выберите одну из следующих опций: | ||
| 33 | |||
| 34 | |||
| 35 | - Allow, чтобы пропускать трафик; | ||
| 36 | |||
| 37 | - Reject, чтобы блокировать трафик. | ||
| 38 | |||
| 39 | В поле IP Protocol выберите трафик, к которому применять правило. | ||
| 40 | |||
| 41 | При необходимости регистрировать фильтрацию, в поле Enable logging активируйте переключатель. | ||
| 42 | |||
| 43 | Нажмите SAVE. | ||
| 44 | |||
| 45 | Отключение политики DFW по умолчанию | ||
| 46 | |||
| 47 | Чтобы отключить услугу DFW, необходимо отключить политику DFW по умолчанию. При отключении политики по умолчанию правила DFW больше не применяются. | ||
| 48 | |||
| 49 | На странице DCG, в левом меню нажмите Distributed Firewall. | ||
| 50 | |||
| 51 | Напротив Default Policy Status нажмите DISABLE. | ||
| 52 | |||
| 53 | Нажмите DISABLE. | ||
| 54 | |||
| 55 | При отключении услуги DFW конфигурация правил безопасности для группы DCG удаляется без возможности восстановления. Перед отключением DFW необходимо отключить политику DFW по умолчанию. |