02. Настройка Firewall
Назначение Firewall
Firewall — функционал сервиса NSX Edge, использующийся для управления доступом между внутренними и внешними сетями. Правила доступа настраиваются в разделе Services/Firewall в VDC.
Настройка Firewall
Firewall включен по умолчанию и блокирует весь межсетевой трафик в соответствии с преднастроенным правилом default_rule. Для создания нового правила:
1. Нажмите кнопку EDIT RULES раздела Services/Firewall.
2. В открывшемся окне выберите действие NEW ON TOP.
3. Задайте параметры новому правилу:
4. При необходимости измените параметры настройки.
| Раздел | Описание |
| Services | - |
| Firewall | Настройка правил доступа. |
| NAT | Настройка правил NAT. |
| IPSec VPN | Настройка Site-to-Site IPSec канала VPN. |
| Load Balancer | Настройка балансировки нагрузки. По умолчанию у пользователя с ролью Organization Administrator недостаточно прав для настройки балансировки. |
| Security | - |
| Security Groups | Объединение ВМ в группу, к которой применяются единые политики доступа. |
| IP Sets | Настройка именных объектов с указанием IP-адреса или группы адресов, которые применяются в правилах Firewall. |
| Application Port Profiles | Настройка именных профилей приложений с указанием L4 протоколов и портов, которые применяются в правилах Firewall. |
| IP Management | - |
| IP Allocations | Список IP-адресов, выделенных и задействованных на Edge. |
| DNS | Настройка DNS Forwarder. |
-
Новое правило появится выше правила default_rule:
• Name - имя правила доступа;
• State - активация/деактивация правила;
• Application - тип протокола и порт. Если нужного Application объекта нет, то его нужно создать в разделе Security/Application Port Profiles.
• Source - задается IP-адрес отправителя. Если нужного объекта нет, то его нужно создать в разделе Security/IP Sets. Переключатель Any Source включает проверку всех IP;
• Destination - задается IP-адрес получателя; настраивается по аналогии с полем Source;
• Action - задается необходимое действие:
• Accept - разрешить прохождение трафика;
• Drop - блокировать прохождение трафика без уведомления отправителя;
• Reject - блокировать прохождение трафика с посылкой уведомления отправителю;
• Protocol - версия протокола IP;
• Logging - активируется логирование.
После того как все настройки выполнены сохраняем конфигурацию SAVE.
Важно: Edge обрабатывает трафик по правилам Firewall в том порядке, в котором они настроены, т.е. сверху вниз. Чтобы подвинуть правило относительно остальных, нужно выделить его и воспользоваться действиями:
- MOVE UP - переместить правило на 1 позицию выше;
- MOVE DOWN - переместить правило на 1 позицию ниже;
- MOVE TO - переместить правило на определенную позицию;