Огородников Андрей Георгиевич
5.4 KiB
а## A01. Подключение Distributed Firewall
Distributed Firewall — дополнительная платная услуга, отключенная по умолчанию. Чтобы заказать услугу, обратитесь к своему персональному менеджеру. После подключения DFW создайте IP Sets и правила DFW.
A02. Создание IP Set
Редактировал(а) Ирина Сафонова 21.03.2024, 01:22
Перед созданием правил DFW настройте IP Sets, к которым применяются правила DFW. IP Sets — группы IP-адресов, определенные в объектной группе. Объединение нескольких объектов в IP Set позволяет сократить количество правил DFW. Для создания:
-
Нажмите Networking → Data Center Groups.
-
Нажмите на название DCG.
-
В левом меню нажмите IP Set.
-
Нажмите New.
-
В поле Name введите название IP Set.
-
(Опционально) В поле Description введите описание IP Set.
-
В поле IP Addressess введите IP-адрес, диапазон IP-адресов или подсеть и нажмите ADD.
-
Нажмите SAVE.
A03. Создание правил DFW
Создание правила DFW
Созданные правила DFW применяются только к рабочим нагрузкам, подключенным к сетям DCG. Перед созданием правил DFW убедитесь, что:
- В DCG подключен DFW.
- Созданы все необходимые IP Sets, к которым планируется применить правило DFW.
Для создания правила DFW:
-
На странице DCG в левом меню нажмите Distributed Firewall.
-
Нажмите EDIT RULES → NEW ON TOP.
-
В поле Name введите название правила.
5. В поле State активируйте переключатель, чтобы включить правило.
-
(Опционально) Чтобы выбрать конкретный порт назначения в виртуальной машине (ВМ), в поле Applications нажмите Редактировать, активируйте Choose a specific application, выберите порт и нажмите SAVE.
-
(Опционально) Чтобы выбрать контекстный профиль ЦОД NSX-T, в поле Context нажмите Редактировать, активируйте Choose a specific profile, выберите профиль для правила и нажмите SAVE.
-
Чтобы выбрать источник трафика, в поле Source нажмите Редактировать и выполните одно из следующих действий:
- Чтобы разрешить или запретить трафик с любого адреса источника, активируйте Any Source и нажмите KEEP.
- Чтобы разрешить или запретить трафик с определенных IP-адресов, активируйте Exclude, выберите источник и нажмите KEEP.
- Чтобы выбрать адрес назначения трафика, в поле Destination нажмите Редактировать и выполните одно из следующих действий:
- Чтобы разрешить или запретить трафик на любой адрес назначения, активируйте Any Destination и нажмите KEEP.
- Чтобы разрешить или запретить трафик на определенные IP-адреса, активируйте Exclude, выберите адрес назначения и нажмите KEEP.
- В поле Action выберите одну из следующих опций:
- Allow, чтобы пропускать трафик.
- Reject, чтобы блокировать трафик.
-
В поле IP Protocol выберите трафик, к которому применять правило.
-
При необходимости регистрировать фильтрацию в поле Enable logging активируйте переключатель.
-
Нажмите SAVE.
Отключение политики DFW по умолчанию
Чтобы отключить услугу DFW, отключите политику DFW по умолчанию. При отключении политики по умолчанию правила DFW больше не применяются.
-
На странице DCG в левом меню нажмите Distributed Firewall.
-
Напротив Default Policy Status нажмите DISABLE.
-
Нажмите DISABLE.
-
При отключении услуги DFW конфигурация правил безопасности для группы DCG удаляется без возможности восстановления. Перед отключением DFW отключите политику DFW по умолчанию.