Перейти к основному содержимому
Настроить Firewall

Настроить Firewall

Правила Firewall создаются для NSX Edge Gateway.

IP Set — это группа IP-адресов, к которым применяются правила Firewall. Объединение IP-адресов в IP Set позволяет не создавать отдельное правило для каждого IP-адреса.

  1. Создайте IP Set.
  2. Создайте правило Firewall.

Создать IP Set

  1. Из панели управления откройте панель Cloud Director: Облако на базе VMwareCloud Director.
  2. Откройте страницу виртуального дата-центра.
  3. Перейдите в раздел Networking → Edge.
  4. Откройте страницу нужного Edge.
  5. Нажмите Services.
  6. Откройте вкладку Grouping objectIP Sets.
  7. Нажмите +.
  8. Введите название группы и IP-адреса.
  9. Нажмите Keep.

Создать правило Firewall

  1. Из панели управления откройте панель Cloud Director: Облако на базе VMwareCloud Director.

  2. Откройте страницу виртуального дата-центра.

  3. Перейдите в раздел Networking → Edge.

  4. Откройте страницу нужного Edge.

  5. Нажмите Services.

  6. Откройте вкладку Firewall. Для стандартного правила default rule for ingress traffic в поле Access по умолчанию указано Deny — Firewall будет блокировать весь трафик, если вы не настроите других правил.

  7. Включите тумблер Enabled.

  8. Нажмите +.

  9. Введите название правила.

  10. В поле Source нажмите + и выберите укажите адрес источника.

  11. В поле Service выберите any.

  12. В поле Action выберите Accept.

  13. Опционально: в поле Destination нажмите + и настройте параметры:

    • Gateway interfaces — все внутренние сети (Internal), все внешние сети (External) или все внешние и внутренние сети (Any);
    • Virtual machines — привязка правила к определенной виртуальной машине;
    • OrgVdcNetworks — сети уровня организации;
    • IP Sets — настройка заранее созданной пользователем группы IP-адресов (создается в Grouping object);
    • Security Groups — группы безопасности.

  14. Нажмите Save changes.

Примеры правил

Доступ в интернет разрешен по любым протоколам серверу с заданным IP, если указаны следующие значения полей:

  • Source — указан IP-адрес;
  • Destination — указано значение Any;
  • Service — указано значение Any;
  • Action — указано значение Accept.

Доступ из интернета по (ТСР-протокол, порт 80) разрешен через внешний IP-адрес, если указаны следующие значения полей:

  • Source — указано значение Any;
  • Destination — указан IP-адрес;
  • Service — указано значение tcp:80:Any;
  • Action — указано значение Accept.