Попробовать

Межсетевой экран ESG

Примечание

Эта инструкция для NSX-T. Если вы работаете с NSX-V, перейдите в раздел Firewall ESG.

Межсетевой экран ESG (Firewall) как функция Edge Gateway служит для управления доступом между сетями тенанта и внешними сетями (North-South трафиком). Межсетевое экранирование может работать как из сети тенанта во внешнюю сеть, так и в обратном направлении.

../../_images/sch__esg-firewall.svg

На схеме:

  • x.x.x.x — внешний IP-адрес;

  • a.a.a.a/24, b.b.b.b/24 — адреса внутренних Routed-сетей.

В правилах Firewall можно указать следующие объекты, которые отправляют и получают трафик:

  • Ip Sets — группы IP-адресов, определенные в Grouping Objects;

  • Security Groups — наборы групп безопасности.

Важно

Перед созданием правил Firewall, предварительно создайте Security group или IP set.

Рассмотрим создание правила Firewall с использованием IP Sets.

Выполните следующие шаги:

Создание IP Set

IP Set — это группы объектов, к которым применяются правила Firewall. Объединение нескольких объектов в IP Set помогает сократить общее количество правил Firewall.

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Нажмите на название Edge Gateway.

    Примечание

    Публичный IP-адрес указан в разделе IP Management → IP Allocations → IPs used. PRIMARY_IP в формате x.x.x.x — внешний IP-адрес виртуального ЦОД.

    Скриншот

    ../../_images/s__ip-allocations-nsx-t1.png
  3. В разделе Security → IP Sets нажмите NEW.

  4. Заполните форму New IP Set:

    • Name — название группы IP-адресов.

    • (Опционально) Description — описание.

    • IP Addressess — один IP-адрес (например внешний), диапазон IP-адресов в формате IP-адрес/длина префикса (например «a.a.a.0/24») или диапазон в формате первый IP-последний IP (например «a.a.a.1-a.a.a.10»).

  5. Нажмите ADD, затем SAVE.

Создание правила Firewall

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Выберите объект из списка, нажав на переключатель слева от названия.

  3. В разделе Services → Firewall нажмите EDIT RULES.

  4. В открывшемся окне нажмите NEW ON TOP.

  5. Появится строка нового правила, заполните ее поля:

    • Name — укажите название правила.

    • State — активируйте переключатель, чтобы включить правило.

    • Applications — если нужно выбрать конкретный порт назначения в VM:

      • нажмите на Редактировать;

      • активируйте переключатель Choose a specific application;

      • выберите профиль из списка;

      • нажмите SAVE.

    • Source — выберите источник трафика:

      • нажмите на Редактировать;

      • активируйте переключатель Any Source, чтобы выбрать все доступные источники трафика, или укажите отдельные источники из списка;

      • нажмите SAVE.

    • Destination — выберите адрес назначения, куда будет поступать трафик:

      • нажмите на Редактировать;

      • активируйте переключатель Any Destination, чтобы выбрать все доступные адреса назначения, или укажите отдельные адреса из списка;

      • нажмите SAVE.

    • Action — из раскрывающегося списка выберите нужную опцию:

      • «Allow» — пропускать трафик;

      • «Drop» — блокировать трафик и не отправлять уведомления об этом заблокированным клиентам;

      • «Reject» — блокировать трафик и отправлять уведомления об этом заблокированным клиентам.

    • IP Protocol — из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

    • Logging — при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель.

  6. Нажмите SAVE.

Примеры заполнения правил Firewall в разделах: