Настройка Distributed Firewall (DFW)

Distributed Firewall (DFW) — распределенный межсетевой экран. DFW служит для управления трафиком East-West между VM внутри сети облака без использования Edge Gateway. Благодаря централизованному управлению, DFW упрощает контроль политик безопасности, которые позволяют управлять трафиком. При включении DFW создается единая политика безопасности по умолчанию для всех VM в группе.

Чтобы добавить DFW в DCG, выполните следующие инструкции:

  1. Подключение Distributed Firewall.

  2. Создание IP Set.

  3. Создание правил DFW в DCG.

Дополнительные настройки:

Подключение Distributed Firewall

Distributed Firewall — дополнительная платная услуга, отключенная по умолчанию. Чтобы заказать услугу, обратитесь в техническую поддержку. При обращении сообщите:

../../_images/sch__distributed-firewall.svg

После подключения DFW, создайте IP Sets и правила DFW.

Создание IP Set

Перед созданием правил DFW необходимо создать IP Sets, к которым будут применяться правила DFW.

IP Sets — группы IP-адресов, определенные в Grouping Objects. Объединение нескольких объектов в IP Set позволяет сократить количество правил DFW.

Чтобы создать IP Set, выполните следующие шаги:

  1. Нажмите Networking → Data Center Groups.

  2. Нажмите на название DCG.

  3. В левом меню нажмите IP Set.

  4. Нажмите New.

  5. В поле Name введите название IP Set.

  6. (Опционально) В поле Description введите описание IP Set.

  7. В поле IP Addressess введите IP-адрес, диапазон IP-адресов или подсеть и нажмите ADD.

  8. Нажмите SAVE.

Создание Static Security Group (SSG)

Static Security Group (SSG) — это группы сетей DCG, к которым применяются правила DFW. Создание SSG позволяет сократить общее количество правил DFW.

Для создания SSG необходима хотя бы одна сеть DCG, которая поддерживается NSX.

Чтобы сгруппировать сети DCG в SSG, выполните следующие шаги:

  1. На странице DCG, в левом меню нажмите Static Groups.

  2. Нажмите New.

  3. В поле Name введите название SSG.

  4. (Опционально) В поле Description введите описание SSG.

  5. Нажмите SAVE.

  6. Выберите созданный SSG и нажмите Manage Members.

  7. Выберите DCG, которые нужно добавить в SSG.

  8. Нажмите SAVE.

После создания SSG, добавьте правила DFW в DCG.

Просмотр тегов безопасности

Теги безопасности используются для определения правил DFW для DCG с NSX-T и DCG с типом сетевого провайдера ЦОД NSX-T.

  1. Чтобы просмотреть все теги безопасности, в разделе Networking нажмите Security Tags.

  2. Чтобы просмотреть список VM с назначенным тегом, слева от имени тега нажмите кнопку расширения.

    Если у вас нет прав на просмотр VM, она не отобразится в списке.

Назначение тега безопасности VM

Для назначения тега необходима роль с правом vApp: Edit Properties.

  1. Чтобы добавить новый тег безопасности, в разделе Networking → Security Tags нажмите Add Tag.

  2. В поле Name введите название тега.

  3. Выберите VM, которым нужно назначить созданный тег.

  4. Нажмите SAVE.

Созданный тег безопасности назначается выбранным VM. Вы можете просмотреть все теги, назначенные конкретной VM, в карточке VM.

После назначения тега создайте DSG VM на основе назначенных вами тегов.

Создание Dynamic Security Group (DSG)

Вы можете использовать Dynamic Security Group (DSG) для добавления правил DFW в DCG или в Edge Gateways, которые являются частью в DCG.

DSG VM можно определить на основе критериев, к которым применяются правила DFW. Чтобы создать критерий, нужно добавить правила DFW, которые применяются к имени VM или тегу безопасности.

  1. На странице DCG, в левом меню нажмите Dynamic Groups.

  2. Нажмите New.

  3. В поле Name введите название DSG.

  4. (Опционально) В поле Description введите описание DSG.

  5. Чтобы применить правило DFW к имени VM, в разделе VM Criteria выполните следующие шаги:

    1. В поле Type выберите VM name.

    2. В поле Operator выберите оператора для правила:

      • Contains, чтобы применить правило к именам VM, которые содержат термин.

      • Starts With, чтобы применить правило к именам VM, которые начинаются с термина.

    3. В поле Value введите термин для правила.

  6. Чтобы применить правило DFW к тегам VM, в разделе VM Criteria выполните следующие шаги:

    1. В поле Type выберите VM tag.

    2. В поле Operator выберите оператора для правила:

      • Equals, чтобы применить правило к тегам VM, равным термину.

      • Starts with, чтобы применить правило к тегам VM, которые начинаются с термина.

      • Ends with, чтобы применить правило к тегам VM, которые заканчиваются термином.

      • Contains, чтобы применить правило к тегам VM, которые содержат термин.

    3. В поле Value введите определяющий термин для правила.

  7. Чтобы добавить еще одно правило, нажмите ADD RULE.

    Вы можете добавить до четырех правил.

  8. Чтобы добавить еще один критерий, нажмите ADD CRITERION.

    Вы можете добавить до трех критериев в DSG.

  9. Нажмите SAVE.

Добавление Application Port Profile в DCG

Для создания правил DFW можно использовать предварительно настроенные или создавать пользовательские Application Port Profile.

Application Port Profile (APP) — это комбинация протокола и порта или группы портов, которая используются для служб межсетевого экрана.

  1. На странице DCG, в левом меню нажмите Application Port Profiles.

  2. Нажмите New.

  3. В поле Name введите название APP.

  4. (Опционально) В поле Description введите описание APP.

  5. В поле Protocol выберите протокол.

  6. В поле Ports введите один или несколько портов через запятую.

  7. Нажмите SAVE.

Создание правил DFW в DCG

Созданные правила DFW применяются только к рабочим нагрузкам, подключенным к сетям DCG.

Перед созданием правил DFW убедитесь, что:

  • в DCG подключен DFW;

  • созданы все необходимые IP Sets, к которым планируется применить правило DFW.

  1. На странице DCG, в левом меню нажмите Distributed Firewall.

  2. Нажмите EDIT RULES → NEW ON TOP.

  3. В поле Name введите название правила.

  4. Чтобы включить правило, в поле State активируйте переключатель.

  5. (Опционально) Чтобы выбрать конкретный порт назначения в VM, в поле Applications нажмите Редактировать, активируйте Choose a specific application, выберите порт и нажмите SAVE.

  6. (Опционально) Чтобы выбрать контекстный профиль ЦОД NSX-T, в поле Context нажмите Редактировать, активируйте Choose a specific profile, выберите профиль для правила и нажмите SAVE.

  7. Чтобы выбрать источник трафика, в поле Source нажмите Редактировать и выполните одно из следующих действий:

    • Чтобы разрешить или запретить трафик с любого адреса источника, активируйте Any Source и нажмите KEEP.

    • Чтобы разрешить или запретить трафик с определенных IP-адресов, активируйте Exclude, выберите источник и нажмите KEEP.

  8. Чтобы выбрать адрес назначения трафика, в поле Destination нажмите Редактировать и выполните одно из следующих действий:

    • Чтобы разрешить или запретить трафик на любой адрес назначения, активируйте Any Destination и нажмите KEEP.

    • Чтобы разрешить или запретить трафик на определенные IP-адреса, активируйте Exclude, выберите адрес назначения и нажмите KEEP.

  9. В поле Action выберите одну из следующих опций:

    • Allow, чтобы пропускать трафик;

    • Reject, чтобы блокировать трафик.

  10. В поле IP Protocol выберите трафик, к которому применять правило.

  11. При необходимости регистрировать фильтрацию, в поле Enable logging активируйте переключатель.

  12. Нажмите SAVE.

Отключение политики DFW по умолчанию

Чтобы отключить услугу DFW, необходимо отключить политику DFW по умолчанию. При отключении политики по умолчанию правила DFW больше не применяются.

  1. На странице DCG, в левом меню нажмите Distributed Firewall.

  2. Напротив Default Policy Status нажмите DISABLE.

  3. Нажмите DISABLE.

Отключение DFW

При отключении услуги DFW конфигурация правил безопасности для группы DCG удаляется без возможности восстановления. Перед отключением DFW необходимо отключить политику DFW по умолчанию.

Чтобы отключить услугу DFW, обратитесь в техническую поддержку. При обращении сообщите: