Создание правил DFW в DCG (AZ1/AZ2)
Distributed Firewall (DFW) — распределённый межсетевой экран, который позволяет фильтровать трафик между виртуальными машинами внутри сети облака без использования межсетевого экрана на Edge Gateway.
Благодаря централизованному управлению, DFW упрощает контроль политик безопасности, которые позволяют управлять трафиком. При активации DFW создаётся единая политика безопасности по умолчанию для всех виртуальных машин в DCG.
Чтобы добавить DFW в DCG:
Активируйте DFW.
Создайте IP Set, или Static Security Group, или Dynamic Security Group (в зависимости от того, к чему будут применяться правила DFW).
Создайте правила DFW в DCG.
Активация DFW
Чтобы активировать DFW в DCG:
- Войдите в VMware-организацию, в DCG которой нужно активировать DFW.
- На платформе VMware Cloud Director перейдите в раздел Networking → Data Center Groups.
- Нажмите на название DCG, в которой нужно активировать DFW.
В разделе General в блоке Distributed Firewall нажмите на кнопку ACTIVATE DISTRIBUTED FIREWALL.
- Нажмите на кнопку ACTIVATE .
Статус DFW с Inactive (Неактивно) изменится на Active (Активно).
Создание IP Set
IP Set — группа IP-адресов. Объединение нескольких IP-адресов в IP Set позволяет сократить количество правил DFW.
Чтобы создать IP Set:
- Войдите в VMware-организацию, в DCG которой нужно создать IP Set .
- На платформе VMware Cloud Director перейдите в раздел Networking → Data Center Groups.
- Нажмите на название DCG, в которой нужно создать IP Set.
- В разделе IP Sets нажмите на кнопку NEW.
- Заполните поля:
- Name * — название группы IP-адресов;
- Description — описание группы IP-адресов, заполняется при необходимости;
- IP Addresses — IP-адреса в формате IPv4 или IPv6 или диапазон в формате CIDR.
- Нажмите на кнопку ADD.
- Нажмите на кнопку SAVE.
Созданная IP Set отображается на платформе VMware Cloud Director:
Создание Static Security Group (SSG)
Static Security Group (SSG) — группа сетей DCG, к которой применяются правила DFW. Создание SSG позволяет сократить количество правил DFW.
Чтобы создать SSG:
- Войдите в VMware-организацию, в DCG которой нужно создать SSG.
- На платформе VMware Cloud Director перейдите в раздел Networking → Data Center Groups.
- Нажмите на название DCG, в которой нужно создать SSG.
- В разделе Static Groups нажмите на кнопку NEW.
- Заполните поля:
- Name * — название SSG;
- Description — описание SSG, заполняется при необходимости.
- Нажмите на кнопку SAVE.
- Выберите созданную SSG и нажмите на кнопку MANAGE MEMBERS.
Выберите сети DCG, которые нужно добавить в SSG.
- Нажмите на кнопку SAVE.
Созданная SSG отображается на платформе VMware Cloud Director:
Создание Dynamic Security Group (DSG)
DSG виртуальных машин можно определить на основе критериев, к которым применяются правила DFW.
Чтобы создать DSG:
- Войдите в VMware-организацию, в DCG которой нужно создать DSG.
- На платформе VMware Cloud Director перейдите в раздел Networking → Data Center Groups.
- Нажмите на название DCG, в которой нужно создать DSG.
- В разделе Dynamic Groups нажмите на кнопку NEW.
- Заполните поля:
- Name * — название DSG;
- Description — описание DSG, заполняется при необходимости.
- Чтобы применить правило DFW к тегам виртуальных машин, в разделе VM Criteria:
В поле Type выберите VM Tag.
В поле Operator выберите оператор для правила:
- Contains — применить правило к тегам виртуальных машин, которые содержат термин;
- Starts With — применить правило к тегам виртуальных машин, которые начинаются с термина;
- Ends With — применить правило к тегам виртуальных машин, которые заканчиваются термином;
- Equals — применить правило к тегам виртуальных машин, совпадающим с термином.
В поле Value введите определяющий термин для правила.
- Чтобы применить правило DFW к имени виртуальных машин, в разделе VM Criteria:
В поле Type выберите VM Name.
- В поле Operator выберите оператор для правила:
Contains — применить правило к именам виртуальных машин, которые содержат термин;
Starts With — применить правило к именам виртуальных машин, которые начинаются с термина.
- В поле Value введите термин для правила.
- Чтобы применить правило DFW к имени гостевой ОС виртуальных машин, в разделе VM Criteria:
В поле Type выберите OS Name.
В поле Operator выберите оператор для правила:
- Contains — применить правило к имени гостевой ОС виртуальных машин, которое содержит термин;
- Starts With — применить правило к имени гостевой ОС виртуальных машин, которое начинается с термина;
- Ends With — применить правило к имени гостевой ОС виртуальных машин, которое заканчивается термином;
- Equals — применить правило к имени гостевой ОС виртуальных машин, которое совпадает с термином.
В поле Value введите определяющий термин для правила.
Можно добавить до 3 критериев, содержащих до 4 правил.
Чтобы добавить ещё один критерий, нажмите на кнопку .
Чтобы добавить ещё одно правило в критерий, нажмите на кнопку .
- Нажмите на кнопку SAVE.
Созданная DSG отображается на платформе VMware Cloud Director:
Создание правил DFW в DCG
Перед созданием правила DFW убедитесь, что:
в DCG активирован DFW;
созданы все необходимые IP Set, или Static Security Group, или Dynamic Security Group, к которым планируется применить правило DFW.
Чтобы создать правило DFW в DCG:
- Войдите в VMware-организацию, в DCG которой нужно создать правило DFW.
- На платформе VMware Cloud Director перейдите в раздел Networking → Data Center Groups.
- Нажмите на название DCG, для которой нужно создать правило DFW.
- Перейдите в раздел Distributed Firewall и нажмите на кнопку EDIT RULES.
- В открывшемся окне нажмите на кнопку NEW ON TOP.
- В таблице появится новое правило. Заполните столбец Name — название правила:
- При необходимости выберите протокол и порт для подключения:
- В столбце Applications нажмите на кнопку
Активируйте переключатель Choose a specific application.
Выберите нужные протоколы и порты для подключения.
Нажмите на кнопку SAVE.
- При необходимости выберите контекстный профиль ЦОД NSX-T:
- В столбце Context нажмите на кнопку
Активируйте переключатель Choose a specific profile.
Выберите нужные профили.
Нажмите на кнопку SAVE .
В столбце Source (источник трафика) нажмите на кнопку активируйте переключатель Any Source, чтобы выбрать все доступные источники трафика. Или выберите IP Set, SSG или DSG, установив флажок в строке с нужной группой. Если IP Set, SSG или DSG нет, создайте их.
- Нажмите на кнопку KEEP.
- В столбце Destination (IP-адреса назначения, которые будут получать трафик) нажмите на кнопку и активируйте переключатель Any Destination, чтобы выбрать все доступные IP-адреса назначения. Или выберите IP Set, SSG или DSG, установив флажок в строке с нужной группой.
- Нажмите на кнопку KEEP.
- В столбце Action выберите действие с трафиком:
Allow — разрешить входящий и исходящий трафик для виртуальных машин;
Drop — блокировать входящий и исходящий трафик и не отправлять уведомления об этом стороне, инициирующей соединение;
Reject — блокировать входящий и исходящий трафик и отправлять уведомления об этом стороне, инициирующей соединение.
В столбце IP Protocol выберите протокол, к которому нужно применить правило.
При необходимости активируйте переключатель Logging, чтобы регистрировать трансляцию IP-адресов, выполняемую этим правилом, в лог-файле. Чтобы просмотреть лог-файл, обратитесь в тех. поддержку T1 Облако.
- Нажмите на кнопку SAVE.
В результате создастся новое правило DFW для входящего и исходящего трафика.
Отключение политики DFW по умолчанию
Если политика по умолчанию отключена:
- правила DFW больше не применяются;
- правила брандмауэра можно редактировать, но они не будут применяться;
- конфигурация правил безопасности для группы DCG удаляется без возможности восстановления.
Чтобы отключить политику DFW по умолчанию:
- Войдите в VMware-организацию, в DCG которой нужно отключить политику DFW по умолчанию.
- На платформе VMware Cloud Director перейдите в раздел Networking → Data Center Groups.
- Нажмите на название DCG, в которой нужно отключить политику DFW по умолчанию.
- Перейдите в раздел Distributed Firewall и нажмите на кнопку DISABLE.
Нажмите на кнопку DISABLE.
Статус Default Policy Status (политика DFW по умолчанию) с Enabled (Включено) изменится на Disabled (Выключено).
Деактивация DFW
Чтобы деактивировать DFW:
- Войдите в VMware-организацию, в DCG которой нужно деактивировать DFW.
- Отключите политику DFW по умолчанию в DCG.
- На платформе VMware Cloud Director перейдите в раздел Networking → Data Center Groups.
- Нажмите на название DCG, в которой нужно деактивировать DFW.
В разделе General в блоке Distributed Firewall нажмите на кнопку DE ACTIVATE DISTRIBUTED FIREWALL.
- Нажмите на кнопку DE ACTIVATE.
Статус DFW с Active (Активно) изменится на Inactive (Неактивно).
В этой статье
Мы ответили на ваш вопрос?