转载请在文首保留原文出处：EMC中文支持论坛https://community.emc.com/go/chinese                         

VMware NSX支持逻辑交换机、路由器、防火墙、负载均衡和VPN功能。NSX分布式防火墙是一种可加载内核模块，具备内核的线速性能、虚拟化和可识别身份功能，可以过滤进出虚拟机管理程序的任何数据流。利用NSX分布式防火墙具有可扩展性，可以在不同主机的虚拟机之间建立安全机制，还可以在同一逻辑2层广播网的主机之间建立安全策略。

本文将演示如何通过VMware NSX分布式防火墙保护三层应用程序，具体包括基于IP地址的规则设置，安全组的创建，以及通过安全组来设置安全规则。

• NSX虚拟网络部署实例（一）：NSX组件和实验环境简介
• NSX虚拟网络部署实例（二）：虚拟交换机部署演示
• NSX虚拟网络部署实例（三）：虚拟路由器配置演示（上）
• NSX虚拟网络部署实例（四）：虚拟路由器配置演示（下）
• NSX虚拟网络部署实例（五）：分布式防火墙置演示

步骤演示

第一步：基于IP地址的规则设置

1、      进入VMware vCenter Server的“Networking & Security” > “Firewall”，双击“Default section Layer3”。在下拉框可以看到默认的全部防火墙规则。

2、      在“Default Rule”的Allow栏点击“+”，即可编辑ACL条例的规则。

3、      在弹出窗口，将Action栏设置为Block后，默认所有主机间的通信将被阻止。

4、在弹出窗口选择“Publish Changes”;当设置被发布后，配置将会马上生效。

5、在一台虚拟机客户端使用PING命令测试，即验证虚拟机间通信中断。

第二步：创建安全组

1、进入VMware vCenter Server的“Networking & Security” > “Firewall”，选择“Security Groups”，点击绿色“+”创建新的安全组。

2、 在弹出窗口首先输入新安全组名称。

3、 点击“下一步”，将虚拟机web-sv-01a和web-sv-02a添加到安全组。

4、 在弹出窗口选择“Publish Changes”可看到新建的安全组。

第三步：通过安全组来设置安全规则

1、进入VMware vCenter Server的“Networking & Security” > “Firewall”，如下图点击文件夹创建新的规则集。

2、点击绿色“+”在规则集下创建新的规则。

3、点击“Name”的“+”为新的规则修改名称。

4、点击“Destination”栏的"+"为新的规则添加目的地。如题操作方法见下图：

5、点击"specify service"栏的"+"来设置哪些服务允许从源地址到目的地址。

分布式防火墙置演示