​ ​​ ​

​ ​

​转载请在文首保留原文出处：​​EMC​​中文支持论坛​​https://community.emc.com/go/chinese​​ ​​ ​

​ ​​ ​

​ ​

​VMware NSX​​支持逻辑交换机、路由器、防火墙、负载均衡和​​VPN​​功能。​​NSX​​分布式防火墙是一种可加载内核模块，具备内核的线速性能、虚拟化和可识别身份功能，可以过滤进出虚拟机管理程序的任何数据流。利用​​NSX​​分布式防火墙具有可扩展性，可以在不同主机的虚拟机之间建立安全机制，还可以在同一逻辑​​2​​层广播网的主机之间建立安全策略。​

​ ​

​ ​

​本文将演示如何通过​​VMware NSX​​分布式防火墙保护三层应用程序，具体包括基于​​IP​​地址的规则设置，安全组的创建，以及通过安全组来设置安全规则。​

​ ​

​ ​

​ ​

​ ​
• ​NSX虚拟网络部署实例（一）：NSX组件和实验环境简介​
​ ​
• ​NSX虚拟网络部署实例（二）：虚拟交换机部署演示​
​ ​
• ​NSX虚拟网络部署实例（三）：虚拟路由器配置演示（上）​
​ ​
• ​NSX虚拟网络部署实例（四）：虚拟路由器配置演示（下）​
​ ​
• ​NSX虚拟网络部署实例（五）：分布式防火墙置演示​
​ ​

​ ​

​ ​

​ ​

​ ​​ ​

​ ​

​ ​

​ ​

​步骤演示​

​ ​

​ ​

​第一步：基于​​IP​​地址的规则设置​

​ ​

​ ​

​1、​​ ​​进入​​VMware vCenter Server​​的“Networking & Security​​” > ​​“Firewall​​”，双击“D​​efault section Layer3”。在下拉框可以看到默认的全部防火墙规则。​

​ ​

​ ​

​ ​

​ ​

​ ​

​2、​​ ​​在“​​Default Rule​​”的​​Allow​​栏点击“+​​”，即可编辑​​ACL​​条例的规则。​

​ ​

​ ​

​ ​

​ ​

​3、​​ ​​在弹出窗口，将​​Action​​栏设置为​​Block​​后，默认所有主机间的通信将被阻止。​

​ ​

​ ​

​ ​

​ ​

​4​​、在弹出窗口选择“Publish Changes​​”;当设置被发布后，配置将会马上生效。​

​ ​

​ ​

​ ​

​ ​

​5​​、在一台虚拟机客户端使用​​PING​​命令测试，即验证虚拟机间通信中断。​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​第二步：创建安全组​

​ ​

​ ​

​1​​、​​进入​​VMware vCenter Server​​的“Networking & Security​​” > ​​“Firewall​​”​​，选择“Security Groups​​”，点击绿色“+​​”创建新的安全组。​

​ ​

​ ​

​ ​

​ ​

​ ​

​2、​​ ​​在弹出窗口首先输入新安全组名称。​

​ ​

​ ​

​ ​

​ ​

​ ​

​3、​​ ​​点击“下一步”，将虚拟机​​web-sv-01a​​和​​web-sv-02a​​添加到安全组。​

​ ​

​ ​

​ ​

​ ​

​4、​​ ​​在弹出窗口选择“​​Publish Changes​​”可看到新建的安全组。​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​第三步：通过安全组来设置安全规则​

​ ​

​ ​

​1​​、​​进入​​VMware vCenter Server​​的“Networking & Security​​” > ​​“Firewall​​”​​，​​如下图点击文件夹创建新的规则集。​

​ ​

​ ​

​ ​

​ ​

​2​​、​​点击绿色“+​​”​​在规则集下创建新的规则。​

​ ​

​ ​

​ ​

​ ​

​3​​、点击“Name”​​的​​“+​​”​​为新的规则修改名称。​

​ ​

​ ​

​ ​

​ ​

​4​​、点击“Destination”栏​​的"+"​​为新的规则添加目的地。如题操作方法见下图：​

​ ​

​ ​

​ ​

​ ​

​5​​、点击"specify service"​​栏​​的"+"来​​设置哪些服务允许从源地址到目的地址。​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​

​ ​​ ​

​ ​

​ ​

​分布式防火墙置演示​

​ ​

​ ​

​ ​

​ ​