Firewall của edge gateway giám sát lưu lượng North-South để cung cấp các chức năng bảo mật chu vi, bao gồm Firewall, Network Address Translation (NAT) và site-to-site IPSec và SSL VPN.
Các quy tắc firewall này được áp dụng trên edge gateway firewall để bảo vệ các máy ảo trong trung tâm dữ liệu ảo (VDC) của tổ chức khỏi lưu lượng mạng bên ngoài.
Để tạo các quy tắc firewall và thêm chúng vào edge gateway, cần định nghĩa các yếu tố sau:
Name: Tên của quy tắc.
Source: IP Sets\Dynamic Groups\Static Group (1.1, 1.2, 1.3, 1.4).
Destination: IP Sets\Dynamic Groups\Static Group (1.1, 1.2, 1.3, 1.4).
Application: Chọn ứng dụng với cổng được áp dụng (1.5).
Action: Allow\Reject\Drop.
IP Protocol: IPv4/IPv6 hoặc cả hai.
Thêm một IP Set:
Bước 1: IP Sets là các nhóm địa chỉ IP và mạng được áp dụng cho các quy tắc firewall (làm Source hoặc Destination)
Bước 2: Trong thanh điều hướng trên cùng, nhấp vào Networking và chọn Edge Gateways.
Bước 3: Chọn edge gateway mà bạn muốn chỉnh sửa.
Bước 4: Trong mục Security, nhấp vào IP Sets.
Bước 5: Nhấp vào New.
Bước 6: Nhập Tên, Mô tả cho IP Set.
Bước 7: Nhập địa chỉ IPv4, IPv6 hoặc dải địa chỉ theo định dạng CIDR và nhấp vào Add.
Bước 8: Chỉnh sửa địa chỉ hiện tại (nếu cần) bằng cách nhấp vào Modify.
Bước 9: Nhấp Save để xác nhận.
Lưu ý: Không được xóa các IP Sets có tên bắt đầu bằng HIGIO- (nếu có).
Tạo một Static Security Group:
Static Security Groups là các nhóm mạng giúp giảm số lượng quy tắc firewall phân tán cần tạo.
Bước 1: Nhấp vào Networking > Edge Gateways.
Bước 2: Chọn edge gateway bạn muốn chỉnh sửa.
Bước 3: Trong Security, nhấp vào Static Groups.
Bước 4: Nhấp New.
Bước 5: Nhập Tên, Mô tả cho Static Group và nhấp Save.
Static security group sẽ xuất hiện trong danh sách.
Bước 6: Chọn nhóm vừa tạo, nhấp Manage Members.
Bước 7: Chọn data center group networks mà bạn muốn thêm static security group vào >> Save
Gán Security Tags cho VM
Các security tags được gán cho máy ảo để áp dụng các quy tắc firewall edge gateway và distributed firewall rules.
Bước 1: Trong thanh điều hướng trên cùng, nhấp vào Networking.
Bước 2: Bấm vào Security Tags.
Bước 3: Nhấp vào Add Tag.
Bước 4: Nhập tag name.
Bước 5: Chọn các máy ảo trong tổ chức cần gán tag.
Bước 6: Nhấp vàoSave.
Tạo một Dynamic Security Group
Bạn có thể xác định các nhóm bảo mật động của các máy ảo dựa trên các tiêu chí cụ thể (VM Name hoặcTag Name) mà các quy tắc tường lửa sẽ được áp dụng.
Bước 1: Ở thanh điều hướng phía trên, nhấp vào Networking và Edge Gateways.
Bước 2: Chọn edge gateway mà bạn muốn chỉnh sửa.
Bước 3: Dưới mục Security, nhấp vào Dynamic Groups.
Bước 4: Nhấp vào New..
Bước 5: Nhập Tên và Mô tả cho dynamic security group.
Step 6: To create a for inclusion in the group, add up to four rules that apply to a VM Name or a VM security tag.
Bước 6: Để tạo một Criterion để đưa vào nhóm, thêm tối đa bốn quy tắc áp dụng cho VM Name hoặc VM security tag.
VM Name: một quy tắc áp dụng cho các tên VM chứa hoặc bắt đầu với một từ bạn chỉ định.
VM tag: một quy tắc áp dụng cho các thẻ VM có giá trị bằng, chứa, bắt đầu với, hoặc kết thúc với một từ bạn chỉ định.
Tôi đã tạo 02 quy tắc
VM Name: Bắt đầu với “demo”
VM Tag: Bằng “non-prd” (Mà bạn đã tạo trong mục 1.3)
Bước 7: Nhấp vào Save.
Thêm Custom Application Port Profile:
Bạn có thể sử dụng cấu hình sẵn và tùy chỉnh application port profiles để tạo các quy tắc tường lửa.
Application port profiles bao gồm sự kết hợp của giao thức và một cổng hoặc một nhóm các cổng được sử dụng cho các dịch vụ tường lửa.
Bước 1: Trên thanh điều hướng trên cùng, nhấp vào Networking và chọn Edge Gateways.
Bước 2: Chọn edge gateway mà bạn muốn chỉnh sửa.
Bước 3: Dưới mục Security, nhấp vào Application Port Profiles.
Bước 4: Trong bảng Custom Applications, nhấp vào New.
Bước 5: Nhập Tên và Mô tả choapplication port profile.
Bước 6: Từ menu thả xuống Protocol, chọn giao thức TCP, UDP, ICMPv4, ICMPv6
Bước 7: Nhập một cổng hoặc dải cổng, cách nhau bằng dấu phẩy, và nhấp vào Save.
Chúng ta đã có các Objects được định nghĩa từ trước. Dưới đây là cách tạo quy tắc tường lửa cho edge gateway:
Bước 1: Trên thanh điều hướng phía trên, nhấp vào Networking và chọn Edge Gateways.
Bước 2: Chọn edge gateway.
Bước 3: Chọn Firewall dưới Services ở bên trái.
Bước 4: Nhấp vào Edit Rules.
Bước 5: Để thêm một quy tắc tường lửa, nhấp vào New ở phía trên.
Mỗi trafic sẽ được kiểm tra với quy tắc đầu tiên trong bảng tường lửa trước khi tiếp tục với các quy tắc sau trong bảng. Quy tắc đầu tiên trong bảng phù hợp với tham số traffic sẽ được thi hành.
Bước 6: Cấu hình quy tắc
Name: [Tên của quy tắc]
State: [Bật hoặc tắt quy tắc bằng công tắc]
Applications: Chọn cấu hình mặc định hoặc custom profiles được tạo ra trong 1.5
Source: Chọn Any hoặc Object được tạo ra ở 1.1, 1.2, 1.3, 1.4
Destination: Chọn Any hoặc Object được tạo ra ở 1.1, 1.2, 1.3, 1.4
Action: Allow\Reject\Drop
IP Protocol: IPv4/IPv6 hoặc cả hai
Logging: [Bật hoặc tắt bằng công tắc] bật để có địa chỉ dịch được thực hiện bởi quy tắc này được ghi lại
Bước 7: Nhấp vào Save.
Sau khi tạo các quy tắc tường lửa, chúng sẽ xuất hiện trong Edge Gateway Firewall Rules list. Bạn có thể di chuyển lên, xuống, chỉnh sửa hoặc xóa các quy tắc nếu cần.
Vui lòng không xóa tên quy tắc bắt đầu bằng HIGIO- (nếu có)
