深信服超融合虚拟网络中分布式防火墙的功能与配置

深信服超融合虚拟网络中分布式防火墙的功能与配置
一、分布式防火墙功能概述
分布式防火墙是 HCI 超融合内置的网络安全组件，通过下发 ACL 规则实现访问控制。相当于在每台虚拟机的出口和入口都部署了一个防火墙，只要配置一条策略，无论虚拟机在哪个节点运行、IP 是否变更，后台都可以动态调整，始终提供安全防护。
1.1 核心能力
对超融合平台内部任意节点进行访问控制，支持按虚拟机、虚拟机组、虚拟机标签、IP 范围和 IP 组来定义策略。
针对 L4 层以下的流量进行防护。
对虚拟网络设备同样生效，可通过源目 IP 进行限制。
可限制物理网络到虚拟机、或虚拟机到物理网络方向的流量，只要规则中一端是虚拟机即可。
1.2 前提条件
已购买 aNet 授权。
1.3 注意事项
分布式防火墙针对 4 层以下 的防护。
当 HCI 被 SCP 纳管但未创建连通域时，分布式防火墙原有策略保持不变，但不显示。
当 HCI 被 SCP 纳管并创建连通域时，分布式防火墙功能不可用。
当 HCI 从低版本升级到 6.7.0 版本时，原有分布式防火墙策略会放在默认策略中。
HCI 6.7.0 之前版本：分布式防火墙对直连物理出口的虚拟机不会生效，且需要虚拟机桥接在虚拟交换机下才生效。
HCI 6.7.0 版本开始：分布式防火墙策略不再基于分布式交换机，虚拟机无论连接在哪里，都会受到分布式防火墙策略的限制。


二、策略优先级
分布式防火墙的策略优先级是从上往下匹配的。
2.1 配置步骤
根据 HCI 版本不同，配置入口路径有所区别：
方法一：登录 HCI 平台，点击 【虚拟网络】-【网络与安全】-【分布式防火墙】，配置指定的源、目的、服务和允许/拒绝动作即可。
方法二：登录 HCI 平台，点击 【网络】-【分布式防火墙】，配置指定的源、目的、服务和允许/拒绝动作即可。
具体操作流程：
进入分布式防火墙配置界面，点击 <创建>，进入创建策略页面。
配置策略名称和策略优先级（定义该策略在所有策略中的优先级顺序）。
点击 <添加规则>，配置规则的源和目的（IP 或虚拟机），选择服务或自定义服务协议和端口，选择规则动作（允许/拒绝），并启用该规则。
规则中的优先级数值越低优先级越高。
（6.9.1 及以上版本）可点击 <设置生效范围>，设置分布式防火墙策略的生效域，对自定义的虚拟机合集进行防火墙策略控制。
点击 <确定> 完成配置
2.2 高危操作提示
配置分布式防火墙前请务必确认：操作的 IP 组、虚拟机是否对应要限制的设备，以及限制的源目端数据流方向是否正确。若限制不当会导致网络不通，影响正常业务。