PowerNSX で Edge Firewall のデフォルトルールを変更してみる。

PowerNSX で Edge Firewall のデフォルトルールを変更してみる。

今回は、PowerNSX で Edge Service Gateway(ESG)のファイアウォールの無効化 / 有効化と、

デフォルトルールのアクションの変更をしてみます。

今回も下記の VMware HoL 環境を利用しています。

HOL-1803-02-NET - VMware NSX - Distributed Firewall and Micro-Segmentation

http://labs.hol.vmware.com/HOL/catalogs/lab/3662

Edge ファイアウォールの無効化 / 有効化。

はじめは、Edge ファイアウォールが有効な状態です。

edge-fw-01.png

では、Edge ファイアウォールを無効にしてみます。

まず Get-NsxEdge  で ESG を取得します。

$edge = Get-NsxEdge -Name Perimeter-Gateway-01

そして、パラメータを変更して Set-NsxEdge で設定します。

$edge.features.firewall.enabled = "false"

$edge | Set-NsxEdge -Confirm:$false

edge-fw-02.png

Edge ファイアウォールが無効になりました。

edge-fw-03.png

今度は、有効化してみます。

$edge = Get-NsxEdge -Name Perimeter-Gateway-01

$edge.features.firewall.enabled = "true"

$edge | Set-NsxEdge -Confirm:$false

edge-fw-04.png

ファイアウォールが有効化されました。

edge-fw-05.png

デフォルトルール アクションの変更。

Edge ファイアウォールの「Default Rule」は、デフォルトではアクションが Accept になっています。

これを Deny に変更してみます。

edge-fw-06.png

PowerNSX でも、accept が設定されていることがわかります。

$edge = Get-NsxEdge -Name Perimeter-Gateway-01

$edge.features.firewall.defaultPolicy

edge-fw-07.png

それでは、Deny に変更してみます。

$edge.features.firewall.defaultPolicy.action = "deny"

$edge | Set-NsxEdge -Confirm:$false

edge-fw-08.png

Default Rule のアクションが Deny に設定変更されました。

edge-fw-09.png

ESG の設定内容の確認。

PowerNSX では、 Format-XML  で元の XML を確認することができます。

Get-NsxEdge の結果を Format-XML に渡すことで ESG の詳細な設定を確認することができます。

そして前項で指定した「$edge.features.firewall.defaultPolicy.action」といった設定箇所も

XML の構造をたどることで見つけることができます。

edge-fw-10.png

実は ESG の情報取得や設定は PowerNSX では難しいことがあり

今回のように Get-NsxEdge / Set-NsxEdge で設定したり、

REST API と同様に XML を扱うことになるケースもあったりします。

以上、PowerNSX による Edge ファイアウォールの設定変更例でした。

0 Kudos
Version history
Revision #:
1 of 1
Last update:
‎06-26-2018 02:23 PM
Updated by:
Leadership
 
View Article History