ビュー:
東西セキュリティの設定は、変更監視、侵入防御、ファイアウォール、およびWebレピュテーション機能に必要なネットワーキング機能を有効にするために必要です。
以下の手順に従って、イーストウェストセキュリティを構成してください。

サービスプロファイルを追加

  1. NSX-Tマネージャで、上部の[セキュリティ]をクリックし、[POLICY]に切り替え、左側で[設定]を見つけて[Network Introspection Settings]をクリックします。
  2. メイン画面で、[サービスプロファイル]をクリックします。
  3. [Partner Service] ドロップダウンリストから、[Trend Micro Deep Security] を選択します。すでに選択されていない場合。
  4. [ADD SERVICE PROFILE]をクリックし、次のフィールドに入力してください。
    • [Service Profile Name]の名前を指定します。例: dsva-service-profile-ni
    • [Service Profile Description]の説明を入力してください。例: Deep Security Service Profile for Network Introspection
    • [ベンダーテンプレート]については、[Default (EBT)_Network]を選択してください。このテンプレートはTrend Micro Deep Securityサービスと同時に読み込まれました。
    nsxt3x-ew-01=04a3865c-b29c-4730-9309-b57d4fb9333d.png
  5. [ADD SERVICE PROFILE]ページは次のように表示されるはずです:
    nsxt3x-ew-02=04ec2be1-0d4e-49f6-88a8-233d8f815c96.png
  6. [SAVE]をクリックしてください。

サービスチェーンを追加

  1. メインペインで、[SERVICE CHAINS]タブをクリックし、[ADD CHAIN]をクリックします。次の手順に従ってフィールドに入力してください。
  2. [名前]の名前を指定します。例: dsva-service-chain
  3. [サービスセグメント]には、以前に作成されたサービスセグメントを選択します。例: [service-segment]
  4. [転送パス]の場合:
    • [転送経路を設定]をクリックしてダイアログボックスを開きます。
    • [ADD PROFILE IN SEQUENCE]をクリックし、以前に作成したサービスプロファイルを追加します。例では、[dsva-service-profile-ni]を選択しました。
    • [ADD]をクリックします。
    • [SAVE]をクリックしてください。
    nsxt3x-ew-03=2b645302-87bb-41a2-be78-2e12fcdcbd8e.png
    あなたは現在、メイン[SERVICE CHAINS]ページに戻っています。以下のSERVICE CHAIN構成を続行してください。
  5. [リバースパス]のために、[逆転送パス]チェックボックスを選択したままにしてください。
  6. [失敗ポリシー]には[許可]を選択してください。
    サービスチェーンは次のようになります:
    nsxt3x-ew-04=86c89ed4-1fd0-4c80-99fe-16618f1de6e5.png
  7. [SAVE]をクリックしてください。
    nsxt3x-ew-05=4a9d1868-07bc-45ce-aeed-ac6ba09d09e0.png

ネットワークインスペクションポリシーを追加

  1. 上部の[セキュリティ]をクリックし、[POLICY]に切り替え、左側で[East West Security]を見つけて[Network Introspection (E-W)]をクリックします。
  2. メイン画面で、[+ポリシーを追加]をクリックします。
  3. [名前]列で、[新規ポリシー]セル内をクリックして名前を変更します。例えば、dsva-policy-niを使用します。[リダイレクト先]については、サービスチェーンを選択します。この例では、[dsva-service-chain]を使用しました。
  4. [dsva-policy-ni]の横にあるチェックボックスを選択し、[+追加ルール]をクリックします。[dsva-policy-ni]の下にルールが表示されます。2つのルールが必要なので、もう一度[+追加ルール]をクリックします。
  5. 受信トラフィックの第1ルールを構成する:
    • [名前]の名前を入力してください。例: rule-in
    • [Sources]については、[任意]を保持してください。
    • [Destinations]には[dsva-protection-group]を選択してください。
    • [サービス]については、[任意]を保持してください。
    • [Applied To]には[dsva-protection-group]を選択してください。
    • [処理]には[Redirect]を選択してください。
  6. 送信トラフィックの2番目のルールを設定してください:
    • [名前]にはルールの名前を入力してください。例: rule-out
    • [Sources]には[dsva-protection-group]を選択してください。
    • [Destinations]については、[任意]を保持してください。
    • [サービス]については、[任意]を保持してください。
    • [Applied To]には[dsva-protection-group]を選択してください。
    • [処理]には[Redirect]を選択してください。
    dsva-protection-groupのVMとdsva-service-chainで指定されたDefault (EBT) _Networkテンプレートの間にマッピングがあります。
    ポリシーは次のようになります。
    nsxt3x-ew-06=dd6752c0-6051-4023-ae1a-3667134b307c.png
  7. [PUBLISH]をクリックしてポリシーとルールの作成を完了します。
    nsxt3x-ew-07=9ecd66d9-2239-415e-8cbf-98fbcee43a71.png

仮想マシンを論理スイッチに接続する

NSX-Tの東西セキュリティによってグループ内のVMを保護するためには、それらのVMを前のステップで作成された論理スイッチに接続する必要があります。
この例では、[ネットワークアダプタ1][logical-switch-overlay]に接続しました。vSphere Clientを通じてvCenterにアクセスすることで、VMがこのスイッチに接続されていることを確認できます。
nsxt3x-ew-08=0fa0801b-44cf-4d3f-9be7-094b2f8a0f17.png
NSX-Tでイースト-ウエストセキュリティを構成しました。