获取验证码
今天一起来看看 NSX-T 分布式防火墙初始默认流量管控策略,全新部署未自定义规则时,默认允许虚拟机全部出站流量、拒绝所有主动入站访问流量。文章区分全局 DFW 原生默认规则与多租户项目内置策略差异,讲解规则从上至下匹配逻辑、默认规则修改操作步骤,梳理微分段安全基线改造方案,理清生产环境收紧流量权限的标准配置思路。
核心结论
全新部署、未手动修改的 NSX-T 分布式防火墙默认策略为:允许所有虚拟机出站流量,拒绝外部 / 其他虚拟机主动发起的入站流量;规则位于应用策略最底部,属于兜底匹配规则,无法直接删除,仅可修改放行 / 丢弃 / 拒绝动作。
有VMware全系列产品官方资源和定制版资源需求的可以移步:
出站流量(虚拟机主动向外发起访问)
虚拟机主动发起请求访问其他业务、外网、存储,无论目标网段、端口、协议,默认全部放行,无需提前配置允许规则。典型场景:虚拟机主动访问数据库、向外发起 HTTP 请求、对外 DNS 查询、客户端主动连接服务端。
入站流量(外部主动访问本机虚拟机)
任何其他虚拟机、网段、外网主动发起的连接请求,无匹配允许规则时全部拦截,不会自动放行。典型场景:外部机器主动 ping 虚拟机、外网端口扫描、跨业务网段主动连接业务端口,都会被默认规则阻断。
会话状态联动特性
DFW 具备状态检测能力,虚拟机主动出站建立的 TCP 会话,回程应答数据包会自动放行,不受入站默认拒绝限制;仅全新主动入站连接才会触发拦截。
全局默认分布式防火墙(整机 NSX 环境)
出厂兜底规则为单向管控:出站全允许、入站全拒绝,方便初期业务调试,避免虚拟机主动访问中断,适合实验室、上线前期临时过渡。
多租户独立项目内置默认策略
租户项目隔离规则更严格,仅允许同项目内部虚拟机互访,跨项目入站、出站全部阻断,不会沿用全局单向放行逻辑,租户环境需单独放通跨网段流量。
VMC 云原生 NSX 特殊环境
VMware Cloud on AWS 默认全局全放行双向流量,无入站拦截限制,需手动新增底部丢弃规则实现单向管控,和本地机房 NSX-T 默认策略存在差异。
规则匹配优先级
防火墙按紧急、基础设施、应用从上至下依次匹配数据包,所有自定义规则无匹配时,才会命中底部默认策略,自定义精细规则优先级高于兜底默认规则。
默认规则修改方式
登录 NSX 管理器进入安全 - 分布式防火墙,打开应用策略常规选项卡,展开默认 L3 规则,可将动作从允许出站 / 拒绝入站修改为双向丢弃,同时可开启流量日志记录拦截报文;修改前必须提前放通业务必要通信,避免业务断连。
动作选项区分
允许:完整放行对应方向流量;拒绝:拦截并向源端返回 ICMP 不可达 / TCP 重置报文;丢弃:静默丢弃数据包,无任何返回通知,生产微分段推荐使用丢弃模式。
适合临时测试场景
机房新部署集群、业务上线调试、实验室学习环境,无需提前批量配置放行规则,虚拟机主动访问业务、存储不会出现连通故障。
生产环境安全缺陷
仅拦截主动入站无法实现完整微分段,虚拟机可随意横向向外渗透,一旦单台主机被入侵,攻击者能主动扫描、访问集群内所有其他业务,存在横向扩散风险。
企业正式业务需把底部默认规则修改为双向全部丢弃,遵循最小权限原则,手动添加精准允许规则,仅开放业务必需端口与网段:
保留虚拟机主动访问数据库、中间件、存储的出站放行规则;
仅放通前端负载均衡、信任业务网段的指定入站端口;
开启默认规则流量日志,定期审计被拦截的异常扫描、探测流量。
误区:默认规则双向全部允许所有流量
纠正:本地机房标准 NSX-T 默认仅放行出站,主动入站连接默认拦截,仅 VMC 云环境才是双向全放行。
误区:默认规则可以直接删除
纠正:兜底默认规则无法删除,仅能修改拦截 / 放行动作,规则永久固定在策略表最底部。
误区:虚拟机主动建立连接的回程数据包会被入站规则拦截
纠正:DFW 支持状态检测,已建立会话的应答流量自动放行,仅全新入站连接触发拦截。
误区:多租户项目和全局 DFW 默认策略行为一致
纠正:租户项目自带严格隔离策略,跨项目双向流量默认全部阻断,不沿用全局出站放行逻辑。
标准本地机房 NSX-T 分布式防火墙出厂默认策略为允许全部虚拟机出站流量、拒绝所有主动入站连接,依靠状态检测放行会话回程报文,仅适合调试测试场景。生产环境建议将底部兜底规则修改为双向丢弃,通过自定义精细化规则管控业务通信,实现微分段安全隔离;区分全局环境、多租户项目、VMC 云环境三种不同默认行为,配置前提前梳理业务访问网段与端口,避免修改默认规则后业务连通中断。