通过 NSX Advanced Firewall 服务,您的 SDDC 可以使用 NSX 高级功能。
- NSX 第 7 层上下文配置文件e
- NSX 分布式 IDS/IPS
- NSX 身份防火墙
- NSX 分布式 FQDN 筛选。
要在 SDDC 中激活 NSX Advanced Firewall 加载项,请打开加载项选项卡,然后单击 NSX Advanced Firewall 加载项卡视图上的激活。激活加载项后,NSX 高级安全功能将在 SDDC 中可用。
您可以在 NSX 产品文档中找到所有这些功能的详细文档。这些功能在内部部署 NSX 上的工作方式与它们在 VMware Cloud on AWS 中的工作方式之间存在一些操作差异。例如,《NSX 产品文档》中的大多数过程都包含一个步骤,告诉您使用管理员特权登录到 NSX Manager。在 VMware Cloud on AWS 中不需要执行此步骤,因为单击打开 NSX Manager 或打开网络与安全性选项卡即可授予您对 SDDC 中 NSX Manager 的管理员访问权限。以下各节列出了其他差异。
在 SDDC 中使用上下文配置文件
单击。通过更新分布式防火墙网格的配置文件列中的值,可以在分布式防火墙规则中指定上下文配置文件。有关详细信息,请参见 《NSX 产品文档》中的第 7 层防火墙规则工作流。
在 VMware Cloud on AWS 中,仅支持将上下文配置文件与分布式防火墙规则一起使用。它们不能与 MGW 或 CGW 防火墙规则一起使用。
在 SDDC 中使用 Distributed IDS/IPS
单击。有关详细信息,请参见 《NSX 产品文档》中的 Distributed IDS/IPS。
- 按集群启用
- 要使用此功能,请在一个或多个 SDDC 集群上启用该功能。在 Distributed IDS/IPS 页面上,单击 设置选项卡,然后在 为集群启用入侵检测和防护下选择一个或多个集群。由于 vMotion 当前不会在迁移虚拟机之前检查集群的 IDS/IPS 启用状态,因此我们建议在所有集群上启用此功能,以便迁移不会影响将 IDS/IPS 应用于任何工作负载虚拟机。
- 没有主机的访问权限
- 由于 VMware Cloud on AWS 不允许您访问 SDDC 主机,因此无法 验证主机上的 Distributed IDS 状态。
- 日志记录
- 在 VMware Cloud on AWS 中,此功能生成的事件将记录到 VMware Aria Operations for Logs。
在 SDDC 中使用身份防火墙
- 为一个或多个 SDDC 集群启用此功能
- 在使用此功能之前,您必须先执行 管理分布式防火墙规则 中的“配置身份防火墙设置”步骤,以启用此功能并将其应用于一个或多个 SDDC 集群。
- 创建防火墙规则以允许 Active Directory 访问
- 如果您使用的是 Active Directory,则还需要创建一个管理网关防火墙规则,以允许 NSX 访问您要使用的 Active Directory 服务器。如果在 SDDC 中对 Active Directory 的访问中断,此功能将不起作用,因此请务必确保在此处创建的防火墙规则在 Active Directory 服务器发生更改时仍然有效。有关详细信息,请参见 NSX 产品文档中的 添加 Active Directory。
- 日志记录
- 在 VMware Cloud on AWS 中,此功能生成的事件将记录到 VMware Aria Operations for Logs。
在 SDDC 中使用分布式 FQDN 筛选
在 VMware Cloud on AWS 中,仅支持将 NSX FQDN 筛选用于分布式防火墙规则。它不能与 MGW 或 CGW 防火墙规则一起使用。要使用此功能,请首先添加 DNS 侦测规则,如筛选特定域 (FQDN/URL) 中所述,作为策略中的第一个规则。您还必须为要支持 FQDN 筛选的所有分段启用预定义的 FQDNfiltering-spoofguard-profile 分段配置文件。有关将分段配置文件应用于 SDDC 网络分段的信息,请参见创建或修改网络分段。
停用 NSX Advanced Firewall 加载项
- 包含上下文配置文件的所有分布式防火墙规则
- 所有分布式 IDS/IPS 规则和配置文件
- 所有基于身份的防火墙规则
- 打开 SDDC 中的加载项选项卡。
- 在 NSX Advanced Firewall 加载项卡视图上,单击。
- 查看在停用之前必须移除的对象列表。确定对象已移除后,单击确认停用。
