NSX Intelligence 功能生成的微分段建议包括应用程序的安全策略、策略安全组和服务。
功能概览
NSX Intelligence 建议基于在选定的策略组、虚拟机或物理服务器的计算成员之间发生的网络流量模式。这些建议可以通过关联您 NSX 环境中已发生的通信流量模式,来帮助您实施更动态的安全策略。
安全策略建议是应用程序类别的东西向分布式防火墙 (DFW) 安全策略。
安全组建议由虚拟机或物理服务器组成,将针对指定的时间段和边界分析这些实体的流量。
服务建议是由指定的虚拟机或物理服务器中的应用程序使用的服务对象,但尚未在 NSX 清单中定义这些服务。
用于生成建议的工作流
下面简要说明了 NSX Intelligence 如何生成微分段建议。
在使用所需的特权登录到 NSX Manager 后,启动新的建议分析。
可以通过多种方法请求 NSX Intelligence 建议,但最直接的方法是单击 选项卡,然后单击启动新的建议。
至少提供生成新的 NSX Intelligence DFW 建议所需的最少信息。
NSX 环境中作为输入的任何计算实体(组、虚拟机或物理服务器)。如果您选择的组与现有的 L4 或 L7 DFW 区域相关联,您还要指定是使用一个或多个现有 DFW 区域进行建议分析,还是让系统创建新的 DFW 区域。系统可能会建议更新现有 DFW 区域中的规则,并在易受攻击的地方为工作负载之间的输入流量、输出流量或应用程序内流量提供更好的保护。
为提供的计算实体或现有安全策略规则分析网络流量的时间范围。您可以修改默认时间范围过去 1 个月。
- (可选)
修改高级选项部分中使用的默认值。
请参见生成新的 NSX Intelligence 建议以了解详细信息。
单击启动发现。
在建议分析作业状态变为准备发布后,检查生成的 DFW 建议并进行发布。
建议分析完成后,您可以查看建议的详细信息,并根据需要在建议发布之前对其进行修改。请参见查看和发布生成的 NSX Intelligence 建议以了解详细信息。
- (可选)
将生成的 NSX Intelligence 建议导出到 JSON 格式的文件或 CSV 格式的文件中。
如有必要,可使用外部 REST API 工具修改该 JSON 文件,然后再将其提交到 NSX Policy Manager 进行处理。有关更多信息,请参见将 NSX Intelligence 建议导出为 JSON 文件和将 NSX Intelligence 建议导出为 CSV 文件。
请参见以下有关 NSX Intelligence 如何生成建议的信息。