您可以在全局管理器中创建全局跨度、区域跨度或本地跨度的分布式防火墙规则和网关防火墙规则。
从全局管理器中创建的分布式防火墙策略和规则以及网关防火墙策略和规则将同步到本地管理器,显示在本地管理器中并带有 图标。对于在全局管理器中创建的规则,您只能从全局管理器中进行编辑,无法从本地管理器中对其进行编辑。
由分布式防火墙 (DFW) 策略和规则构成的联合
通过以下示例可了解受支持的防火墙工作流:
- 在该示例中,在全局管理器中注册了三个名为 Location1、Location2 和 Location3 的本地管理器。
- 全局管理器会自动创建以下区域:
- Global
- Location1
- Location2
- Location3
- 您创建一个名为 Region1 的自定义区域,其中包括 Location2 和 Location3 本地管理器。
- 您创建以下组:
- Group1:Global 区域。
- Group2:Location1 区域。
- Group3:Location2 区域。
- Group4:Location3 区域。
- Group5:Region1 区域。
NSX-T Data Center 3.0.1 中的 DFW 策略和规则
支持以下用例:
- 组跨度:您可以在全局管理器中创建具有全局、本地或区域跨度的组。请参见从全局管理器创建组。
- 动态组:您可以根据动态条件(如标记)创建组。
- DFW 策略跨度:可以将 DFW 策略应用于全局、区域或本地跨度。
- DFW 规则的源和目标组:源字段中的所有组或目标字段中的所有组必须与 DFW 策略的跨度匹配。系统自动在策略跨度以外的位置中创建组。有关 DFW 规则中的有效和无效源和目标组的示例,请参阅下表:
表 1. 3.0.1 中基于 DFW 策略跨度的 DFW 规则的有效源和目标 DFW 策略跨度(应用对象) 3.0.1 版的 DFW 规则中支持的场景 Global在该示例中,该区域包含以下组: - Group1
对于具有 Global 区域跨度的 DFW 策略,在 DFW 规则的源和目标中允许使用所有组。以下是一些支持的典型场景(使用我们的示例): - 源:Group2;目标:Group3
- 源:Group3;目标:Group4
- 源:Group4;目标:Any
- 源:Group1;目标:Group2
Location1:为位置 1 中的本地管理器自动创建的区域。 在该示例中,该区域包含以下组: - Group2
对于跨度为一个位置(本示例中的 Location1)的 DFW 策略,DFW 规则的源或目标组必须属于 Location1。支持以下场景: - 源:Group2;目标:Group2
- 源:Group3;目标:Group2
- 源:Group2;目标:Group4
- 源:Group1;目标:Group2
以下是为该策略跨度选择的不支持的组示例。源和目标组不在该策略的跨度内:- 源:Group5;目标:Group3
- 源:Group1;目标:Group3
Region1:跨 Location2 和 Location3 的用户创建的区域。 在该示例中,该区域包含以下组: - Group5
对于跨度为用户创建的区域(本示例中的 Region1)的 DFW 策略,DFW 规则的源或目标组必须包含属于 Region1 的位置。
支持以下场景:- 源:Group5;目标:Group2
- 源:Group2;目标:Group5
- 源:Group2;目标:Group3
- 源:Group3;目标:Group4
- 源:Any;目标:Group5
- 源:Group4;目标:Any
以下是为该策略跨度选择的不支持的组示例。源和目标组不在该策略的跨度内:- 源:Group2;目标:Group2
- 源:Group1;目标:Group2
- 源:Group1;目标:Group1
- 如果某个组包含分段,则 DFW 策略的跨度必须大于或等于分段的跨度。例如,如果某个组包含跨度为 Location1 的分段,则无法将 DFW 策略应用于 Region1 区域,因为它仅包含 Location2 和 Location3。
NSX-T Data Center 3.0.0 中的 DFW 策略和规则
- 组跨度:您可以在全局管理器中创建具有全局、本地或区域跨度的组。请参见从全局管理器创建组。
- 动态组:您可以根据动态条件(如标记)创建组。
- DFW 策略跨度:也可以将 DFW 策略应用于全局、区域或本地跨度。
- DFW 规则的源和目标组:源字段中的所有组以及目标字段中的所有组必须与 DFW 策略的跨度匹配。
请参阅下表以了解策略跨度如何确定哪些源和目标组在 DFW 规则中有效。
表 2. 3.0.0 中基于 DFW 策略跨度的 DFW 规则的有效源和目标 DFW 策略跨度(应用对象) 在 3.0.0 版的 DFW 规则中支持的源和目标组 Global。 在该示例中,该区域包含以下组: - Group1
对于跨 Global 区域的 DFW 策略,您可以在 DFW 规则的源和目标中选择关键字 Any 或 Global 组: 例如,- 源:Group1;目标:Group1
- 源:Group1;目标:Any
- 源:Any;目标:Group1
- 源:Any;目标:Any
小心: 可以创建其他规则配置,但不支持这些配置,例如: 。- 源:Group2;目标:Group3
- 源:Group4;目标:Group1
Location1:为位置 1 中的本地管理器自动创建的区域。 在该示例中,该区域包含以下组: - Group2
对于跨度为一个位置的区域(本示例中的 Location1)的 DFW 策略,源和目标组必须属于该区域。 例如,支持以下规则:- 源:Group2;目标:Group2
小心: 可以创建其他规则配置,但不支持这些配置,例如: 。- 源:Group2;目标:Group3
- 源:Group4;目标:Group2
Region1:跨 Location2 和 Location3 的自定义区域。 在该示例中,该区域包含以下组: - Group5
对于跨度为自定义区域(本示例中的 Region1)的 DFW 策略,源和目标组必须属于该区域。
例如,支持以下规则:- 源:Group5;目标:Group5
- 源:Group5;目标:Any
- 源:Any;目标:Group5
小心: 可以创建其他规则配置,但不支持这些配置,例如: 。- 源:Group2;目标:Group3
- 源:Group2;目标:Group4
- 源:Group3;目标:Group2
- 源:Group4;目标:Group2
- 如果某个组包含分段,则 DFW 策略的跨度必须大于或等于分段的跨度。例如,如果某个组包含跨度为 Location1 的分段,则无法将 DFW 策略应用于 Region1 区域,因为它仅包含 Location2 和 Location3。
由网关防火墙策略和规则构成的联合
可以将网关防火墙规则应用于网关跨度内包含的所有位置、特定位置的所有接口,或者一个或多个位置的特定接口。
注: 网关防火墙规则源组和目标组的跨度必须与要在其上创建规则的网关的跨度相同或属于其子集。
网关防火墙规则的跨度(应用对象) | 应用对象 |
---|---|
将规则应用于网关 | 规则应用于连接到此网关的所有接口,即该网关延伸到的所有位置。 |
选择一个位置,然后选择“将规则应用于所有实体”。 | 规则仅应用于选定位置。 |
选择一个位置,然后从该位置选择接口。对其他位置重复上述操作,以便为要将规则应用到的每个位置选择接口。 | 规则仅应用于选定接口。 |