您可以使用 NSX-T 网关防火墙对位于第 3 层边界的南北向流量实施防火墙保护。从南北向角度讲,可以将网关防火墙与分布式防火墙一起用作租户间/区域间防火墙。Tier-0 和 Tier-1 网关均支持网关防火墙。Tier-0 支持基本的 L3/L4 有状态防火墙,而 Tier-1 则支持基本的 L3/L4 和高级 L7 功能,如 L7 应用程序 ID、URL 筛选、IDS/IPS、TLS 检查、身份防火墙和恶意软件防护。该网关防火墙提供无法分发的防火墙服务和其他服务(如 NAT、DHCP、VPN 和负载均衡),并且需要网关的服务路由器组件。这意味着将在 NSX Edge 传输节点(即专用 DPDK 设备)中实施网关防火墙。
总而言之,网关安全准备工作涉及以下步骤:
- 部署 NSX Manager
- 部署 NSX Edge 传输节点并置备 Edge 集群
- 创建 NSX Tier-0/1 网关
- 在 Tier-1 上创建服务接口/上行链路接口,或在 Tier-0 上创建外部接口
- 定义区域/VLAN 间防火墙策略