分布式防火墙会监控虚拟机上的所有东西向流量。
本主题中的过程说明了添加防火墙策略的工作流,这些策略应用于 NSX 分布式防火墙或有 NSX 管理的对象的特定组。
如果您的
NSX 环境中注册了
Antrea 容器,则可以创建分布式防火墙策略并将其应用于
Antrea 容器集群。有关详细信息,请参见:
注:
NSX 不支持创建的规则与
NSX 管理的对象以及同一分布式防火墙策略中的
Antrea 容器集群对象混合使用。换言之,应用于
NSX 分布式防火墙和
Antrea 容器集群的防火墙规则必须位于不同的策略中。
前提条件
如果您要为身份防火墙创建规则,首先创建一个具有 Active Directory 成员的组。要查看 IDFW 支持的协议,请参见
身份防火墙支持的配置。使用客户机侦测创建 DFW 规则时,请确保
应用对象字段应用于目标组。
注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机
开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。
请注意,如果您结合使用第 7 层和 ICMP 或者任何其他协议,则需要最后放置第 7 层防火墙规则。将不会执行排在第 7 层任意/任意规则之后的任何规则。
要了解有关分布式防火墙策略和规则创建的特定于联合的详细信息,请参见从全局管理器创建 DFW 策略和规则。