您可以在全局管理器中创建全局跨度、区域跨度或本地跨度的分布式防火墙规则和网关防火墙规则。
NSX 联合 安全性可提供以下优势:
- 在使用 NSX 联合 管理的所有部署中提供一致的安全策略。
- 有效的灾难恢复,可确保已建立的安全框架的连续性。
- 当一个位置中的计算资源不足时,可将网络和安全框架扩展到另一个位置。
从全局管理器中创建的分布式防火墙策略和规则以及网关防火墙策略和规则将同步到本地管理器,显示在本地管理器中并带有 图标。对于在全局管理器中创建的规则,您只能从全局管理器中进行编辑,无法从本地管理器中对其进行编辑。
在 NSX 4.0.1.1 和更高版本中,可使用一个按钮在 全局管理器 级别激活和停用分布式防火墙。分布式防火墙实施更改在 全局管理器 级别报告,无法在本地管理器级别覆盖。要在全局管理器上激活分布式防火墙,请导航到 ,然后切换分布式服务状态开关。
由分布式防火墙 (DFW) 策略和规则构成的 NSX 联合
通过以下示例可了解受支持的防火墙工作流:
- 在该示例中,在全局管理器中注册了三个分别名为 Location1、Location2 和 Location3 的本地管理器。
- 全局管理器会自动创建以下区域:
- Global
- Location1
- Location2
- Location3
- 您创建一个名为 Region1 的自定义区域,其中包括 Location2 和 Location3 本地管理器。
- 您创建以下组:
- Group1:Global 区域。
- Group2:Location1 区域。
- Group3:Location2 区域。
- Group4:Location3 区域。
- Group5:Region1 区域。
DFW 策略和规则
支持以下用例:
- 组跨度:您可以在全局管理器中创建具有全局、本地或区域跨度的组。请参见从全局管理器创建组。
- 动态组:您可以根据动态条件(如标记)创建组。
- DFW 策略跨度:可以将 DFW 策略应用于全局、区域或本地跨度。
- DFW 规则的源和目标组:源字段中的所有组或目标字段中的所有组必须与 DFW 策略的跨度匹配。系统自动在策略跨度以外的位置中创建组。有关 DFW 规则中的有效和无效源和目标组的示例,请参阅下表:
表 1. 基于 DFW 策略跨度的 DFW 规则的有效源和目标 DFW 策略跨度(应用对象) DFW 规则中支持的场景 Global 在此示例中,该区域包含以下组: - Group1
对于具有 Global 区域跨度的 DFW 策略,在 DFW 规则的源和目标中允许使用所有组。以下是一些支持的典型场景(使用我们的示例): - 源:Group2;目标:Group3
- 源:Group3;目标:Group4
- 源:Group4;目标:Any
- 源:Group1;目标:Group2
Location1:为位置 1 中的本地管理器自动创建的区域。 在该示例中,该区域包含以下组: - Group2
对于跨度为一个位置(本示例中的 Location1)的 DFW 策略,DFW 规则的源或目标组必须属于 Location1。支持以下场景: - 源:Group2;目标:Group2
- 源:Group3;目标:Group2
- 源:Group2;目标:Group4
- 源:Group1;目标:Group2
以下是为该策略跨度选择的不支持的组示例。源和目标组不在该策略的跨度内:- 源:Group5;目标:Group3
- 源:Group1;目标:Group3
Region1:跨 Location2 和 Location3 的用户创建的区域。 在该示例中,该区域包含以下组: - Group5
对于跨度为用户创建的区域(本示例中的 Region1)的 DFW 策略,DFW 规则的源或目标组必须包含属于 Region1 的位置。
支持以下场景:- 源:Group5;目标:Group2
- 源:Group2;目标:Group5
- 源:Group2;目标:Group3
- 源:Group3;目标:Group4
- 源:Any;目标:Group5
- 源:Group4;目标:Any
以下是为该策略跨度选择的不支持的组示例。源和目标组不在该策略的跨度内:- 源:Group2;目标:Group2
- 源:Group1;目标:Group2
- 源:Group1;目标:Group1
- 如果某个组包含分段,则 DFW 策略的跨度必须大于或等于分段的跨度。例如,如果某个组包含跨度为 Location1 的分段,则无法将 DFW 策略应用于 Region1 区域,因为它仅包含 Location2 和 Location3。
由网关防火墙策略和规则构成的 NSX 联合
可以将网关防火墙规则应用于网关跨度内包含的所有位置、特定位置的所有接口,或者一个或多个位置的特定接口。
注: 网关防火墙规则源组和目标组的跨度必须与要在其上创建规则的网关的跨度相同或属于其子集。
网关防火墙规则的跨度(应用对象) | 应用对象 |
---|---|
将规则应用于网关 | 规则应用于连接到此网关的所有接口,即该网关延伸到的所有位置。 |
选择一个位置,然后选择“将规则应用于所有实体”。 | 规则仅应用于选定位置。 |
选择一个位置,然后从该位置选择接口。对其他位置重复上述操作,以便为要将规则应用到的每个位置选择接口。 | 规则仅应用于选定接口。 |