以下术语将在整个分布式防火墙中使用。
| 构造 | 定义 |
|---|---|
| 应用对象 | 定义每个策略的实施范围,主要用于优化 ESXi 主机上的资源。这有助于为特定区域、租户或应用程序定义目标策略,而不会影响为其他应用程序、租户和区域定义的其他策略。不能在“应用对象”文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。 |
| 上下文配置文件 | 定义上下文感知的属性,其中包括应用程序 ID 和域名。此外,还包括子属性,如应用程序版本或密码集。防火墙规则可以包含上下文配置文件以启用第 7 层防火墙规则。 |
| 防火墙类别 | NSX 通过五个类别处理分布式防火墙和网关防火墙的防火墙规则:以太网、紧急、基础架构、环境和应用程序。类别将按照从左到右(即:以太网 > 紧急 > 基础架构 > 环境 > 应用程序)的顺序进行评估,而类别中的分布式防火墙规则将按照从上到下的顺序进行评估。 |
| 防火墙草稿 | 草稿是一个包含策略部分和规则的完整分布式防火墙配置。草稿可以自动保存或手动保存,并且可以立即发布或先保存以供将来发布。 |
| 组 | 组包括静态和动态添加的不同对象,可用作防火墙规则的源和目标字段。可以将组配置为包含虚拟机、IP 集、MAC 集、逻辑端口、逻辑交换机、AD 用户组和其他嵌套组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。 创建组时,必须包括该组所属的域,默认情况下为默认域。 组以前称为 NS 组或安全组。 |
| 重定向策略 | 确保为特定服务链分类的流量重定向到该服务链。它基于与 NSX 安全组和服务链相匹配的流量模式。与模式匹配的所有流量重都沿服务链重定向。 |
| 规则 | 作为流量评估依据和定义在匹配时所执行操作的一组参数。规则包括源和目标、服务、上下文配置文件、日志记录以及标记等参数。 |
| 服务 | 定义端口和协议的组合。用于根据端口和协议对流量进行分类。可以在防火墙规则中使用预定义的服务和用户定义的服务。 |
| 服务链 | 管理员定义的服务配置文件的逻辑序列。服务配置文件按服务链中定义的顺序自检网络流量。例如,第一个服务配置文件是防火墙,第二个服务配置文件是监控器,依此类推。服务链可以为不同的流量方向(输入/输出)指定不同的服务配置文件序列。 |
| 策略 | 安全策略包括防火墙规则和服务配置等各种安全元素。策略以前称为防火墙区域。 |
