Sie können Regeln für verteilte Firewalls und Gateway-Firewalls über den Globaler Manager mit globalen, regionalen oder lokalen Geltungsbereichen erstellen.

Im globalen Manager erstellte Richtlinien und Regeln für verteilte Firewalls und Gateway-Firewalls werden mit lokalen Managern synchronisiert und in den lokalen Managern mit einem GM-Symbol angezeigt. Sie können die im globalen Manager erstellten Regeln nur über den globalen Manager bearbeiten. Sie können nicht von lokalen Managern bearbeitet werden.

Richtlinien und Regeln für den Verbund verteilter Firewalls (DFW)

Verwenden Sie dieses Beispiel, um die unterstützten Firewall-Workflows nachzuvollziehen:

  • In diesem Beispiel sind für den globalen Manager drei lokale Manager registriert, namens: Speicherort1, Speicherort2 und Speicherort3.
  • Der globale Manager erstellt automatisch die folgenden Regionen:
    • Global
    • Speicherort1
    • Speicherort2
    • Speicherort3
  • Sie erstellen eine benutzerdefinierte Region mit dem Namen: Region1, die die lokalen Manager Speicherort2 und Speicherort3 enthält.
  • Sie können die folgenden Gruppen erstellen:
    • Gruppe1: Region Global.
    • Gruppe2: Region Speicherort1.
    • Gruppe3: Region Speicherort2.
    • Gruppe4: Region Speicherort3.
    • Gruppe5: Region Region1.

DFW-Richtlinien und -Regeln in NSX-T Data Center 3.0.1

Die folgenden Anwendungsfälle werden unterstützt:

  • Geltungsbereich der Gruppe: Sie können Gruppen im Globaler Manager mit einem globalen, lokalen oder regionalen Geltungsbereich erstellen. Siehe Erstellen von Gruppen in Globaler Manager.
  • Dynamische Gruppen: Sie können Gruppen erstellen, die auf dynamischen Kriterien basieren, z. B. auf Tags.
  • Geltungsbereich der DFW-Richtlinie: DFW-Richtlinien können auf einen globalen, regionalen oder lokalen Geltungsbereich angewendet werden.
  • Quell- und Zielgruppen der DFW-Regel: Entweder alle Gruppen im Quellfeld oder alle Gruppen im Zielfeld müssen mit dem Geltungsbereich der DFW-Richtlinie übereinstimmen. Das System erstellt automatisch Gruppen an Speicherorten, die sich außerhalb des Geltungsbereichs der Richtlinie befinden.

    In der Tabelle finden Sie Beispiele für gültige und ungültige Quell- und Zielgruppen in DFW-Regeln:
    Tabelle 1. Gültige Quelle und gültiges Ziel einer DFW-Regel basierend auf dem Geltungsbereich der DFW-Richtlinie in 3.0.1
    Geltungsbereich der DFW-Richtlinie („Angewendet auf“) In Version 3.0.1 in DFW-Regeln unterstützte Szenarien.
    Global

    In diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe1
    Für eine DFW-Richtlinie mit dem Geltungsbereich Global für die Region sind in der Quelle und im Ziel der DFW-Regel alle Gruppen zulässig. Im Folgenden finden Sie einige typische unterstützte Szenarien, bei denen unser Beispiel verwendet wird:
    • Quelle: Gruppe2; Ziel Gruppe3
    • Quelle: Gruppe3; Ziel Gruppe4
    • Quelle: Gruppe4; Ziel: Beliebig
    • Quelle: Gruppe1; Ziel Gruppe2.
    Speicherort1: automatisch erstellte Region für den lokalen Manager an Speicherort 1.

    In diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe2
    Für eine DFW-Richtlinie mit einem Geltungsbereich von einem Speicherort: Speicherort1 in diesem Beispiel, muss entweder die Quell- oder die Zielgruppe für die DFW-Regel zum Speicherort1 gehören.

    Die folgenden Szenarien werden unterstützt:
    • Quelle: Gruppe2; Ziel Gruppe2
    • Quelle: Gruppe3; Ziel Gruppe2.
    • Quelle: Gruppe2; Ziel Gruppe4.
    • Quelle Gruppe1; Ziel Gruppe2.
    Im Folgenden finden Sie Beispiele für die nicht unterstützte Gruppenauswahl für diesen Richtliniengeltungsbereich. Sowohl die Quell- als auch die Zielgruppen liegen außerhalb des Geltungsbereichs der Richtlinie:
    • Quelle Gruppe5; Ziel Gruppe3.
    • Quelle Gruppe1; Ziel Gruppe3.
    Region1: vom Benutzer erstellte Region, die sich über Speicherort2 und Speicherort3 erstreckt.

    In diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe5

    Für eine DFW-Richtlinie einer vom Benutzer erstellten Region als Geltungsbereich: Region1 in diesem Beispiel, muss entweder die Quell- oder die Zielgruppe für die DFW-Regel Speicherorte enthalten, die zu Region1 gehören.

    Die folgenden Szenarien werden unterstützt:
    • Quelle: Gruppe5; Ziel Gruppe2.
    • Quelle: Gruppe2; Ziel Gruppe5.
    • Quelle: Gruppe2; Ziel Gruppe3.
    • Quelle: Gruppe3; Ziel Gruppe4.
    • Quelle: Beliebig; Ziel: Gruppe5
    • Quelle Gruppe4; Ziel Beliebig
    Im Folgenden finden Sie Beispiele für die nicht unterstützte Gruppenauswahl für diesen Richtliniengeltungsbereich. Sowohl die Quell- als auch die Zielgruppen liegen außerhalb des Geltungsbereichs der Richtlinie:
    • Quelle Gruppe2; Ziel Gruppe2.
    • Quelle Gruppe1; Ziel Gruppe2.
    • Quelle Gruppe1; Ziel Gruppe1.
  • Wenn eine Gruppe Segmente enthält, muss der Geltungsbereich der DFW-Richtlinie größer als oder gleich dem Geltungsbereich des Segments sein. Wenn es sich z. B. um eine Gruppe mit einem Segment handelt, dessen Geltungsbereich Speicherort1 ist, kann die DFW-Richtlinie nicht auf die Region Region1 angewendet werden, weil diese nur Speicherort2 und Speicherort3 enthält.

DFW-Richtlinien und -Regeln in NSX-T Data Center 3.0.0

  • Geltungsbereich der Gruppe: Sie können Gruppen im Globaler Manager mit einem globalen, lokalen oder regionalen Geltungsbereich erstellen. Siehe Erstellen von Gruppen in Globaler Manager.
  • Dynamische Gruppen: Sie können Gruppen erstellen, die auf dynamischen Kriterien basieren, z. B. auf Tags.
  • Geltungsbereich der DFW-Richtlinie: DFW-Richtlinien können auf einen globalen, regionalen oder auch auf einen lokalen Geltungsbereich angewendet werden.
  • Quell- und Zielgruppen der DFW-Regel: Alle Gruppen im Quellfeld und alle Gruppen im Zielfeld müssen mit dem Geltungsbereich der DFW-Richtlinie übereinstimmen.
    In der Tabelle erfahren Sie, wie anhand des Geltungsbereichs der Richtlinie festgelegt wird, welche Quell- und Zielgruppen in einer DFW-Regel gültig sind.
    Tabelle 2. Gültige Quelle und gültiges Ziel einer DFW-Regel basierend auf dem Geltungsbereich der DFW-Richtlinie in 3.0.0
    Geltungsbereich der DFW-Richtlinie („Angewendet auf“) In DFW-Regeln in Version 3.0.0 unterstützte Quell- und Zielgruppen.
    Global.

    In diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe1
    Für eine DFW-Richtlinie, deren Geltungsbereich die Region Global ist, können Sie entweder das Schlüsselwort Any oder eine Global-Gruppe in der Quelle und dem Ziel für eine DFW-Regel auswählen:
    Beispiel:
    • Quelle: Gruppe1; Ziel: Gruppe1.
    • Quelle: Gruppe1; Ziel Beliebig
    • Quelle: Beliebig; Ziel: Gruppe1.
    • Quelle: Beliebig; Ziel: Beliebig
    Vorsicht: Es können zwar weitere Regelkonfigurationen erstellt werden, sie werden jedoch nicht unterstützt. Beispiel: .
    • Quelle: Gruppe2; Ziel: Gruppe3
    • Quelle: Gruppe4; Ziel: Gruppe1
    Speicherort1: automatisch erstellte Region für den lokalen Manager an Speicherort 1.

    In diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe2
    Für eine DFW-Richtlinie, deren Geltungsbereich die Region für einen Speicherort ist: Speicherort1 in diesem Beispiel, müssen sowohl die Quell- als auch die Zielgruppen zu dieser Region gehören.
    Beispielsweise werden die folgenden Regeln unterstützt:
    • Quelle: Gruppe2; Ziel: Gruppe2
    Vorsicht: Es können zwar weitere Regelkonfigurationen erstellt werden, sie werden jedoch nicht unterstützt. Beispiel: .
    • Quelle: Gruppe2; Ziel: Gruppe3
    • Quelle: Gruppe4; Ziel : Gruppe2
    Region1: benutzerdefinierte Region, die sich auf Speicherort2 und Speicherort3 erstreckt.

    In diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe5

    Für eine DFW-Richtlinie, deren Geltungsbereich die benutzerdefinierte Region ist: Region1 in diesem Beispiel, müssen sowohl die Quell- als auch die Zielgruppen zu dieser Region gehören.

    Beispielsweise werden die folgenden Regeln unterstützt:
    • Quelle: Gruppe5; Ziel: Gruppe5.
    • Quelle: Gruppe5; Ziel: Beliebig.
    • Quelle: Beliebig; Ziel: Gruppe5.
    Vorsicht: Es können zwar weitere Regelkonfigurationen erstellt werden, sie werden jedoch nicht unterstützt. Beispiel: .
    • Quelle: Gruppe2 und Ziel: Gruppe3
    • Quelle: Gruppe2; Ziel: Gruppe4
    • Quelle: Gruppe3; Ziel: Gruppe2
    • Quelle: Gruppe4; Ziel : Gruppe2
  • Wenn eine Gruppe Segmente enthält, muss der Geltungsbereich der DFW-Richtlinie größer als oder gleich dem Geltungsbereich des Segments sein. Wenn es sich z. B. um eine Gruppe mit einem Segment handelt, dessen Geltungsbereich Speicherort1 ist, kann die DFW-Richtlinie nicht auf die Region Region1 angewendet werden, weil diese nur Speicherort2 und Speicherort3 enthält.

Verbund von Richtlinien und Regeln für Gateway-Firewalls

Gateway-Firewallregeln können auf alle im Geltungsbereich des Gateways enthaltenen Speicherorte oder auf alle Schnittstellen eines bestimmten Speicherorts oder auf bestimmte Schnittstellen eines oder mehrerer Speicherorte angewendet werden.
Hinweis: Der Geltungsbereich der Quell- und Zielgruppen für die Firewallregeln des Gateways muss mit dem Geltungsbereich des Gateways identisch sein, auf dem Sie die Regel erstellen, bzw. muss er eine Teilmenge davon sein.
Tabelle 3. Optionen für den Geltungsbereich von Gateway-Firewallregeln
Geltungsbereich der Gateway-Firewallregel („Angewendet auf“) Angewendet auf
Regel auf Gateway anwenden Die Regel gilt für alle mit diesem Gateway verbundenen Schnittstellen und an allen Speicherorten, auf die dieses Gateway ausgeweitet wird.
Wählen Sie einen Speicherort aus und wählen Sie „Regel auf alle Elemente anwenden“ aus. Die Regel gilt nur für den ausgewählten Speicherort.
Wählen Sie einen Speicherort aus und wählen Sie dann Schnittstellen von diesem Speicherort aus. Wiederholen Sie den Vorgang für andere Speicherorte und wählen Sie dabei Schnittstellen für jeden Speicherort aus, auf den Sie die Regel anwenden möchten. Die Regel gilt nur für die ausgewählten Schnittstellen.