Sie können NSX-T Gateway-Firewall für die Firewall für den vertikalen Datenverkehr an der Layer-3-Grenze verwenden. Sie können die Gateway-Firewall als mandanten- bzw. zonenübergreifende Firewall für vertikalen Datenverkehr verwenden, zusammen mit der verteilten Firewall. Die Gateway-Firewall wird sowohl auf Tier-0- als auch auf Tier-1-Gateways unterstützt. Tier-0 unterstützt eine grundlegende statusbehaftete L3/L4-Firewall, während Tier-1 grundlegende L3/L4- und erweiterte L7-Funktionen wie L7-Anwendungs-ID, URL-Filterung, IDS/IPS, TLS-Prüfung, identitätsbasierte Firewall und Malware-Schutz unterstützt. Die Gateway-Firewall stellt Firewalldienste und andere Dienste bereit, die nicht verteilt werden können, wie z. B. NAT, DHCP, VPN und Lastausgleich, und benötigt die Dienste-Routerkomponente des Gateways. Dies bedeutet, dass die Gateway-Firewall in den NSX Edge-Transportknoten implementiert wird, bei denen es sich um dedizierte DPDK-Appliances handelt.

Im Allgemeinen umfasst die Vorbereitung der Gateway-Sicherheit die folgenden Schritte:

  • NSX Manager bereitstellen
  • NSX Edge-Transportknoten bereitstellen und Edge-Cluster bereitstellen
  • NSX Tier-0/1-Gateway erstellen
  • Dienstschnittstelle/Uplink-Schnittstelle auf Tier-1 oder externe Schnittstelle auf Tier-0 erstellen
  • Zonen-/VLAN-übergreifende Firewallrichtlinien definieren