Sie können NSX-T Gateway-Firewall für die Firewall für den vertikalen Datenverkehr an der Layer-3-Grenze verwenden. Sie können die Gateway-Firewall als mandanten- bzw. zonenübergreifende Firewall für vertikalen Datenverkehr verwenden, zusammen mit der verteilten Firewall. Die Gateway-Firewall wird sowohl auf Tier-0- als auch auf Tier-1-Gateways unterstützt. Tier-0 unterstützt eine grundlegende statusbehaftete L3/L4-Firewall, während Tier-1 grundlegende L3/L4- und erweiterte L7-Funktionen wie L7-Anwendungs-ID, URL-Filterung, IDS/IPS, TLS-Prüfung, identitätsbasierte Firewall und Malware-Schutz unterstützt. Die Gateway-Firewall stellt Firewalldienste und andere Dienste bereit, die nicht verteilt werden können, wie z. B. NAT, DHCP, VPN und Lastausgleich, und benötigt die Dienste-Routerkomponente des Gateways. Dies bedeutet, dass die Gateway-Firewall in den NSX Edge-Transportknoten implementiert wird, bei denen es sich um dedizierte DPDK-Appliances handelt.
Im Allgemeinen umfasst die Vorbereitung der Gateway-Sicherheit die folgenden Schritte:
- NSX Manager bereitstellen
- NSX Edge-Transportknoten bereitstellen und Edge-Cluster bereitstellen
- NSX Tier-0/1-Gateway erstellen
- Dienstschnittstelle/Uplink-Schnittstelle auf Tier-1 oder externe Schnittstelle auf Tier-0 erstellen
- Zonen-/VLAN-übergreifende Firewallrichtlinien definieren