Firewall-Ausschlusslisten bestehen aus Gruppen, die basierend auf der Gruppenmitgliedschaft von einer Firewallregel ausgeschlossen werden können.

NSX unterstützt vom System ausgeschlossene Gruppen und vom Benutzer ausgeschlossene Gruppen:

  • Vom System ausgeschlossene Gruppen werden vom -System verwaltet und sind schreibgeschützt für Benutzer. Vom System ausgeschlossene Gruppen umfassen Malware-Schutz- und Service Insertion-SVMs zusammen mit NSX Manager und NSX Edge-Appliances, die über einen konfigurierten Compute Manager bereitgestellt werden.
  • Vom Benutzer ausgeschlossene Gruppen werden vom Benutzer verwaltet und sind standardmäßig leer.

    Virtuelle Maschinen wie Lastausgleichsdienste, Firewalls, virtuelle Netzwerkfunktionen (Routing, Switching usw.) und alle virtuellen Maschinen, die den promiskuitiven Modus erfordern, müssen sich in einer DFW-Ausschlussliste befinden. VMware unterstützt das Hinzufügen dieser virtuellen Maschinen zur DFW nicht. Sie müssen manuell zu vom Benutzer ausgeschlossenen Gruppen hinzugefügt werden.

In NSX Manager-Clustern muss der erste Knoten manuell zur Ausschlussliste der verteilten Firewall hinzugefügt werden.

Benutzerdefinierte Gruppen können von Firewallregeln ausgeschlossen werden, und es können maximal 100 Gruppen in der Liste enthalten sein. IP Sets, MAC-Sets und Active Directory-Gruppen können nicht als Mitglieder in eine Gruppe eingeschlossen werden, die in einer Ausschlussliste für die Firewall verwendet wird.

Ausschlusslisten werden auf einem Globaler Manager (GM) in NSX-Verbund unterstützt. Auf einem Lokaler Manager (LM) gibt es zwei Ausschlusslisten: eine vom GM und die eigene Ausschlussliste von LM. Alle Mitglieder beider Listen sind ausgeschlossen.

Antrea-Gruppen werden in einer Firewall-Ausschlussliste nicht unterstützt.

Prozedur

  1. Navigieren Sie zu Sicherheit > Verteilte Firewall > Einstellungen.
  2. Um die schreibgeschützte Ausschlussliste anzuzeigen, wählen Sie die Registerkarte Vom System ausgeschlossene VMs aus.
  3. Wählen Sie den NSX Manager einer bestimmten lokalen Site für die Anzeige aus. Sie können die Liste der vom System ausgeschlossenen VMs filtern nach:
    • Name
    • Betriebssystem
    • Betriebszustand
    • Quelle
    • Tag
    • Tag-Geltungsbereich
  4. Um die vom Benutzer ausgeschlossenen VMs anzuzeigen oder zu bearbeiten, wählen Sie die Registerkarte Vom Benutzer ausgeschlossene Gruppen aus.
  5. Klicken Sie auf Ausschlussliste verwalten, um eine benutzerdefinierte Gruppe zur Firewall-Ausschlussliste hinzuzufügen.

    Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können in Ausschlusslisten nicht verwendet werden.

  6. Suchen oder erstellen Sie die auszuschließende Gruppe, stellen Sie sicher, dass das entsprechende Kontrollkästchen aktiviert ist, und klicken Sie auf Speichern. Beachten Sie, dass das Hinzufügen/Bearbeiten/Löschen einer Gruppe die Mitgliedschaft in der Ausschlussliste nicht beeinflusst.
    1. Klicken Sie zum Erstellen einer Gruppe auf Gruppe hinzufügen. Siehe Hinzufügen einer Gruppe.
    2. Um eine Gruppe zu bearbeiten, aktivieren Sie das Kontrollkästchen neben der Gruppe, die Sie bearbeiten möchten, klicken Sie auf die drei Punkte und wählen Sie Bearbeiten aus.
    3. Um eine Gruppe zu löschen, aktivieren Sie das Kontrollkästchen neben der Gruppe, die Sie löschen möchten, klicken Sie auf die drei Punkte und wählen Sie Löschen aus.
    4. Klicken Sie auf den seitwärts weisenden Pfeil, um Gruppendetails anzuzeigen.
  7. Klicken Sie auf Speichern.