Firewall-Ausschlusslisten bestehen aus Gruppen, die basierend auf der Gruppenmitgliedschaft von einer Firewallregel ausgeschlossen werden können.
NSX unterstützt vom System ausgeschlossene Gruppen und vom Benutzer ausgeschlossene Gruppen:
- Vom System ausgeschlossene Gruppen werden vom -System verwaltet und sind schreibgeschützt für Benutzer. Vom System ausgeschlossene Gruppen umfassen Malware-Schutz- und Service Insertion-SVMs zusammen mit NSX Manager und NSX Edge-Appliances, die über einen konfigurierten Compute Manager bereitgestellt werden.
- Vom Benutzer ausgeschlossene Gruppen werden vom Benutzer verwaltet und sind standardmäßig leer.
Virtuelle Maschinen wie Lastausgleichsdienste, Firewalls, virtuelle Netzwerkfunktionen (Routing, Switching usw.) und alle virtuellen Maschinen, die den promiskuitiven Modus erfordern, müssen sich in einer DFW-Ausschlussliste befinden. VMware unterstützt das Hinzufügen dieser virtuellen Maschinen zur DFW nicht. Sie müssen manuell zu vom Benutzer ausgeschlossenen Gruppen hinzugefügt werden.
In NSX Manager-Clustern muss der erste Knoten manuell zur Ausschlussliste der verteilten Firewall hinzugefügt werden.
Benutzerdefinierte Gruppen können von Firewallregeln ausgeschlossen werden, und es können maximal 100 Gruppen in der Liste enthalten sein. IP Sets, MAC-Sets und Active Directory-Gruppen können nicht als Mitglieder in eine Gruppe eingeschlossen werden, die in einer Ausschlussliste für die Firewall verwendet wird.
Ausschlusslisten werden auf einem Globaler Manager (GM) in NSX-Verbund unterstützt. Auf einem Lokaler Manager (LM) gibt es zwei Ausschlusslisten: eine vom GM und die eigene Ausschlussliste von LM. Alle Mitglieder beider Listen sind ausgeschlossen.
Antrea-Gruppen werden in einer Firewall-Ausschlussliste nicht unterstützt.