Eine verteilte Firewall überwacht den gesamten Ost-West-Datenverkehr auf Ihren virtuellen Maschinen.
In diesem Thema wird der Workflow zum Hinzufügen von Firewallrichtlinien erläutert, die auf die verteilte NSX-Firewall oder auf bestimmte Gruppen mit NSX-verwalteten Objekten angewendet werden.
Wenn in Ihrer
NSX-Umgebung
Antrea-Container registriert sind, können Sie Richtlinien für verteilte Firewalls erstellen und diese auf
Antrea-Container-Cluster anwenden. Weitere Informationen finden Sie unter:
Hinweis:
NSX unterstützt in derselben Richtlinie für die verteilte Firewall keine Kombination von Regeln, die mit
NSX-verwalteten Objekten und mit
Antrea-Container-Clusterobjekten erstellt wurden. Das bedeutet, dass sich die Firewallregeln, die Sie auf die verteilte
NSX-Firewall und auf
Antrea-Container-Cluster anwenden, in verschiedenen Richtlinien befinden müssen.
Voraussetzungen
Wenn Sie Regeln für die identitätsbasierte Firewall erstellen, müssen Sie zuerst eine Gruppe mit Active Directory-Mitgliedern erstellen. Informationen zu den für IDFW unterstützten Protokollen finden Sie unter
Von der identitätsbasierten Firewall unterstützte Konfigurationen. Stellen Sie beim Erstellen einer DFW-Regel mithilfe von Guest Introspection sicher, dass das Feld
Angewendet auf für die Zielgruppe gilt.
Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst
ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.
Beachten Sie, dass Sie bei Verwendung einer Kombination aus Ebene 7 und ICMP oder anderen Protokollen die Firewallregeln der Ebene 7 zuletzt einfügen müssen. Regeln über einer Schicht 7-„any/any“-Regel werden nicht ausgeführt.
Verbundspezifische Details zur Richtlinien und Regelerstellung für verteilte Firewalls finden Sie unter Erstellen von DFW-Richtlinien und -Regeln in Globaler Manager.