Sie können Regeln für verteilte Firewalls und Gateway-Firewalls über den Globaler Manager mit globalen, regionalen oder lokalen Geltungsbereichen erstellen.

Sicherheit im NSX-Verbund bietet folgende Vorteile:
  • Konsistente Sicherheitsrichtlinie für Ihre Bereitstellungen, die über NSX-Verbund verwaltet werden.
  • Effektive Notfallwiederherstellung, die die Kontinuität des etablierten Sicherheits-Frameworks gewährleistet.
  • Erweiterung des Netzwerk- und Sicherheits-Frameworks an einem anderen Speicherort, wenn die Rechenressourcen an einem Speicherort nicht ausreichen.

Im Globaler Manager erstellte Richtlinien und Regeln für verteilte Firewalls und Gateway-Firewalls werden mit lokalen Managern synchronisiert und in den lokalen Managern mit einem GM-Symbol angezeigt. Sie können die im globalen Manager erstellten Regeln nur über den globalen Manager bearbeiten. Sie können nicht von lokalen Managern bearbeitet werden.

In NSX 4.0.1.1 und höher wird die verteilte Firewall über eine Schaltfläche auf der Globaler Manager-Ebene aktiviert und deaktiviert. Die Änderung der Erzwingung der verteilten Firewall wird auf Globaler Manager-Ebene gemeldet und kann auf der Ebene des lokalen Managers nicht außer Kraft gesetzt werden. Navigieren Sie zu Sicherheit > Verteilte Firewall > Aktionen > Allgemeine Einstellungen und schalten Sie den Switch Status der verteilten Dienste um, um die verteilte Firewall auf dem globalen Manager zu aktivieren.

NSX-Verbund von Richtlinien und Regeln für verteilte Firewalls (DFW)

Verwenden Sie dieses Beispiel, um die unterstützten Firewall-Workflows nachzuvollziehen:

""
  • In diesem Beispiel sind für den Globaler Manager drei lokale Manager registriert, namens: Speicherort1, Speicherort2 und Speicherort3.
  • Der globale Manager erstellt automatisch die folgenden Regionen:
    • Global
    • Speicherort1
    • Speicherort2
    • Speicherort3
  • Sie erstellen eine benutzerdefinierte Region mit dem Namen: Region1, die die lokalen Manager Speicherort2 und Speicherort3 enthält.
  • Sie können die folgenden Gruppen erstellen:
    • Gruppe1: Region Global.
    • Gruppe2: Region Speicherort1.
    • Gruppe3: Region Speicherort2.
    • Gruppe4: Region Speicherort3.
    • Gruppe5: Region Region1.

DFW-Richtlinien und -Regeln

Die folgenden Anwendungsfälle werden unterstützt:

  • Geltungsbereich der Gruppe: Sie können Gruppen im Globaler Manager mit einem globalen, lokalen oder regionalen Geltungsbereich erstellen. Siehe Erstellen von Gruppen in Globaler Manager.
  • Dynamische Gruppen: Sie können Gruppen erstellen, die auf dynamischen Kriterien basieren, z. B. auf Tags.
  • Geltungsbereich der DFW-Richtlinie: DFW-Richtlinien können auf einen globalen, regionalen oder lokalen Geltungsbereich angewendet werden.
  • Quell- und Zielgruppen der DFW-Regel: Entweder alle Gruppen im Quellfeld oder alle Gruppen im Zielfeld müssen mit dem Geltungsbereich der DFW-Richtlinie übereinstimmen. Das System erstellt automatisch Gruppen an Speicherorten, die sich außerhalb des Geltungsbereichs der Richtlinie befinden.

    ""

    In der Tabelle finden Sie Beispiele für gültige und ungültige Quell- und Zielgruppen in DFW-Regeln:
    Tabelle 1. Gültige Quelle und gültiges Ziel einer DFW-Regel basierend auf dem Geltungsbereich der DFW-Richtlinie
    Geltungsbereich der DFW-Richtlinie („Angewendet auf“) In DFW-Regeln unterstützte Szenarien
    GlobalIn diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe1
    Für eine DFW-Richtlinie mit dem Geltungsbereich Global für die Region sind in der Quelle und im Ziel der DFW-Regel alle Gruppen zulässig. Im Folgenden finden Sie einige typische unterstützte Szenarien, bei denen unser Beispiel verwendet wird:
    • Quelle: Gruppe2; Ziel Gruppe3
    • Quelle: Gruppe3; Ziel Gruppe4
    • Quelle: Gruppe4; Ziel: Beliebig
    • Quelle: Gruppe1; Ziel Gruppe2.
    Speicherort1: automatisch erstellte Region für den lokalen Manager an Speicherort 1.

    In diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe2
    Für eine DFW-Richtlinie mit einem Geltungsbereich von einem Speicherort: Speicherort1 in diesem Beispiel, muss entweder die Quell- oder die Zielgruppe für die DFW-Regel zum Speicherort1 gehören.

    Die folgenden Szenarien werden unterstützt:
    • Quelle: Gruppe2; Ziel Gruppe2
    • Quelle: Gruppe3; Ziel Gruppe2.
    • Quelle: Gruppe2; Ziel Gruppe4.
    • Quelle Gruppe1; Ziel Gruppe2.
    Im Folgenden finden Sie Beispiele für die nicht unterstützte Gruppenauswahl für diesen Richtliniengeltungsbereich. Sowohl die Quell- als auch die Zielgruppen liegen außerhalb des Geltungsbereichs der Richtlinie:
    • Quelle Gruppe5; Ziel Gruppe3.
    • Quelle Gruppe1; Ziel Gruppe3.
    Region1: vom Benutzer erstellte Region, die sich über Speicherort2 und Speicherort3 erstreckt.

    In diesem Beispiel enthält diese Region die folgenden Gruppen:
    • Gruppe5

    Für eine DFW-Richtlinie einer vom Benutzer erstellten Region als Geltungsbereich: Region1 in diesem Beispiel, muss entweder die Quell- oder die Zielgruppe für die DFW-Regel Speicherorte enthalten, die zu Region1 gehören.

    Die folgenden Szenarien werden unterstützt:
    • Quelle: Gruppe5; Ziel Gruppe2.
    • Quelle: Gruppe2; Ziel Gruppe5.
    • Quelle: Gruppe2; Ziel Gruppe3.
    • Quelle: Gruppe3; Ziel Gruppe4.
    • Quelle: Beliebig; Ziel: Gruppe5
    • Quelle Gruppe4; Ziel Beliebig
    Im Folgenden finden Sie Beispiele für die nicht unterstützte Gruppenauswahl für diesen Richtliniengeltungsbereich. Sowohl die Quell- als auch die Zielgruppen liegen außerhalb des Geltungsbereichs der Richtlinie:
    • Quelle Gruppe2; Ziel Gruppe2.
    • Quelle Gruppe1; Ziel Gruppe2.
    • Quelle Gruppe1; Ziel Gruppe1.
  • Wenn eine Gruppe Segmente enthält, muss der Geltungsbereich der DFW-Richtlinie größer als oder gleich dem Geltungsbereich des Segments sein. Wenn es sich z. B. um eine Gruppe mit einem Segment handelt, dessen Geltungsbereich Speicherort1 ist, kann die DFW-Richtlinie nicht auf die Region Region1 angewendet werden, weil diese nur Speicherort2 und Speicherort3 enthält.

NSX-Verbund von Richtlinien und Regeln für Gateway-Firewalls

Gateway-Firewallregeln können auf alle im Geltungsbereich des Gateways enthaltenen Speicherorte oder auf alle Schnittstellen eines bestimmten Speicherorts oder auf bestimmte Schnittstellen eines oder mehrerer Speicherorte angewendet werden.
Hinweis: Der Geltungsbereich der Quell- und Zielgruppen für die Firewallregeln des Gateways muss mit dem Geltungsbereich des Gateways identisch sein, auf dem Sie die Regel erstellen, bzw. muss er eine Teilmenge davon sein.
Tabelle 2. Optionen für den Geltungsbereich von Gateway-Firewallregeln
Geltungsbereich der Gateway-Firewallregel („Angewendet auf“) Angewendet auf
Regel auf Gateway anwenden Die Regel gilt für alle mit diesem Gateway verbundenen Schnittstellen und an allen Speicherorten, auf die dieses Gateway ausgeweitet wird.
Wählen Sie einen Speicherort aus und wählen Sie „Regel auf alle Elemente anwenden“ aus. Die Regel gilt nur für den ausgewählten Speicherort.
Wählen Sie einen Speicherort aus und wählen Sie dann Schnittstellen von diesem Speicherort aus. Wiederholen Sie den Vorgang für andere Speicherorte und wählen Sie dabei Schnittstellen für jeden Speicherort aus, auf den Sie die Regel anwenden möchten. Die Regel gilt nur für die ausgewählten Schnittstellen.