Puede crear reglas de firewall distribuido y de puerta de enlace desde el Global Manager con intervalos globales, regionales o locales.

Las directivas y las reglas de firewall distribuido y de puerta de enlace creadas en el Global Manager se sincronizan con los Local Manager y aparecen con un icono GM. Solo puede editar las reglas creadas en el Global Manager en el Global Manager. No se pueden editar en los Local Manager.

Federación de reglas y directivas de firewall distribuido (DFW)

Utilice este ejemplo para comprender los flujos de trabajo de firewall compatibles:

  • En el ejemplo, Global Manager tiene tres Local Manager registrados con él, denominados: Ubicación1, Ubicación2 y Ubicación3.
  • El Global Manager crea automáticamente las siguientes regiones:
    • Global
    • Ubicación1
    • Ubicación2
    • Ubicación3
  • Cree una región personalizada llamada: Región1 que incluya los Local Manager Ubicación2 y Ubicación3.
  • Se crean los siguientes grupos:
    • Grupo1: Región Global.
    • Grupo2: Región Ubicación1.
    • Grupo3: Región Ubicación2.
    • Grupo4: Región Ubicación3.
    • Grupo5: Región Región1.

Directivas y reglas de DFW en NSX-T Data Center 3.0.1

Se admiten los siguientes casos prácticos:

  • Alcance de grupo: Puede crear grupos en el Global Manager con un span global, local o regional. Consulte Crear grupos a partir de Global Manager.
  • Grupos dinámicos: puede crear grupos en función de criterios dinámicos, como etiquetas.
  • Span de directiva de DFW: las directivas de DFW se pueden aplicar a un span global, regional o local.
  • Grupos de origen y destino de la regla de DFW: todos los grupos del campo de origen o todos los grupos del campo de destino deben coincidir con el span de la directiva de DFW. El sistema crea automáticamente los grupos en las ubicaciones que se encuentran fuera del span de la directiva.

    Consulte la tabla para ver ejemplos de grupos de origen y destino válidos y no válidos en las reglas de DFW:
    Tabla 1. Origen y destino válidos para una regla de DFW basada en el span de la directiva de DFW en la versión 3.0.1
    Span de directiva de DFW (Se aplica a) Escenarios compatibles con las reglas de DFW en la versión 3.0.1.
    Global

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo1
    Para una directiva de DFW con el span de región Global, se permiten todos los grupos en el origen y el destino de la regla de DFW. A continuación, se muestran algunos escenarios típicos válidos con nuestro ejemplo:
    • Origen: Grupo2; Destino: Grupo3
    • Origen: Grupo3; Destino: Grupo4
    • Origen: Grupo4; Destino: Cualquiera
    • Origen: Grupo1; Destino: Grupo2
    Ubicación1: región creada automáticamente para Local Manager en la ubicación 1.

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo2
    Para una directiva de DFW con el span de una ubicación: Ubicación1 en este ejemplo, el grupo de origen o de destino de la regla de DFW debe pertenecer a Ubicación1.

    Se admiten los siguientes escenarios:
    • Origen: Grupo2; Destino: Grupo2
    • Origen: Grupo3; Destino: Grupo2
    • Origen: Grupo2; Destino: Grupo4
    • Origen: Grupo1; Destino: Grupo2
    A continuación se muestra un ejemplo de las selecciones de grupo no compatibles para este grupo de directivas. Los grupos de origen y de destino están fuera del span de la directiva:
    • Origen: Grupo5; Destino: Grupo3
    • Origen: Grupo1; Destino: Grupo3
    Región1: región creada por el usuario que abarca la Ubicación2 y la Ubicación3.

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo5

    Para una directiva de DFW con el span de una región creada por el usuario: Región1 en este ejemplo, el grupo de origen o de destino de la regla de DFW debe contener ubicaciones que pertenezcan a la Región1.

    Se admiten los siguientes escenarios:
    • Origen: Grupo5; Destino: Grupo2
    • Origen: Grupo2; Destino: Grupo5
    • Origen: Grupo2; Destino: Grupo3
    • Origen: Grupo3; Destino: Grupo4
    • Origen: Cualquiera ;Destino: Grupo5
    • Origen: Grupo4; Destino: Cualquiera
    A continuación se muestra un ejemplo de las selecciones de grupo no compatibles para este grupo de directivas. Los grupos de origen y de destino están fuera del span de la directiva:
    • Origen: Grupo2; Destino: Grupo2
    • Origen: Grupo1; Destino: Grupo2
    • Origen: Grupo1; Destino: Grupo1
  • Si un grupo contiene segmentos, la extensión de la directiva de DFW deberá ser mayor o igual que la extensión del segmento. Por ejemplo, si tiene un grupo que contiene un segmento cuyo span es la Ubicación1, la directiva de DFW no se podrá aplicar a la Región1 porque solo contiene la Ubicación2 y la Ubicación3.

Directivas y reglas de DFW en NSX-T Data Center 3.0.0

  • Alcance de grupo: Puede crear grupos en el Global Manager con un span global, local o regional. Consulte Crear grupos a partir de Global Manager.
  • Grupos dinámicos: puede crear grupos en función de criterios dinámicos, como etiquetas.
  • Span de directiva de DFW: las directivas de DFW se pueden aplicar a un span global, regional o local también.
  • Grupos de origen y destino de la regla de DFW: todos los grupos del campo de origen y todos los grupos del campo de destino deben coincidir con el alcance de la directiva de DFW.
    Consulte la tabla para comprender el modo en que la extensión de la directiva determina qué grupos de origen y destino son válidos en una regla de DFW.
    Tabla 2. Origen y destino válidos para una regla de DFW basada en el span de la directiva de DFW en la versión 3.0.0
    Span de directiva de DFW (Se aplica a) Los grupos de origen y de destino son compatibles con las reglas de DFW en la versión 3.0.0.
    Global.

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo1
    Para una directiva de DFW distribuida a la región Global, puede seleccionar la palabra clave Any o un grupo de Global en el origen y el destino de una regla de DFW:
    Por ejemplo,
    • Origen: Grupo1; Destino: Grupo1
    • Origen: Grupo1; Destino: Cualquiera
    • Origen: Cualquiera ;Destino: Grupo1
    • Origen: Cualquiera; Destino: Cualquiera
    Precaución: Se pueden crear otras configuraciones de reglas, pero no están admitidas. Por ejemplo: .
    • Origen: Grupo2; Destino: Grupo3
    • Origen: Grupo4; Destino: Grupo1
    Ubicación1: región creada automáticamente para Local Manager en la ubicación 1.

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo2
    Para una directiva de DFW distribuida a la región de una ubicación: Ubicación1 en este ejemplo, los grupos de origen y de destino deben pertenecer a esta región.
    Por ejemplo, se admiten estas reglas:
    • Origen: Grupo2; Destino: Grupo2
    Precaución: Se pueden crear otras configuraciones de reglas, pero no están admitidas. Por ejemplo: .
    • Origen: Grupo2; Destino: Grupo3
    • Origen: Grupo4; Destino: Grupo2
    Región1: región personalizada que abarca la Ubicación2 y la Ubicación3.

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo5

    Para una directiva de DFW con un span a una región personalizada: Región1 en este ejemplo, los grupos de origen y destino deben pertenecer a esta región.

    Por ejemplo, se admiten las siguientes reglas:
    • Origen: Grupo5; Destino: Grupo5
    • Origen: Grupo5; Destino: Cualquiera
    • Origen: Cualquiera ;Destino: Grupo5
    Precaución: Se pueden crear otras configuraciones de reglas, pero no están admitidas. Por ejemplo: .
    • Origen: Grupo2; Destino: Grupo3
    • Origen: Grupo2; Destino: Grupo4
    • Origen: Grupo3; Destino: Grupo2
    • Origen: Grupo4; Destino: Grupo2
  • Si un grupo contiene segmentos, la extensión de la directiva de DFW deberá ser mayor o igual que la extensión del segmento. Por ejemplo, si tiene un grupo que contiene un segmento cuyo span es la Ubicación1, la directiva de DFW no se podrá aplicar a la Región1 porque solo contiene la Ubicación2 y la Ubicación3.

Federación de reglas y directivas de firewall de puerta de enlace

Las reglas de firewall de puerta de enlace se pueden aplicar a todas las ubicaciones incluidas en la expansión de la puerta de enlace, en todas las interfaces de una ubicación concreta o en interfaces específicas de una o varias ubicaciones.
Nota: El span de los grupos de origen y destino para las reglas de firewall de puerta de enlace debe ser el mismo span o un subconjunto del span de la puerta de enlace en el que se va a crear la regla.
Tabla 3. Opciones de span para reglas de firewall de puerta de enlace
Intervalo de la regla de firewall de puerta de enlace (Se aplica a) Aplica a
Aplicar regla a la puerta de enlace La regla se aplica a todas las interfaces asociadas a esta puerta de enlace, en todas las ubicaciones a las que se amplía esta puerta de enlace.
Seleccione una ubicación y, a continuación, seleccione Aplicar regla a todas las entidades. La regla se aplicará solo a la ubicación seleccionada.
Seleccione una ubicación y, a continuación, seleccione las interfaces de esa ubicación. Repita el proceso en otras ubicaciones y seleccione interfaces para cada ubicación a la que desee aplicar la regla. La regla se aplicará solo a las interfaces seleccionadas.