Puede crear reglas de firewall distribuido y de puerta de enlace desde el Global Manager con intervalos globales, regionales o locales.

La seguridad de federación de NSX ofrece las siguientes ventajas:
  • Directiva de seguridad coherente entre las implementaciones administradas mediante federación de NSX.
  • Recuperación ante desastres eficaz para garantizar la continuidad del marco de seguridad establecido.
  • Extensión del marco de redes y seguridad a otra ubicación si se están quedando sin recursos informáticos en una misma ubicación.

Las directivas y las reglas de firewall distribuido y de puerta de enlace creadas en el Global Manager se sincronizan con los Local Manager y aparecen con un icono GM. Solo puede editar las reglas creadas en el Global Manager en el Global Manager. No se pueden editar en los Local Manager.

federación de NSX de reglas y directivas de firewall distribuido (DFW)

Utilice este ejemplo para comprender los flujos de trabajo de firewall compatibles:

Este diagrama muestra la cantidad de grupos creados a partir del Global Manager y los Local Managers. Hay detalles en el texto y la tabla.
  • En el ejemplo, Global Manager tiene tres Local Manager registrados con él, denominados: Ubicación1, Ubicación2 y Ubicación3.
  • El Global Manager crea automáticamente las siguientes regiones:
    • Global
    • Ubicación1
    • Ubicación2
    • Ubicación3
  • Cree una región personalizada llamada: Región1 que incluya los Local Manager Ubicación2 y Ubicación3.
  • Se crean los siguientes grupos:
    • Grupo1: Región Global.
    • Grupo2: Región Ubicación1.
    • Grupo3: Región Ubicación2.
    • Grupo4: Región Ubicación3.
    • Grupo5: Región Región1.

Reglas y directivas de DFW

Se admiten los siguientes casos prácticos:

  • Alcance de grupo: Puede crear grupos en el Global Manager con un span global, local o regional. Consulte Crear grupos a partir de Global Manager.
  • Grupos dinámicos: puede crear grupos en función de criterios dinámicos, como etiquetas.
  • Span de directiva de DFW: las directivas de DFW se pueden aplicar a un span global, regional o local.
  • Grupos de origen y destino de la regla de DFW: todos los grupos del campo de origen o todos los grupos del campo de destino deben coincidir con el span de la directiva de DFW. El sistema crea automáticamente los grupos en las ubicaciones que se encuentran fuera del span de la directiva.

    En este diagrama se muestran las diferentes posibilidades de usar el firewall distribuido de NSX-T Data Center en un entorno de NSX-T Federation.

    Consulte la tabla para ver ejemplos de grupos de origen y destino válidos y no válidos en las reglas de DFW:
    Tabla 1. Origen y destino válidos para una regla de DFW basada en el intervalo de la directiva de DFW
    Span de directiva de DFW (Se aplica a) Escenarios admitidos en reglas de DFW
    Global

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo1
    Para una directiva de DFW con el span de región Global, se permiten todos los grupos en el origen y el destino de la regla de DFW. A continuación, se muestran algunos escenarios típicos válidos con nuestro ejemplo:
    • Origen: Grupo2; Destino: Grupo3
    • Origen: Grupo3; Destino: Grupo4
    • Origen: Grupo4; Destino: Cualquiera
    • Origen: Grupo1; Destino: Grupo2
    Ubicación1: región creada automáticamente para Local Manager en la ubicación 1.

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo2
    Para una directiva de DFW con el span de una ubicación: Ubicación1 en este ejemplo, el grupo de origen o de destino de la regla de DFW debe pertenecer a Ubicación1.

    Se admiten los siguientes escenarios:
    • Origen: Grupo2; Destino: Grupo2
    • Origen: Grupo3; Destino: Grupo2
    • Origen: Grupo2; Destino: Grupo4
    • Origen: Grupo1; Destino: Grupo2
    A continuación se muestra un ejemplo de las selecciones de grupo no compatibles para este grupo de directivas. Los grupos de origen y de destino están fuera del span de la directiva:
    • Origen: Grupo5; Destino: Grupo3
    • Origen: Grupo1; Destino: Grupo3
    Región1: región creada por el usuario que abarca la Ubicación2 y la Ubicación3.

    En el ejemplo, esta región contiene los siguientes grupos:
    • Grupo5

    Para una directiva de DFW con el span de una región creada por el usuario: Región1 en este ejemplo, el grupo de origen o de destino de la regla de DFW debe contener ubicaciones que pertenezcan a la Región1.

    Se admiten los siguientes escenarios:
    • Origen: Grupo5; Destino: Grupo2
    • Origen: Grupo2; Destino: Grupo5
    • Origen: Grupo2; Destino: Grupo3
    • Origen: Grupo3; Destino: Grupo4
    • Origen: Cualquiera ;Destino: Grupo5
    • Origen: Grupo4; Destino: Cualquiera
    A continuación se muestra un ejemplo de las selecciones de grupo no compatibles para este grupo de directivas. Los grupos de origen y de destino están fuera del span de la directiva:
    • Origen: Grupo2; Destino: Grupo2
    • Origen: Grupo1; Destino: Grupo2
    • Origen: Grupo1; Destino: Grupo1
  • Si un grupo contiene segmentos, la extensión de la directiva de DFW deberá ser mayor o igual que la extensión del segmento. Por ejemplo, si tiene un grupo que contiene un segmento cuyo span es la Ubicación1, la directiva de DFW no se podrá aplicar a la Región1 porque solo contiene la Ubicación2 y la Ubicación3.

federación de NSX de reglas y directivas de firewall de puerta de enlace

Las reglas de firewall de puerta de enlace se pueden aplicar a todas las ubicaciones incluidas en la expansión de la puerta de enlace, en todas las interfaces de una ubicación concreta o en interfaces específicas de una o varias ubicaciones.
Nota: El span de los grupos de origen y destino para las reglas de firewall de puerta de enlace debe ser el mismo span o un subconjunto del span de la puerta de enlace en el que se va a crear la regla.
Tabla 2. Opciones de span para reglas de firewall de puerta de enlace
Intervalo de la regla de firewall de puerta de enlace (Se aplica a) Aplica a
Aplicar regla a la puerta de enlace La regla se aplica a todas las interfaces asociadas a esta puerta de enlace, en todas las ubicaciones a las que se amplía esta puerta de enlace.
Seleccione una ubicación y, a continuación, seleccione Aplicar regla a todas las entidades. La regla se aplicará solo a la ubicación seleccionada.
Seleccione una ubicación y, a continuación, seleccione las interfaces de esa ubicación. Repita el proceso en otras ubicaciones y seleccione interfaces para cada ubicación a la que desee aplicar la regla. La regla se aplicará solo a las interfaces seleccionadas.