Puede crear reglas de firewall distribuido y de puerta de enlace desde el Global Manager con intervalos globales, regionales o locales.
- Directiva de seguridad coherente entre las implementaciones administradas mediante NSX Federation.
- Recuperación ante desastres eficaz para garantizar la continuidad del marco de seguridad establecido.
- Extensión del marco de redes y seguridad a otra ubicación si se están quedando sin recursos informáticos en una misma ubicación.
Las directivas y las reglas de firewall distribuido y de puerta de enlace creadas en el Global Manager se sincronizan con los Local Manager y aparecen con un icono . Solo puede editar las reglas creadas en el Global Manager en el Global Manager. No se pueden editar en los Local Manager.
En NSX 4.0.1.1 y versiones posteriores, el firewall distribuido se activa y desactiva con un botón en el nivel de Global Manager. El cambio de la aplicación del firewall distribuido se notifica en un nivel de Global Manager y no se puede anular en el nivel de Local Manager. Para activar el firewall distribuido en Global Manager, desplácese hasta y active el conmutador Estado de servicios distribuidos.
NSX Federation de reglas y directivas de firewall distribuido (DFW)
Utilice este ejemplo para comprender los flujos de trabajo de firewall compatibles:
- En el ejemplo, el Global Manager tiene tres Local Manager registrados con él, denominados: Ubicación1, Ubicación2 y Ubicación3.
- El Global Manager crea automáticamente las siguientes regiones:
- Global
- Ubicación1
- Ubicación2
- Ubicación3
- Cree una región personalizada llamada: Región1 que incluya los Local Manager Ubicación2 y Ubicación3.
- Se crean los siguientes grupos:
- Grupo1: Región Global.
- Grupo2: Región Ubicación1.
- Grupo3: Región Ubicación2.
- Grupo4: Región Ubicación3.
- Grupo5: Región Región1.
Reglas y directivas de DFW
Se admiten los siguientes casos prácticos:
- Alcance de grupo: Puede crear grupos en el Global Manager con un span global, local o regional. Consulte Crear grupos a partir de Global Manager.
- Grupos dinámicos: puede crear grupos en función de criterios dinámicos, como etiquetas.
- Span de directiva de DFW: las directivas de DFW se pueden aplicar a un span global, regional o local.
- Grupos de origen y destino de la regla de DFW: todos los grupos del campo de origen o todos los grupos del campo de destino deben coincidir con el span de la directiva de DFW. El sistema crea automáticamente los grupos en las ubicaciones que se encuentran fuera del span de la directiva.Consulte la tabla para ver ejemplos de grupos de origen y destino válidos y no válidos en las reglas de DFW:
Tabla 1. Origen y destino válidos para una regla de DFW basada en el intervalo de la directiva de DFW Span de directiva de DFW (Se aplica a) Escenarios admitidos en reglas de DFW GlobalEn el ejemplo, esta región contiene los siguientes grupos: - Grupo1
Para una directiva de DFW con el span de región Global, se permiten todos los grupos en el origen y el destino de la regla de DFW. A continuación, se muestran algunos escenarios típicos válidos con nuestro ejemplo: - Origen: Grupo2; Destino: Grupo3
- Origen: Grupo3; Destino: Grupo4
- Origen: Grupo4; Destino: Cualquiera
- Origen: Grupo1; Destino: Grupo2
Ubicación1: región creada automáticamente para Local Manager en la ubicación 1. En el ejemplo, esta región contiene los siguientes grupos: - Grupo2
Para una directiva de DFW con el span de una ubicación: Ubicación1 en este ejemplo, el grupo de origen o de destino de la regla de DFW debe pertenecer a Ubicación1.Se admiten los siguientes escenarios: - Origen: Grupo2; Destino: Grupo2
- Origen: Grupo3; Destino: Grupo2
- Origen: Grupo2; Destino: Grupo4
- Origen: Grupo1; Destino: Grupo2
A continuación se muestra un ejemplo de las selecciones de grupo no compatibles para este grupo de directivas. Los grupos de origen y de destino están fuera del span de la directiva:- Origen: Grupo5; Destino: Grupo3
- Origen: Grupo1; Destino: Grupo3
Región1: región creada por el usuario que abarca la Ubicación2 y la Ubicación3. En el ejemplo, esta región contiene los siguientes grupos: - Grupo5
Para una directiva de DFW con el span de una región creada por el usuario: Región1 en este ejemplo, el grupo de origen o de destino de la regla de DFW debe contener ubicaciones que pertenezcan a la Región1.
Se admiten los siguientes escenarios:- Origen: Grupo5; Destino: Grupo2
- Origen: Grupo2; Destino: Grupo5
- Origen: Grupo2; Destino: Grupo3
- Origen: Grupo3; Destino: Grupo4
- Origen: Cualquiera ;Destino: Grupo5
- Origen: Grupo4; Destino: Cualquiera
A continuación se muestra un ejemplo de las selecciones de grupo no compatibles para este grupo de directivas. Los grupos de origen y de destino están fuera del span de la directiva:- Origen: Grupo2; Destino: Grupo2
- Origen: Grupo1; Destino: Grupo2
- Origen: Grupo1; Destino: Grupo1
- Si un grupo contiene segmentos, la extensión de la directiva de DFW deberá ser mayor o igual que la extensión del segmento. Por ejemplo, si tiene un grupo que contiene un segmento cuyo span es la Ubicación1, la directiva de DFW no se podrá aplicar a la Región1 porque solo contiene la Ubicación2 y la Ubicación3.
NSX Federation de reglas y directivas de firewall de puerta de enlace
Intervalo de la regla de firewall de puerta de enlace (Se aplica a) | Aplica a |
---|---|
Aplicar regla a la puerta de enlace | La regla se aplica a todas las interfaces asociadas a esta puerta de enlace, en todas las ubicaciones a las que se amplía esta puerta de enlace. |
Seleccione una ubicación y, a continuación, seleccione Aplicar regla a todas las entidades. | La regla se aplicará solo a la ubicación seleccionada. |
Seleccione una ubicación y, a continuación, seleccione las interfaces de esa ubicación. Repita el proceso en otras ubicaciones y seleccione interfaces para cada ubicación a la que desee aplicar la regla. | La regla se aplicará solo a las interfaces seleccionadas. |