Los grupos incluyen distintos objetos que se agregan tanto de forma estática como dinámica y pueden utilizarse como origen y destino de una regla de firewall.
Los grupos se pueden configurar para que contengan una combinación de máquinas virtuales, conjuntos de direcciones IP, conjuntos de direcciones MAC, puertos de segmentos, segmentos, grupos de usuarios de AD y otros grupos. La inclusión dinámica de grupos puede basarse en la etiqueta, el nombre del equipo, el nombre del sistema operativo o el nombre del equipo.
Si Fuente de direcciones IP malintencionadas está habilitada, se descargará una lista de direcciones IP malintencionadas conocidas desde el servicio de nube de NTICS. Puede crear grupos para incluir estas direcciones IP descargadas y configurar reglas de firewall para bloquear el acceso a ellas. Un grupo de tipo Genérico o Solo direcciones IP no se puede convertir en un grupo de tipo Solo direcciones IP con direcciones IP malintencionadas y viceversa. Sin embargo, un grupo de tipo Genérico se puede convertir en un grupo de tipo Solo direcciones IP sin direcciones IP malintencionadas.
Los grupos también se pueden excluir de las reglas de firewall, pudiendo incluir en la lista un máximo de 100 grupos. Los conjuntos de direcciones IP, los conjuntos de direcciones MAC y los grupos de AD no se pueden incluir como miembros de un grupo que se utiliza en una lista de exclusión de firewall. Consulte Administrar una lista de exclusión de firewall para obtener más información.
Si utiliza grupos de Active Directory como origen, se puede utilizar un único grupo de Active Directory. Si necesita utilizar grupos tanto de Active Directory como de direcciones IP en el origen, cree dos reglas de firewall independientes.
Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.Para los grupos de directivas que contienen direcciones IP o MAC, la API de enumeración de NSGroup NO mostrará el atributo 'members'. Esto también se aplica a los grupos que contienen una combinación de miembros estáticos. Por ejemplo, si un grupo de directivas contiene IP y DVPG, la API de lista de grupos NSGroup no mostrará el atributo de miembros.
Para los grupos de directivas que no contengan direcciones IP, direcciones MAC ni grupos de identidades, el atributo de miembro se mostrará en la respuesta del grupo NSGroup. Sin embargo, los nuevos miembros y criterios introducidos en NSX (como DVPort y DVPG) no se incluirán en la definición del grupo MP. Los usuarios pueden ver la definición en Directiva.
Las etiquetas en NSX distinguen entre mayúsculas y minúsculas, pero los grupos basados en etiquetas no. Por ejemplo, si el criterio de pertenencia a grupos dinámicos es VM Tag Equals 'quarantine'
, el grupo incluirá todas las máquinas virtuales que contengan las etiquetas "Cuarentena" o "CUARENTENA".