Vous pouvez créer des règles de pare-feu distribué et de passerelle à partir du Gestionnaire global avec des étendues globales, régionales ou locales.

La sécurité de Fédération NSX offre les avantages suivants :
  • Stratégie de sécurité cohérente dans vos déploiements gérés à l'aide de Fédération NSX.
  • Récupération d'urgence efficace assurant la continuité de l'infrastructure de sécurité établie.
  • Extension de l'infrastructure de réseau et de sécurité à un autre emplacement si vous exécutez des ressources de calcul dans un emplacement unique.

Les stratégies et les règles de pare-feu distribué et de passerelle créées à partir du Gestionnaire global sont synchronisées vers les gestionnaires locaux et s'affichent dans ces derniers avec une icône gestionnaire global. Vous pouvez modifier les règles créées à partir du gestionnaire global uniquement à partir du gestionnaire global. Elles ne peuvent pas être modifiées à partir des gestionnaires locaux.

Dans NSX 4.0.1.1 et versions ultérieures, le pare-feu distribué est activé et désactivé avec un bouton au niveau du Gestionnaire global. La modification de l'application du pare-feu distribué est signalée au niveau d'un Gestionnaire global et ne peut pas être remplacée au niveau du gestionnaire local. Pour activer le pare-feu distribué sur le gestionnaire global, accédez à Sécurité > Pare-feu distribué > Actions > Paramètres généraux , puis basculez le commutateur État des services distribués.

Fédération NSX des stratégies et des règles de pare-feu distribué (DFW)

Utilisez cet exemple pour comprendre les workflows de pare-feu pris en charge :

""
  • Dans l'exemple, le Gestionnaire global possède trois gestionnaires locaux enregistrés nommés : Location1, Location2 et Location3.
  • Le gestionnaire global crée automatiquement les régions suivantes :
    • Global
    • Location1
    • Location2
    • Location3
  • Vous créez une région personnalisée nommée : Region1 incluant des gestionnaires locaux Location2 et Location3.
  • Vous créez les groupes suivants :
    • Group1 : Region Global.
    • Group2 : Region Location1.
    • Group3 : Region Location2.
    • Group4 : Region Location3.
    • Group5 : Region Region1.

Stratégies et stratégies DFW

Les cas d'utilisation suivants sont pris en charge :

  • Étendue de groupe : vous pouvez créer des groupes dans le Gestionnaire global avec une étendue globale, locale ou régionale. Reportez-vous à la section Créer des groupes à partir de Gestionnaire global.
  • Groupes dynamiques : vous pouvez créer des groupes en fonction de critères dynamiques, tels que des balises.
  • Étendue de la stratégie DFW : les stratégies DFW peuvent être appliquées à une étendue globale, régionale ou locale.
  • Groupes source et de destination de la règle DFW : tous les groupes du champ Source ou tous les groupes du champ Destination doivent correspondre à l'étendue de la stratégie DFW. Le système crée automatiquement des groupes dans des emplacements qui se trouvent en dehors de l'étendue de la stratégie.

    ""

    Reportez-vous au tableau pour obtenir des exemples de groupes source et de destination valides et non valides dans les règles DFW :
    Tableau 1. Source et Destination valides pour une règle DFW basée sur l'étendue de la stratégie DFW
    Étendue de la stratégie DFW (appliqué à) Scénarios pris en charge dans les règles DFW
    Global : dans l'exemple, cette région contient les groupes suivants :
    • Group1
    		 Pour une stratégie DFW avec une étendue de région Global, tous les groupes sont autorisés dans la source et la destination de la règle DFW. Voici quelques scénarios typiques pris en charge, à l'aide de notre exemple :
    • Source : Group2 ; Destination Group3
    • Source : Group3 ; Destination Group4
    • Source : Group4 ; Destination : Any
    • Source : Group1 ; Destination : Group2.
    Location1 : région créée automatiquement pour le gestionnaire local dans l'emplacement 1.

    Dans l'exemple, cette région contient les groupes suivants :
    • Group2
    		 Pour une stratégie DFW avec l'étendue d'un emplacement : Location1 dans cet exemple, le groupe source ou de destination de la règle DFW doit appartenir à Location1.

    Les scénarios suivants sont pris en charge :
    • Source : Group2 ; Destination Group2
    • Source : Group3 ; Destination Group2.
    • Source : Group2 ; Destination Group4.
    • Source : Group1 ; Destination : Group2.
    Voici un exemple de sélections de groupes non prises en charge pour cette étendue de stratégie. Les groupes Source et Destination se trouvent en dehors de l'étendue de la stratégie :
    • Source Group5 ; Destination Group3.
    • Source : Group1 ; Destination : Group3.
    Region1 : région créée par l'utilisateur qui s'étend sur Location2 et Location3.

    Dans l'exemple, cette région contient les groupes suivants :
    • Group5

    Pour une stratégie DFW avec l'étendue d'une région créée par l'utilisateur : Region1 dans cet exemple, le groupe Source ou Destination de la règle DFW doit contenir des emplacements qui appartiennent à Region1.

    Les scénarios suivants sont pris en charge :
    • Source : Group5 ; Destination Group2.
    • Source : Group2 ; Destination : Group5.
    • Source : Group2 ; Destination Group3.
    • Source : Group3 ; Destination : Group4.
    • Source : Any  ;Destination : Group5
    • Source : Group4 ; Destination : Any
    Voici un exemple de sélections de groupes non prises en charge pour cette étendue de stratégie. Les groupes Source et Destination se trouvent en dehors de l'étendue de la stratégie :
    • Source : Group2 ; Destination : Group2.
    • Source : Group1 ; Destination : Group2.
    • Source Group1 ; Destination Group1.
  • Si un groupe contient des segments, l'étendue de la stratégie DFW doit être supérieure ou égale à l'étendue du segment. Par exemple, si vous disposez d'un groupe contenant un segment dont l'étendue est Location1, la stratégie DFW ne peut pas être appliquée à la région Region1, car elle contient uniquement Location2 et Location3.

Fédération NSX des stratégies et règles de pare-feu de passerelle

Les règles de pare-feu de passerelle peuvent être appliquées à tous les emplacements inclus dans l'étendue de la passerelle, ou à toutes les interfaces d'un emplacement spécifique, ou à des interfaces spécifiques d'un ou plusieurs emplacements.
Note : L'étendue des groupes source et de destination pour les règles de pare-feu de passerelle doit être la même ou un sous-ensemble de l'étendue de la passerelle sur laquelle vous créez la règle.
Tableau 2. Options d'étendue pour les règles de pare-feu de passerelle
Étendue de la règle de pare-feu de passerelle (Appliqué à) S'applique à
Appliquer la règle à la passerelle La règle s'applique à toutes les interfaces associées à cette passerelle, dans tous les emplacements sur lesquels cette passerelle est étirée.
Sélectionnez un emplacement, puis cliquez sur Appliquer la règle à toutes les entités. La règle s'applique uniquement à l'emplacement sélectionné.
Sélectionnez un emplacement et sélectionnez les interfaces à partir de cet emplacement. Répétez les étapes pour les autres emplacements en sélectionnant les interfaces pour chaque emplacement auquel vous souhaitez appliquer la règle. La règle s'applique uniquement aux interfaces sélectionnées.