Les listes d'exclusion de pare-feu sont constituées de groupes qui peuvent être exclus d'une règle de pare-feu basée sur l'appartenance à un groupe.

NSX prend en charge les groupes exclus du système et des groupes exclus par l'utilisateur :

  • Les groupes exclus du système sont gérés par le système et sont en lecture seule pour les utilisateurs. Les groupes exclus du système incluent les SVM de protection contre les programmes malveillants et d'insertion de services, ainsi que les dispositifs NSX Manager et NSX Edge qui sont déployés via un gestionnaire de calcul configuré.
  • Les groupes exclus par l'utilisateur sont gérés par l'utilisateur et vides par défaut.

    Les machines virtuelles telles que les équilibreurs de charge, les pare-feu, les fonctions de réseau virtuel (routage, commutation, etc.) et toutes les machines virtuelles qui nécessitent le mode promiscuité doivent se trouver dans une liste d'exclusion DFW. VMware ne prend pas en charge l'ajout de ces machines virtuelles à DFW ; vous devez les ajouter manuellement aux groupes exclus par l'utilisateur.

Dans le cluster NSX Manager, vous devez ajouter manuellement le premier nœud à la liste d'exclusion de pare-feu distribué.

Les groupes définis par l'utilisateur peuvent être exclus des règles de pare-feu et la liste peut contenir un maximum de 100 groupes. Les ensembles d'adresses IP, les ensembles d'adresses MAC et les groupes Active Directory ne peuvent pas être inclus en tant que membres d'un groupe utilisé dans une liste d'exclusion de pare-feu.

Les listes d'exclusion sont prises en charge sur un Gestionnaire global (GM) dans Fédération NSX. Sur un Gestionnaire local (LM), il existe deux listes d'exclusion : une du gestionnaire global et la propre liste d'exclusion du gestionnaire local. Tous les membres des deux listes sont exclus.

Les groupes Antrea ne sont pas pris en charge dans une liste d'exclusion de pare-feu.

Procédure

  1. Accédez à Sécurité > Pare-feu distribué > Paramètres.
  2. Pour afficher la liste d'exclusion en lecture seule, sélectionnez l'onglet VM exclues du système.
  3. Sélectionnez un dispositif NSX Manager de site local spécifique à afficher. Vous pouvez filtrer la liste de VM exclues du système par :
    • nom
    • système d'exploitation
    • état d'alimentation
    • source
    • balise
    • étendue de balise
  4. Pour afficher ou modifier les VM exclues par l'utilisateur, sélectionnez l'onglet Groupes exclus par l'utilisateur.
  5. Pour ajouter un groupe défini par l'utilisateur à la liste d'exclusion de pare-feu, cliquez sur Gérer la liste d'exclusion.

    Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans les listes d’exclusion.

  6. Recherchez ou créez le groupe qui doit être exclu, assurez-vous que la case correspondante est cochée et cliquez sur Enregistrer. Notez que l'ajout/la modification/la suppression d'un groupe ne modifie pas l'appartenance à la liste d'exclusion.
    1. Pour créer un groupe, cliquez sur Ajouter un groupe. Reportez-vous à la section Ajouter un groupe.
    2. Pour modifier un groupe, cochez la case en regard du groupe à modifier, puis cliquez sur le menu à trois points et sélectionnez Modifier.
    3. Pour supprimer un groupe, cochez la case en regard du groupe à supprimer, puis cliquez sur le menu à trois points et sélectionnez Supprimer.
    4. Pour afficher les détails du groupe, cliquez sur la flèche latérale.
  7. Cliquez sur Enregistrer.