Les groupes incluent différents objets qui sont ajoutés à la fois statiquement et dynamiquement, et peuvent être utilisés comme source et destination d'une règle de pare-feu.
Des groupes peuvent être configurés de manière à comporter des machines virtuelles, des ensembles d'adresses IP, des ensembles d'adresses MAC, des ports de segment, des segments, des groupes d'utilisateurs AD et d'autres groupes. L'inclusion dynamique de groupes peut reposer sur une balise, un nom de machine, un nom de système d'exploitation ou un nom d'ordinateur.
Un flux IP malveillant est activé. Une liste d'adresses IP malveillantes connues est téléchargée à partir du service cloud NTICS. Vous pouvez créer des groupes pour inclure ces adresses IP téléchargées et configurer des règles de pare-feu pour bloquer l'accès à ceux-ci. Un groupe générique ou d’adresses IP uniquement ne peut pas être converti en groupe d'adresses IP uniquement avec des adresses IP malveillantes, et inversement. Cependant, un groupe générique peut être converti en un groupe d’adresses IP uniquement sans adresses IP malveillantes.
Les groupes peuvent également être exclus des règles de pare-feu et la liste peut contenir un maximum de 100 groupes. Les ensembles d'adresses IP, les ensembles d'adresses MAC et les groupes AD ne peuvent pas être inclus en tant que membres dans un groupe utilisé dans une liste d'exclusion de pare-feu. Pour plus d'informations, reportez-vous à la section Gérer une liste d'exclusion de pare-feu.
Si vous utilisez des groupes Active Directory comme source, un seul groupe Active Directory peut être utilisé. Si des groupes d'adresses IP et Active Directory sont nécessaires à la source, créez deux règles de pare-feu distinctes.
Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.Pour les groupes de stratégies contenant des adresses IP ou des adresses MAC, l'API de liste NSGroup n’affichera PAS l'attribut « membres ». Cela s'applique également aux groupes contenant une combinaison de membres statiques. Par exemple, si un groupe de stratégies contient une adresse IP et un DVPG, l'API de liste NSGroup n'affiche pas l'attribut members.
Pour les groupes de stratégies ne contenant pas d'adresses IP, d'adresses MAC ou de groupes d'identité, l'attribut de membre s'affiche dans la réponse de NSGroup. Toutefois, les nouveaux membres et critères introduits dans NSX (tels que DVPort et DVPG) ne seront pas inclus dans la définition du groupe de plan de gestion. Les utilisateurs peuvent afficher la définition dans la stratégie.
Les balises dans NSX sont sensibles à la casse, mais un groupe basé sur les balises « n'est pas sensible à la casse ». Par exemple, si le critère d'appartenance au groupement dynamique est VM Tag Equals 'quarantine'
, le groupe comprend toutes les machines virtuelles qui contiennent les balises « mise en quarantaine » ou « MISE EN QUARANTAINE ».