Les termes suivants sont utilisés dans le pare-feu distribué.
Construction | Définition |
---|---|
Appliqué à | Définit l'étendue de la mise en application pour chaque stratégie. Elle est utilisée principalement pour l'optimisation des ressources sur les hôtes ESXi. Elle permet de définir une stratégie ciblée pour des zones, des locataires ou des applications spécifiques, sans interférer avec d'autres stratégies définies pour d'autres applications, locataires et zones. Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à. |
Profil de contexte | Définit des attributs basés sur le contexte, notamment le nom de domaine et l'ID d'application. Comprend également des sous-attributs, comme la version de l'application ou un ensemble de chiffrement. Les règles de pare-feu peuvent inclure un profil de contexte pour activer des règles de pare-feu de couche 7. |
Catégories de pare-feu | NSX traite les règles de pare-feu pour les pare-feu distribués et les pare-feu de passerelle via cinq catégories : Ethernet, Urgence, Infrastructure, Environnement et Application. Les catégories sont évaluées de gauche à droite (Ethernet > Urgence > Infrastructure > Environnement > Application) et les règles de pare-feu distribué dans la catégorie sont évaluées de haut en bas. |
Brouillon de pare-feu | Un brouillon est une configuration de pare-feu distribué complète avec des sections et des règles de stratégie. Les brouillons peuvent être enregistrés automatiquement ou manuellement, puis publiés ou enregistrés immédiatement pour une publication à une date ultérieure. |
Groupe | Les groupes comprennent différents objets, ajoutés à la fois statiquement et dynamiquement, et pouvant faire office de champs source et de destination pour une règle de pare-feu. Des groupes peuvent être configurés de manière à comporter un ensemble de machines virtuelles, d'adresses IP, d'adresses MAC, de ports logiques, de commutateurs logiques, de groupes d'utilisateurs AD et d'autres groupes imbriqués. L'inclusion dynamique de groupes peut reposer sur une balise, un nom de machine, un nom de système d'exploitation ou un nom d'ordinateur. Lorsque vous créez un groupe, vous devez inclure un domaine auquel il appartient et, par défaut, ce dernier sera le domaine par défaut. Les groupes étaient précédemment appelés NSGroup ou groupe de sécurité. |
Stratégie de redirection | Garantit que le trafic classé pour une chaîne de services spécifique est redirigé vers cette chaîne de services. Elle repose sur des modèles de trafic qui correspondent au groupe de sécurité NSX et à une chaîne de services. L'ensemble du trafic correspondant au modèle est redirigé le long de la chaîne de services. |
Règle | Ensemble de paramètres auxquels les flux sont comparés et qui déterminent les mesures prises en cas de correspondance. Les règles comprennent des paramètres tels que la source et la destination, le service, le profil de contexte, la journalisation et les balises. |
Service | Définit une combinaison de port et protocole. Utilisé pour classer le trafic en fonction d'un port et d'un protocole. Des services prédéfinis et des services définis par l'utilisateur peuvent être utilisés dans les règles de pare-feu. |
Chaîne de service | Séquence logique de profils de service, définie par un administrateur. Les profils de service examinent le trafic réseau dans l'ordre défini dans la chaîne de services. Par exemple, le premier profil de service est le pare-feu, le deuxième est le moniteur, etc. Des chaînes de services peuvent spécifier une séquence différente de profils de service pour les différentes directions du trafic (entrée/sortie). |
Stratégie | Une stratégie de sécurité inclut divers éléments de sécurité, notamment des règles de pare-feu et des configurations de service. La stratégie était précédemment appelée une section de pare-feu. |