Tramite il portale tenant, è possibile configurare le funzionalità del firewall fornite da NSX Data Center for vSphere nel virtual data center dell'organizzazione di VMware Cloud Director. È possibile creare regole del firewall per firewall distribuiti allo scopo di fornire sicurezza tra le macchine virtuali del virtual data center di un'organizzazione e regole del firewall da applicare a un firewall del gateway edge per proteggere dal traffico di rete esterno le macchine virtuali del virtual data center di un'organizzazione.
La tecnologia del firewall logico di NSX Data Center for vSphere include due componenti per soddisfare diversi casi d'uso della distribuzione. Il firewall del gateway edge si occupa dell'applicazione del traffico verticale, mentre il firewall distribuito si occupa dei controlli di accesso orizzontale.
Differenze principali tra firewall del gateway edge e firewall distribuiti
Un firewall del gateway edge monitora il traffico verticale per fornire funzionalità di sicurezza del perimetro che includono firewall e Network Address Translation (NAT), oltre a funzionalità IPSec e VPN SSL tra siti.
Un firewall distribuito offre la possibilità di isolare e proteggere ciascuna macchina virtuale e applicazione fino al livello 2 (L2). La configurazione di firewall distribuiti consente di mettere efficacemente in quarantena qualsiasi compromissione della sicurezza di rete esterna o interna, isolando il traffico orizzontale tra macchine virtuali nello stesso segmento di rete. I criteri di protezione sono gestiti centralmente, ereditabili e nidificabili. In questo modo, gli amministratori di rete e della sicurezza possono gestirli scalarmente. Inoltre, una volta distribuiti, i criteri di protezione definiti seguono le applicazioni o le macchine virtuali quando vengono spostate tra virtual data center diversi.
Informazioni sulle regole del firewall
Come descritto nella documentazione del prodotto pertinente, in NSX Data Center for vSphere, le regole del firewall definite a livello centralizzato vengono definite pre-regole. È inoltre possibile aggiungere regole a livello di un gateway edge singolo, che vengono definite regole locali.
Ogni sessione di traffico viene verificata in base alla regola principale nella tabella del firewall prima di passare alle regole successive più in basso nella tabella. Viene applicata la prima regola nella tabella che corrisponde ai parametri del traffico. Le regole vengono visualizzate nell'ordine seguente:
- Le pre-regole definite dall'utente hanno la priorità più alta e vengono applicate seguendo l'ordine dall'alto al basso con una precedenza a livello di NIC virtuale.
- Regole con plumbing automatico (regole che abilitano il flusso del traffico di controllo per i servizi del gateway edge).
- Regole locali definite a livello del gateway edge.
- Regola del firewall distribuito predefinita
Per ulteriori informazioni su come il software NSX Data Center for vSphere applica le regole del firewall, vedere l'argomento relativo alla modifica dell'ordine di una regola del firewall nella documentazione di NSX Data Center for vSphere.