Il servizio NSX Advanced Firewall consente all'SDDC di utilizzare le funzionalità di avanzate di NSX.

Il servizio NSX Advanced Firewall è disponibile negli SDDC VMware Cloud on AWS 1.16 e versioni successive. Questo servizio include:

Per attivare il componente aggiuntivo NSX Advanced Firewall nell'SDDC, aprire la scheda Componenti aggiuntivi e fare clic su ATTIVA nella scheda Componente aggiuntivo NSX Advanced Firewall. Dopo l'attivazione del componente aggiuntivo, le funzionalità di sicurezza avanzate di NSX saranno disponibili nell'SDDC.

La documentazione dettagliata relativa a tutte queste funzionalità è disponibile nella documentazione del prodotto NSX. Esistono alcune differenze operative tra il funzionamento delle funzionalità in un NSX locale e il loro funzionamento in VMware Cloud on AWS. Ad esempio, la maggior parte delle procedure nella documentazione del prodotto NSX include un passaggio che indica di accedere con privilegi di amministratore in NSX Manager. Questo passaggio non è necessario in VMware Cloud on AWS perché facendo clic su APRI NSX MANAGER o aprendo la scheda Rete e sicurezza si acquisisce l'accesso amministrativo a NSX Manager nell'SDDC. Le altre differenze sono elencate nelle sezioni seguenti.

Utilizzo dei profili di contesto nell'SDDC

Fare clic su Inventario > Profili contesto. È possibile specificare un profilo di contesto in una regola del firewall distribuito aggiornando il valore nella colonna Profili della griglia Firewall distribuito. Per ulteriori informazioni, vedere Workflow della regola del firewall di livello 7 nella documentazione del prodotto NSX.

In VMware Cloud on AWS, i profili di contesto sono supportati solo per l'utilizzo con le regole del firewall distribuito. Non possono essere utilizzati con le regole del firewall MGW o CGW.

Utilizzo di IDS/IPS distribuiti nell'SDDC

Fare clic su Sicurezza > IDS/IPS distribuiti. Per ulteriori informazioni, vedere IDS/IPS distribuiti nella documentazione del prodotto NSX.

Quando si utilizza questa funzionalità in VMware Cloud on AWS, tenere presenti le differenze operative seguenti:
Abilitazione per cluster
Per utilizzare questa funzionalità, abilitarla in uno o più cluster SDDC. Nella pagina IDS/IPS distribuiti, fare clic sulla scheda Impostazioni, quindi selezionare uno o più cluster in Abilita prevenzione e rilevamento intrusioni per i cluster. Poiché vMotion al momento non verifica lo stato di abilitazione di IDS/IPS di un cluster prima della migrazione delle macchine virtuali, è consigliabile abilitare questa funzionalità in tutti i cluster in modo che la migrazione non influisca sull'applicazione di IDS/IPS ad alcuna macchina virtuale del carico di lavoro.
Nessun accesso agli host
Poiché VMware Cloud on AWS non consente di accedere agli host SDDC, non è possibile eseguire la Verifica dello stato di IDS distribuito nell'host.
Registrazione
In VMware Cloud on AWS, gli eventi generati da questa funzionalità vengono registrati in VMware Aria Operations for Logs.

Utilizzo del firewall di identità nell'SDDC

Fare clic su Sistema > AD firewall identità per aggiungere un dominio di Active Directory dell'SDDC in modo da poter creare regole del firewall dell'identità basate sull'utente. Quando si utilizza questa funzionalità in VMware Cloud on AWS, tenere presenti le differenze operative seguenti:
Abilitazione della funzionalità per uno o più cluster SDDC
Prima di poter utilizzare questa funzionalità, è necessario eseguire il passaggio "Configurazione delle impostazioni del firewall di identità" in Gestione delle regole del firewall distribuito per abilitare la funzionalità e applicarla a uno o più cluster dell'SDDC.
Creazione di una regola del firewall per consentire l'accesso Active Directory
Se si utilizza Active Directory, è inoltre necessario creare una regola del firewall del gateway di gestione per consentire a NSX di accedere al server di Active Directory che si desidera utilizzare. Questa funzionalità non funziona se l'accesso ad Active Directory viene interrotto nell'SDDC. È quindi importante assicurarsi che la regola del firewall creata qui rimanga valida anche se vengono apportate modifiche al server di Active Directory. Per ulteriori informazioni, vedere Aggiunta di Active Directory nella documentazione del prodotto NSX.
Registrazione
In VMware Cloud on AWS, gli eventi generati da questa funzionalità vengono registrati in VMware Aria Operations for Logs.

Utilizzo del filtro dell'FQDN distribuito nell'SDDC

In VMware Cloud on AWS, il filtro del nome di dominio completo di NSX è supportato solo per l'utilizzo con le regole del firewall distribuito. Non può essere utilizzato con le regole del firewall MGW o CGW. Per utilizzare questa funzionalità, iniziare aggiungendo una regola di snooping DNS come prima regola del criterio seguendo le istruzioni in Filtro di domini specifici (FQDN/URL). È inoltre necessario abilitare il profilo di segmento FQDNfiltering-spoofguard-profile predefinito per tutti i segmenti in cui si desidera supportare il filtro del nome di dominio completo. Vedere Creazione o modifica di un segmento di rete per informazioni sull'applicazione di un profilo di segmento a un segmento di rete dell'SDDC.

Disattivazione del componente aggiuntivo NSX Advanced Firewall

Prima di poter disattivare il componente aggiuntivo NSX Advanced Firewall, è necessario rimuovere tutte le regole del firewall che fanno riferimento alle funzionalità del componente aggiuntivo. Tra cui:
  • Tutte le regole del firewall distribuito che includono un profilo del contesto
  • Tutte le regole e i profili di IDS/IPS distribuiti
  • Tutte le regole del firewall basate sull'identità
Dopo aver rimosso questi oggetti, è possibile disattivare il componente aggiuntivo:
  1. Aprire la scheda Componenti aggiuntivi nell'SDDC.
  2. Nella scheda Componente aggiuntivo NSX Advanced Firewall, fare clic su Azioni > Disattiva.
  3. Rivedere l'elenco di oggetti da rimuovere prima della disattivazione. Quando si è sicuri che gli oggetti siano stati rimossi, fare clic su Conferma la disattivazione.
La fatturazione per il componente aggiuntivo viene interrotta non appena viene completata la disattivazione.