Il componente aggiuntivo NSX Advanced Firewall consente all'SDDC di utilizzare funzionalità di NSX-T avanzate.

NSX Advanced Firewall per le funzionalità di VMware Cloud on AWS include:

Per attivare il componente aggiuntivo NSX Advanced Firewall nell'SDDC, aprire la scheda Componenti aggiuntivi e fare clic su Attiva nella scheda Componente aggiuntivo NSX Advanced Firewall. Dopo l'attivazione del componente aggiuntivo, le funzionalità di sicurezza avanzate di NSX-T diventano disponibili nella scheda Rete e sicurezza dell'SDDC.

La documentazione dettagliata relative a queste funzionalità è disponibile nella Documentazione di prodotto di VMware NSX-T Data Center. Esistono alcune differenze operative tra il funzionamento delle funzionalità di NSX-T in locale e il loro funzionamento nella scheda Rete e sicurezza di VMware Cloud on AWS. Ad esempio, la maggior parte delle procedure nella Documentazione di prodotto di VMware NSX-T Data Center include un passaggio che indica di effettuare l'accesso con privilegi di amministratore in NSX Manager. Questo passaggio non è necessario in VMware Cloud on AWS perché l'apertura della scheda Rete e sicurezza concede l'accesso amministrativo a NSX Manager nell'SDDC. Le altre differenze sono elencate nelle sezioni seguenti.

Utilizzo dei profili di contesto nell'SDDC

Aprire la scheda Rete e sicurezza, quindi fare clic sul pulsante Profili di contesto in Inventario. È possibile specificare un profilo di contesto in una regola del firewall distribuito aggiornando il valore nella colonna Profili della griglia Firewall distribuito. Per ulteriori informazioni, vedere Workflow della regola del firewall di livello 7 nella Documentazione di prodotto di VMware NSX-T Data Center.

In VMware Cloud on AWS, i profili di contesto sono supportati solo per l'utilizzo con le regole del firewall distribuito. Non possono essere utilizzati con le regole del firewall MGW o CGW.

Utilizzo di IDS/IPS distribuiti nell'SDDC

Aprire la scheda Rete e sicurezza, quindi fare clic sul pulsante IDS/IPS distribuiti in Sicurezza. Per ulteriori informazioni, vedere IDS/IPS distribuiti nella Documentazione di prodotto di VMware NSX-T Data Center.

Quando si utilizza questa funzionalità in VMware Cloud on AWS, tenere presenti le differenze operative seguenti:
Abilitazione per cluster
Per utilizzare questa funzionalità, abilitarla in uno o più cluster SDDC. Aprire la scheda Rete e sicurezza, quindi fare clic sul pulsante IDS/IPS distribuiti in Sicurezza. Nella pagina IDS/IPS distribuiti, fare clic sulla scheda Impostazioni, quindi selezionare uno o più cluster in Abilita prevenzione e rilevamento intrusioni per i cluster. Poiché vMotion al momento non verifica lo stato di abilitazione di IDS/IPS di un cluster prima della migrazione delle macchine virtuali, è consigliabile abilitare questa funzionalità in tutti i cluster in modo che la migrazione non influisca sull'applicazione di IDS/IPS ad alcuna macchina virtuale del carico di lavoro.
Nessun accesso agli host
Poiché VMware Cloud on AWS non consente di accedere agli host SDDC, non è possibile eseguire la Verifica dello stato di IDS distribuito nell'host. Inoltre, gli eventi di IDS/IPS distribuiti non sono disponibili.
Registrazione
In VMware Cloud on AWS, gli eventi generati da questa funzionalità vengono registrati in VMware vRealize Log Insight Cloud.

Utilizzo del firewall di identità nell'SDDC

Aprire la scheda Rete e sicurezza, quindi fare clic sul pulsante AD firewall identità in Sistema per aggiungere un dominio Active Directory dell'SDDC in modo da poter creare regole del firewall di identità basate sull'utente. (Nell'interfaccia Web di NSX Manager, aprire la scheda Sistema e fare clic su Configurazione > AD firewall identità.)

Quando si utilizza questa funzionalità in VMware Cloud on AWS, tenere presenti le differenze operative seguenti:
Abilitazione della funzionalità per uno o più cluster SDDC
Prima di poter utilizzare questa funzionalità, è necessario eseguire il passaggio "Configurazione delle impostazioni del firewall di identità" in Gestione delle regole del firewall distribuito per abilitare la funzionalità e applicarla a uno o più cluster dell'SDDC.
Creazione di una regola del firewall per consentire l'accesso Active Directory
Se si utilizza Active Directory, è inoltre necessario creare una regola del firewall del gateway di gestione per consentire a NSX Manager di accedere al server di Active Directory definito. Questa funzionalità non funziona se l'accesso ad Active Directory viene interrotto nell'SDDC. È quindi importante assicurarsi che la regola del firewall creata qui rimanga valida anche se vengono apportate modifiche al server di Active Directory. Per ulteriori informazioni, vedere Aggiunta di Active Directory nella Documentazione di prodotto di VMware NSX-T Data Center.
Filtro del nome di dominio completo distribuito
In VMware Cloud on AWS, il filtro del nome di dominio completo di NSX-T è supportato solo per l'utilizzo con le regole del firewall distribuito. Non può essere utilizzato con le regole del firewall MGW o CGW. Per utilizzare questa funzionalità, iniziare aggiungendo una regola di snooping DNS come prima regola del criterio seguendo le istruzioni in Filtro di domini specifici (FQDN/URL). È inoltre necessario abilitare il profilo di segmento FQDNfiltering-spoofguard-profile predefinito per tutti i segmenti in cui si desidera supportare il filtro del nome di dominio completo. Vedere Creazione o modifica di un segmento di rete per informazioni sull'applicazione di un profilo di segmento a un segmento di rete dell'SDDC.
Registrazione
In VMware Cloud on AWS, gli eventi generati da questa funzionalità vengono registrati in VMware vRealize Log Insight Cloud.

Disattivazione del componente aggiuntivo NSX Advanced Firewall

Prima di poter disattivare il componente aggiuntivo NSX Advanced Firewall, è necessario rimuovere tutte le regole del firewall che fanno riferimento alle funzionalità del componente aggiuntivo. Tra cui:
  • Tutte le regole del firewall distribuito che includono un profilo del contesto
  • Tutte le regole e i profili di IDS/IPS distribuiti
  • Tutte le regole del firewall basate sull'identità
Dopo aver rimosso questi oggetti, è possibile disattivare il componente aggiuntivo:
  1. Aprire la scheda Componenti aggiuntivi nell'SDDC.
  2. Nella scheda Componente aggiuntivo NSX Advanced Firewall, fare clic su Azioni > Disattiva.
  3. Rivedere l'elenco di oggetti da rimuovere prima della disattivazione. Quando si è sicuri che gli oggetti siano stati rimossi, fare clic su Conferma la disattivazione.
La fatturazione per il componente aggiuntivo viene interrotta non appena viene completata la disattivazione.