È possibile creare regole firewall del gateway e distribuite dal Global Manager con intervalli globali, regionali o locali.
- Criterio di sicurezza coerente per tutte le distribuzioni gestite con federazione di NSX.
- Ripristino di emergenza efficace che garantisce la continuità del framework di sicurezza stabilito.
- Estensione del framework di rete e di sicurezza a un'altra posizione, se le risorse di elaborazione in una posizione sono in esaurimento.
Le regole e i criteri firewall del gateway e distribuiti creati dal Global Manager vengono sincronizzati nei Local Manager, dove vengono visualizzati con un'icona . È possibile modificare le regole create dal Global Manager solo dal Global Manager. Le regole non possono essere modificate dal Local Manager.
Regole e criteri federazione di NSX del firewall distribuito (DFW).
Utilizzare questo esempio per comprendere i workflow del firewall supportati:
- Nell'esempio il Global Manager include tre Local Manager registrati, denominati Location1, Location2 e Location3.
- Il Global Manager crea automaticamente le seguenti regioni:
- Global
- Location1
- Location2
- Location3
- Viene creata una regione personalizzata denominata: Region1 che include i Local Manager Location2 e Location3.
- È possibile creare i gruppi seguenti:
- Group1: regione Global.
- Group2: regione Location1.
- Group3: regione Location2.
- Group4: regione Location3.
- Group5: regione Region1.
Regole e criteri DFW
Sono supportati i seguenti casi d'uso:
- Intervallo del gruppo: è possibile creare gruppi in Global Manager con un intervallo globale, locale o regionale. Vedere Creazione di gruppi da Global Manager.
- Gruppi dinamici: è possibile creare gruppi in base a criteri dinamici, ad esempio tag.
- Intervallo criterio DFW: i criteri DFW possono essere applicati a un intervallo globale, regionale o locale.
- Gruppi di origine e destinazione della regola DFW: tutti i gruppi nel campo di origine o nel campo di destinazione devono corrispondere all'intervallo del criterio DFW. Il sistema crea automaticamente gruppi in posizioni che non rientrano nell'intervallo del criterio.Fare riferimento alla tabella per esempi di gruppi di origine e di destinazione validi e non validi nelle regole DFW:
Tabella 1. Origine e destinazione valide per una regola DFW in base all'intervallo del criterio DFW Intervallo del criterio DFW (Si applica a) Scenari supportati nelle regole DFW GlobalNell'esempio questa regione contiene i seguenti gruppi: - Group1
Per un criterio DFW con l'intervallo della regione Global, tutti i gruppi sono consentiti nell'origine e nella destinazione della regola DFW. Di seguito sono riportati alcuni scenari tipici supportati: - Origine: Group2; Destinazione Group3
- Origine: Group3; Destinazione Group4
- Origine: Group4; Destinazione: Qualsiasi
- Origine: Group1; Destinazione Group2.
Location1 : regione creata automaticamente per il Local Manager nella posizione 1. Nell'esempio questa regione contiene i seguenti gruppi: - Group2
Per un criterio DFW con l'intervallo di un'unica posizione: Location1 in questo esempio, il gruppo di origine o di destinazione per la regola DFW deve appartenere a Location1.Sono supportati i seguenti scenari: - Origine: Group2; Destinazione Group2
- Origine: Group3; Destinazione Group2.
- Origine: Group2; Destinazione Group4.
- Origine Group1; Destinazione Group2.
Di seguito è disponibile un esempio di selezioni di gruppi non supportate per questo intervallo di criteri. Sia il gruppo di origine che quello di destinazione non rientrano nell'intervallo del criterio:- Origine Group5; Destinazione Group3.
- Origine Group1; Destinazione Group3.
Region1: regione creata dall'utente che si estende a Location2 e Location3. Nell'esempio questa regione contiene i seguenti gruppi: - Group5
Per un criterio DFW con l'intervallo di una regione creata dall'utente: Region1 in questo esempio, il gruppo di origine o quello di destinazione per la regola DFW deve contenere posizioni che appartengono a Region1.
Sono supportati i seguenti scenari:- Origine: Group5; Destinazione Group2.
- Origine: Group2; Destinazione Group5.
- Origine: Group2; Destinazione Group3.
- Origine: Group3; Destinazione Group4.
- Origine: Qualsiasi;Destinazione: Group5
- Origine Group4; Destinazione Qualsiasi
Di seguito è disponibile un esempio di selezioni di gruppi non supportate per questo intervallo di criteri. Sia il gruppo di origine che quello di destinazione non rientrano nell'intervallo del criterio:- Origine Group2; Destinazione Group2.
- Origine Group1; Destinazione Group2.
- Origine Group1; Destinazione Group1.
- Se un gruppo contiene segmenti, l'intervallo del criterio DFW deve essere maggiore di o uguale all'intervallo del segmento. Ad esempio, se un gruppo contiene un segmento il cui intervallo è Location1, il criterio DFW non può essere applicato alla regione Region1 perché contiene solo Location2 e Location3.
federazione di NSX di regole e criteri firewall del gateway
Intervallo della regola firewall del gateway (Si applica a) | Si applica a |
---|---|
Applica regola al gateway | La regola si applica a tutte le interfacce collegate a questo gateway, in tutte le posizioni su cui si estende il gateway. |
Selezionare una posizione, quindi scegliere Applica regola a tutte le entità. | La regola si applica solo alla posizione selezionata. |
Selezionare una posizione, quindi selezionare le interfacce da tale posizione. Ripetere per le altre posizioni, selezionando le interfacce per ogni posizione a cui si desidera applicare la regola. | La regola si applica solo alle interfacce selezionate. |