Una sezione di regole del firewall viene modificata e salvata in modo indipendente e viene utilizzata per applicare una configurazione del firewall separata ai tenant.

Prerequisiti

Verificare che sia selezionata la modalità Manager nell'interfaccia utente di NSX Manager. Vedere NSX Manager. Se non sono presenti i pulsanti delle modalità Criterio e Manager, vedere Configurazione delle impostazioni dell'interfaccia utente.

Procedura

  1. Selezionare Sicurezza > Firewall distribuito.
  2. Fare clic sulla scheda Generale per le regole di livello 3 (L3) o sulla scheda Ethernet per le regole di livello 2 (L2).
  3. Fare clic su una sezione o una regola esistente.
  4. Fare clic sull'icona della sezione nella barra dei menu e selezionare Aggiungi sezione precedente o Aggiungi sezione successiva.
    Nota: Alle informazioni del pacchetto di qualsiasi traffico che tenta di passare attraverso il firewall, vengono applicate le regole nell'ordine visibile nella tabella delle regole, iniziando dalla parte superiore e continuando con le regole predefinite nella parte inferiore. In alcuni casi, l'ordine di precedenza di due o più regole può essere importante per determinare la strada che seguirà un pacchetto.
  5. Immettere il nome della sezione.
  6. Per rendere il firewall stateless, selezionare Abilita firewall stateless. Questa opzione è applicabile solo per il livello 3.
    I firewall stateless osservano il traffico di rete e limitano o bloccano i pacchetti in base agli indirizzi di origine e di destinazione o ad altri valori statici. Per i flussi TCP e UDP, dopo il primo pacchetto, viene creata e gestita una cache per la tupla del traffico in una direzione qualsiasi, se il risultato del firewall è CONSENTI. Ciò significa che il traffico non deve essere più controllato rispetto alle regole del firewall, ottenendo così una latenza inferiore. I firewall stateless sono quindi in genere più veloci e con prestazioni migliori in situazioni di carichi di traffico più pesanti.

    I firewall stateful possono osservare i flussi del traffico da estremità a estremità. Il firewall viene interpellato per ogni pacchetto, per convalidare lo stato e i numeri di sequenza. I firewall stateful sono migliori nell'identificazione delle comunicazioni non autorizzate e contraffatte.

    Una volta definito, non è possibile alternare tra stateful e stateless.
  7. Selezionare uno o più oggetti per applicare la sezione.
    I tipi di oggetto sono porte logiche, commutatori logici e gruppo NS. Se si seleziona un gruppo NS, questo deve contenere uno o più commutatori logici o porte logiche. Se il gruppo NS contiene solo set di IP o set di MAC, verrà ignorato.
    Nota: Se la sezione e le regole all'interno hanno Si applica a impostato su NSGroup, allora le impostazioni Si applica a in una sezione sovrascriveranno tutte le impostazioni Si applica a nelle regole di tale sezione. Questo perché il firewall a livello di sezione Si applica a ha la precedenza su Si applica a a livello della regola.
  8. Fare clic su OK.

Operazioni successive

Aggiungere regole firewall alla sezione.