Gli utenti in un progetto possono creare i propri criteri del firewall distribuito per proteggere il flusso del traffico est-ovest all'interno del progetto. Le regole del firewall distribuito in un progetto non influiscono sui carichi di lavoro esterni al progetto.

Regole DFW predefinite in un progetto

Per ogni progetto aggiunto in NSX, il sistema crea un criterio DFW predefinito nel progetto. Il criterio predefinito viene visualizzato nella parte inferiore dell'elenco dei criteri nella categoria di firewall Applicazione. Il criterio predefinito definisce il comportamento per le macchine virtuali all'interno del progetto se non vengono rilevate altre regole.

Viene utilizzata la seguente convenzione di denominazione per identificare il criterio DFW predefinito in un progetto:

ORG-default PROJECT-<Project_Name> Default Layer 3 section

Project_Name viene sostituito con il valore effettivo nel sistema.

Ad esempio, la schermata seguente mostra le regole dei criteri DFW predefinite in un progetto.


Questa immagine è descritta nel testo circostante.

Come si evince dalla schermata, il criterio predefinito viene applicato a DFW e contiene le regole del firewall seguenti:

  • La regola 1017 consente il traffico IPv6-ICMP.
  • La regola 1018 consente la comunicazione con il client e il server DHCPv4.
  • La regola 1019 consente la comunicazione con il client e il server DHCPv6. (Introdotta in NSX 4.1.1)
  • La regola 1020 consente la comunicazione tra le macchine virtuali del carico di lavoro all'interno del progetto.
  • La regola 1021 elimina tutte le altre comunicazioni che non corrispondono ad alcuna delle regole precedenti.

Il criterio DFW predefinito garantisce che le macchine virtuali all'interno di un progetto possano raggiungere solo altre macchine virtuali nello stesso progetto, incluso il server DHCP. La comunicazione con le macchine virtuali esterne al progetto è bloccata. Per impostazione predefinita, le macchine virtuali connesse ai segmenti all'interno del progetto non possono eseguire il ping del gateway predefinito. Se tale comunicazione è necessaria, è necessario aggiungere nuove regole o modificare regole esistenti nel criterio DFW predefinito.

Regole DFW create dall'utente in un progetto

Le categorie di firewall DFW Infrastruttura, Ambiente e Applicazione sono supportate per i progetti all'interno dell'organizzazione. In ogni categoria di firewall, le regole DFW vengono applicate nell'ordine di precedenza seguente:
  1. Regole DFW nello spazio predefinito (precedenza più alta)
  2. Regole DFW nel progetto
  3. (A partire da NSX 4.1.1): regole del firewall E-O nei VPC NSX all'interno del progetto (precedenza più bassa)

Le regole DFW dello spazio predefinito possono estendersi a un progetto.

Nota: Le regole DFW nello spazio predefinito si applicano a ogni macchina virtuale nella distribuzione di NSX, incluse le macchine virtuali nei progetti. Tuttavia, è possibile limitare l'ambito delle regole nello spazio predefinito selezionando l'opzione Gruppi dall'impostazione Si applica a nell'interfaccia utente.

Ad esempio, è possibile scegliere di applicare le regole al gruppo predefinito del progetto (ORG-default-PROJECT-<Nome_progetto>). Il gruppo predefinito del progetto contiene solo le macchine virtuali del carico di lavoro di un progetto.

Le regole DFW all'interno di un progetto possono accedere ai seguenti gruppi:
  • Gruppi creati nel progetto.
  • Gruppi condivisi con il progetto.

I gruppi condivisi con i progetti possono essere utilizzati solo nei campi Origine o Destinazione delle regole del firewall e non nel campo Si applica a della regola del firewall.

(A partire da NSX 4.1.1): se in un progetto vengono aggiunti VPC NSX, i gruppi predefiniti creati dal sistema nei VPC NSX possono essere utilizzati nei campi Origine, Destinazione e Si applica a delle regole del firewall del progetto. Tuttavia, i gruppi creati dall'utente nei VPC di NSX non possono essere utilizzati nelle regole del firewall del progetto.

Le regole del firewall di un progetto si applicano solo alle macchine virtuali nel progetto, ovvero alle macchine virtuali connesse ai segmenti nel progetto. Le regole del firewall in un progetto, incluse le regole Qualsiasi-Qualsiasi applicate a DFW, non influiscono sui carichi di lavoro esterni al progetto.

Aggiunta di un criterio DFW in un progetto

Il workflow dell'interfaccia utente per l'aggiunta di un criterio DFW in un progetto rimane invariato a quello attualmente esistente per l'aggiunta di criteri nella vista Predefinita (spazio predefinito) della distribuzione di NSX.

L'unica differenza è che nell'interfaccia utente è innanzitutto necessario selezionare un progetto dal menu a discesa del commutatore progetti nella barra delle applicazioni in alto e quindi passare a Sicurezza > Firewall distribuito per aggiungere criteri DFW in tale progetto selezionato.