È possibile creare regole firewall del gateway e distribuite dal Global Manager con intervalli globali, regionali o locali.

La sicurezza di federazione di NSX offre i seguenti vantaggi:
  • Criterio di sicurezza coerente per tutte le distribuzioni gestite con federazione di NSX.
  • Ripristino di emergenza efficace che garantisce la continuità del framework di sicurezza stabilito.
  • Estensione del framework di rete e di sicurezza a un'altra posizione, se le risorse di elaborazione in una posizione sono in esaurimento.

Le regole e i criteri del firewall distribuito e del firewall del gateway creati dal Global Manager vengono sincronizzati nei Local Manager, dove vengono visualizzati con un'icona GM. È possibile modificare le regole create dal Global Manager solo dal Global Manager. Le regole non possono essere modificate dal Local Manager.

In NSX 4.0.1.1 e versioni successive, il firewall distribuito viene attivato e disattivato con un pulsante a livello del Global Manager. La modifica dell'imposizione del firewall distribuito viene segnalata a livello del Global Manager e non può essere sostituita a livello del Local Manager. Per attivare il firewall distribuito nel Global Manager, passare a Sicurezza > Firewall distribuito > Azioni > Impostazioni generali e attivare il commutatore Stato dei servizi distribuiti.

Regole e criteri federazione di NSX del firewall distribuito (DFW).

Utilizzare questo esempio per comprendere i workflow del firewall supportati:

""
  • Nell'esempio, il Global Manager include tre Local Manager registrati, denominati Location1 , Location2 e Location3.
  • Il Global Manager crea automaticamente le seguenti regioni:
    • Global
    • Location1
    • Location2
    • Location3
  • Viene creata una regione personalizzata denominata: Region1 che include i Local Manager Location2 e Location3.
  • È possibile creare i gruppi seguenti:
    • Group1: regione Global.
    • Group2: regione Location1.
    • Group3: regione Location2.
    • Group4: regione Location3.
    • Group5: regione Region1.

Regole e criteri DFW

Sono supportati i seguenti casi d'uso:

  • Intervallo del gruppo: è possibile creare gruppi in Global Manager con un intervallo globale, locale o regionale. Vedere Creazione di gruppi da Global Manager.
  • Gruppi dinamici: è possibile creare gruppi in base a criteri dinamici, ad esempio tag.
  • Intervallo criterio DFW: i criteri DFW possono essere applicati a un intervallo globale, regionale o locale.
  • Gruppi di origine e destinazione della regola DFW: tutti i gruppi nel campo di origine o nel campo di destinazione devono corrispondere all'intervallo del criterio DFW. Il sistema crea automaticamente gruppi in posizioni che non rientrano nell'intervallo del criterio.

    ""

    Fare riferimento alla tabella per esempi di gruppi di origine e di destinazione validi e non validi nelle regole DFW:
    Tabella 1. Origine e destinazione valide per una regola DFW in base all'intervallo del criterio DFW
    Intervallo del criterio DFW (Si applica a) Scenari supportati nelle regole DFW
    GlobalNell'esempio questa regione contiene i seguenti gruppi:
    • Group1
    		 Per un criterio DFW con l'intervallo della regione Global, tutti i gruppi sono consentiti nell'origine e nella destinazione della regola DFW. Di seguito sono riportati alcuni scenari tipici supportati:
    • Origine: Group2; Destinazione Group3
    • Origine: Group3; Destinazione Group4
    • Origine: Group4; Destinazione: Qualsiasi
    • Origine: Group1; Destinazione Group2.
    Location1 : regione creata automaticamente per il Local Manager nella posizione 1.

    Nell'esempio questa regione contiene i seguenti gruppi:
    • Group2
    		 Per un criterio DFW con l'intervallo di un'unica posizione: Location1 in questo esempio, il gruppo di origine o di destinazione per la regola DFW deve appartenere a Location1.

    Sono supportati i seguenti scenari:
    • Origine: Group2; Destinazione Group2
    • Origine: Group3; Destinazione Group2.
    • Origine: Group2; Destinazione Group4.
    • Origine Group1; Destinazione Group2.
    Di seguito è disponibile un esempio di selezioni di gruppi non supportate per questo intervallo di criteri. Sia il gruppo di origine che quello di destinazione non rientrano nell'intervallo del criterio:
    • Origine Group5; Destinazione Group3.
    • Origine Group1; Destinazione Group3.
    Region1: regione creata dall'utente che si estende a Location2 e Location3.

    Nell'esempio questa regione contiene i seguenti gruppi:
    • Group5

    Per un criterio DFW con l'intervallo di una regione creata dall'utente: Region1 in questo esempio, il gruppo di origine o quello di destinazione per la regola DFW deve contenere posizioni che appartengono a Region1.

    Sono supportati i seguenti scenari:
    • Origine: Group5; Destinazione Group2.
    • Origine: Group2; Destinazione Group5.
    • Origine: Group2; Destinazione Group3.
    • Origine: Group3; Destinazione Group4.
    • Origine: Qualsiasi;Destinazione: Group5
    • Origine Group4; Destinazione Qualsiasi
    Di seguito è disponibile un esempio di selezioni di gruppi non supportate per questo intervallo di criteri. Sia il gruppo di origine che quello di destinazione non rientrano nell'intervallo del criterio:
    • Origine Group2; Destinazione Group2.
    • Origine Group1; Destinazione Group2.
    • Origine Group1; Destinazione Group1.
  • Se un gruppo contiene segmenti, l'intervallo del criterio DFW deve essere maggiore di o uguale all'intervallo del segmento. Ad esempio, se un gruppo contiene un segmento il cui intervallo è Location1, il criterio DFW non può essere applicato alla regione Region1 perché contiene solo Location2 e Location3.

federazione di NSX di regole e criteri firewall del gateway

Le regole firewall del gateway possono essere applicate a tutte le posizioni incluse nell'intervallo del gateway, a tutte le interfacce di una particolare posizione oppure a interfacce specifiche di una o più posizioni.
Nota: L'intervallo dei gruppi di origine e di destinazione per le regole firewall del gateway deve essere uguale all'intervallo del gateway in cui si sta creando la regola o a un suo sottoinsieme.
Tabella 2. Opzioni di intervallo per le regole firewall del gateway
Intervallo della regola firewall del gateway (Si applica a) Si applica a
Applica regola al gateway La regola si applica a tutte le interfacce collegate a questo gateway, in tutte le posizioni su cui si estende il gateway.
Selezionare una posizione, quindi scegliere Applica regola a tutte le entità. La regola si applica solo alla posizione selezionata.
Selezionare una posizione, quindi selezionare le interfacce da tale posizione. Ripetere per le altre posizioni, selezionando le interfacce per ogni posizione a cui si desidera applicare la regola. La regola si applica solo alle interfacce selezionate.