Quando un progetto di NSX viene realizzato correttamente, il sistema crea il firewall del gateway predefinito e le regole del firewall distribuito per gestire il comportamento predefinito del traffico nord-sud e del traffico est-ovest per i carichi di lavoro nel progetto di NSX.
Panoramica
Le regole del firewall in un progetto si applicano solo alle macchine virtuali nel progetto. Ovvero, alle macchine virtuali connesse ai segmenti nel progetto. Le regole del firewall in un progetto non influiscono sui carichi di lavoro esterni al progetto.
Nelle sottosezioni seguenti, il termine "licenza di base" si riferisce a una delle due licenze seguenti:
- Rete di NSX per VMware Cloud Foundation
- Licenza della soluzione per VCF
- Firewall distribuito
-
La licenza base autorizza il sistema solo all'utilizzo delle funzionalità di rete di NSX. Non è possibile configurare la funzionalità di sicurezza del firewall distribuito. Per aggiungere o modificare regole del firewall distribuito in un progetto di NSX, è necessario applicare una licenza di sicurezza appropriata nel sistema.
Se non viene applicata una licenza di sicurezza, le regole del firewall distribuito predefinite create dal sistema non vengono attivate nel progetto. Le regole del firewall predefinite esistono nel progetto, ma sono inattive. Non è possibile modificare le regole del firewall predefinite e nemmeno attivarle nel progetto.
- Firewall del gateway
-
La licenza base autorizza il sistema ad aggiungere o modificare solo le regole del firewall del gateway stateless nel progetto. Per aggiungere o modificare le regole del firewall del gateway stateful e le regole del firewall del gateway stateless in un progetto, è necessario applicare una licenza di sicurezza appropriata nel sistema.
Il criterio del firewall del gateway predefinito in un progetto è un criterio stateful. Quando una licenza di sicurezza non viene applicata nel sistema, è possibile modificare solo l'azione della regola del firewall del gateway stateful. Nella regola predefinita non sono consentite altre modifiche. Non è possibile modificare lo stato del criterio del firewall del gateway predefinito da stateful a stateless.
Regole DFW predefinite in un progetto
Il criterio del firewall distribuito (DFW) predefinito viene visualizzato nella parte inferiore dell'elenco dei criteri nella categoria del firewall Applicazione. Il criterio predefinito definisce il comportamento per le macchine virtuali all'interno del progetto se non vengono rilevate altre regole.
Viene utilizzata la seguente convenzione di denominazione per identificare il criterio DFW predefinito in un progetto:
PROJECT-<Nome_Progetto>-Default Layer 3 sectionProject_Name viene sostituito con il valore effettivo nel sistema.
Ad esempio, la schermata seguente mostra le regole dei criteri DFW predefinite in un progetto.
Come si evince dalla schermata, il criterio predefinito viene applicato a DFW e contiene le regole del firewall seguenti:
- La regola 1002 consente il traffico IPv6-ICMP.
- La regola 1003 consente la comunicazione con il client e il server DHCPv4.
- La regola 1004 consente la comunicazione con il client e il server DHCPv6. (Introdotta in NSX 4.1.1)
- La regola 1005 consente la comunicazione tra le macchine virtuali del carico di lavoro nel progetto.
- La regola 1006 elimina tutte le altre comunicazioni che non soddisfano alcuna delle regole precedenti.
Il criterio DFW predefinito garantisce che le macchine virtuali all'interno di un progetto possano raggiungere solo altre macchine virtuali nello stesso progetto, incluso il server DHCP. La comunicazione con le macchine virtuali esterne al progetto è bloccata. Per impostazione predefinita, le macchine virtuali connesse ai segmenti all'interno del progetto non possono eseguire il ping del gateway predefinito. Se tale comunicazione è necessaria, è necessario aggiungere nuove regole o modificare regole esistenti nel criterio DFW predefinito.
Regole DFW create dall'utente in un progetto
- Regole DFW nello spazio predefinito (precedenza più alta)
- Regole DFW nel progetto
- Regole del firewall E-O nei VPC di NSX nel progetto (precedenza più bassa)
Le regole DFW dello spazio predefinito possono estendersi a un progetto.
Ad esempio, è possibile scegliere di applicare le regole al gruppo predefinito del progetto (PROJECT-<Nome_Progetto>-default). Il gruppo predefinito del progetto contiene solo le macchine virtuali del carico di lavoro di un progetto.
- Gruppi creati nel progetto.
- Gruppi condivisi con il progetto.
I gruppi condivisi con i progetti possono essere utilizzati solo nei campi Origine o Destinazione delle regole del firewall e non nel campo Si applica a della regola del firewall.
Se in un progetto vengono aggiunti VPC di NSX, i gruppi predefiniti creati dal sistema nei VPC di NSX possono essere utilizzati nei campi Origine, Destinazione e Si applica a delle regole del firewall del progetto. Tuttavia, i gruppi creati dall'utente nei VPC di NSX non possono essere utilizzati nelle regole del firewall del progetto.
Aggiunta di un criterio DFW in un progetto
Il workflow dell'interfaccia utente per l'aggiunta di un criterio DFW in un progetto rimane invariato a quello attualmente esistente per l'aggiunta di criteri nella vista Predefinita (spazio predefinito) della distribuzione di NSX.
L'unica differenza consiste nel fatto che nell'interfaccia utente è innanzitutto necessario selezionare un progetto dal menu a discesa del commutatore progetti nella barra delle applicazioni in alto e quindi passare a
per aggiungere criteri DFW in tale progetto selezionato.Regola del firewall del gateway predefinito in un progetto
Il criterio del firewall del gateway predefinito di un progetto è un criterio stateful, che contiene una singola regola del firewall, come illustrato nella schermata seguente.
La regola predefinita consente tutto il traffico attraverso il firewall del gateway del progetto, per impostazione predefinita. È possibile modificare solo l'azione della regola di questa regola predefinita. Tutti gli altri campi di questa regola non sono modificabili.
Come indicato in precedenza nella sezione Panoramica di questa documentazione, la licenza di base autorizza il sistema ad aggiungere o modificare solo le regole del firewall del gateway stateless in un progetto. Per aggiungere o modificare le regole del firewall del gateway stateful e le regole del firewall del gateway stateless in un progetto, è necessario applicare una licenza di sicurezza appropriata nel sistema.
Aggiunta di un criterio del firewall del gateway in un progetto
Il workflow dell'interfaccia utente per l'aggiunta di un criterio del firewall del gateway in un progetto rimane uguale a quello attualmente esistente per l'aggiunta di criteri del firewall del gateway nella vista Predefinita (spazio predefinito) della distribuzione di NSX.
L'unica differenza consiste nel fatto che nell'interfaccia utente è innanzitutto necessario selezionare un progetto dal menu a discesa del commutatore progetti nella barra delle applicazioni in alto e quindi passare a
per aggiungere criteri del firewall del gateway nel gateway di livello 1 del progetto selezionato.