Una sezione di regole del firewall viene modificata e salvata in modo indipendente e viene utilizzata per applicare una configurazione del firewall separata ai tenant.

Prerequisiti

Verificare che sia selezionata la modalità Manager nell'interfaccia utente di NSX Manager. Vedere NSX Manager. Se non sono presenti i pulsanti delle modalità Criterio e Manager, vedere Configurazione delle impostazioni dell'interfaccia utente.

Procedura

  1. Selezionare Sicurezza > Firewall distribuito.
  2. Fare clic sulla scheda Generale per le regole di livello 3 (L3) o sulla scheda Ethernet per le regole di livello 2 (L2).
  3. Fare clic su una sezione o una regola esistente.
  4. Fare clic sull'icona della sezione nella barra dei menu e selezionare Aggiungi sezione precedente o Aggiungi sezione successiva.
    Nota: Alle informazioni del pacchetto di qualsiasi traffico che tenta di passare attraverso il firewall, vengono applicate le regole nell'ordine visibile nella tabella delle regole, iniziando dalla parte superiore e continuando con le regole predefinite nella parte inferiore. In alcuni casi, l'ordine di precedenza di due o più regole può essere importante per determinare la strada che seguirà un pacchetto.
  5. Immettere il nome della sezione.
    Nota: Per impostazione predefinita, le sezioni delle regole del firewall (e le relative regole) vengono configurate come stateful. In un firewall stateful, viene creata e mantenuta una cache per i flussi di traffico che corrispondono a una regola del firewall in cui l'azione è CONSENTI. Dopo che il primo pacchetto di un nuovo flusso è stato convalidato rispetto al set di regole del firewall, i pacchetti di rete successivi appartenenti a tale flusso non devono più essere controllati. Questo comporta una latenza del flusso inferiore e migliori prestazioni complessive del firewall quando i carichi di traffico sono più pesanti. I firewall stateful sono migliori anche nell'identificazione del traffico di rete non autorizzato o contraffatto.

    Per alcune applicazioni, potrebbe essere necessario un firewall stateless. In un firewall stateless, ogni pacchetto di un flusso viene convalidato in base al set di regole. Per i flussi stateless, non viene mantenuta alcuna cache. Per modificare una sezione di regole del firewall in modo che includa solo regole stateless, vedere il passaggio 6. Altrimenti continuare con il passaggio 7.

  6. (Facoltativo) Per rendere il firewall stateless, selezionare il pulsante Abilita firewall stateless. Questa opzione è applicabile solo per il livello 3.
    Una volta definito, non è possibile alternare tra stateful e stateless.
  7. Selezionare uno o più oggetti per applicare la sezione.
    I tipi di oggetto sono porte logiche, commutatori logici e gruppo NS. Se si seleziona un gruppo NS, questo deve contenere uno o più commutatori logici o porte logiche. Se il gruppo NS contiene solo set di IP o set di MAC, verrà ignorato.
    Nota: Se la sezione e le regole all'interno hanno Si applica a impostato su NSGroup, allora le impostazioni Si applica a in una sezione sovrascriveranno tutte le impostazioni Si applica a nelle regole di tale sezione. Questo perché il firewall a livello di sezione Si applica a ha la precedenza su Si applica a a livello della regola.
  8. Fare clic su OK.

Operazioni successive

Aggiungere regole firewall alla sezione.