グローバル マネージャ では、グローバル、リージョンまたはローカルの範囲で分散ファイアウォール ルールとゲートウェイ ファイアウォール ルールを作成できます。

NSX フェデレーション セキュリティには次の利点があります。
  • NSX フェデレーション により、管理下の環境全体で一貫したセキュリティ ポリシーを適用できます。
  • 効果的なディザスタ リカバリにより、確立されたセキュリティ フレームワークを継続的に使用できます。
  • 1 つの場所でコンピューティング リソースが不足している場合に、ネットワークとセキュリティのフレームワークを別の場所に拡張できます。

グローバル マネージャから作成された分散ファイアウォールとゲートウェイ ファイアウォールのポリシーおよびルールはローカル マネージャに同期されます。ローカル マネージャでは GM アイコンで表示されます。グローバル マネージャから作成されたルールは、グローバル マネージャからのみ編集できます。ローカル マネージャから編集することはできません。

分散ファイアウォール (DFW) のポリシーとルールの NSX フェデレーション

次の例を使用して、サポートされているファイアウォール ワークフローを確認してください。

この図には、グローバル マネージャから作成されたグループの範囲とローカル マネージャが示されています。テキストとテーブルに詳細が記載されています。
  • この例では、グローバル マネージャに Location1Location2、および Location3 という名前の 3 つのローカル マネージャが登録されています。
  • グローバル マネージャが次のリージョンを自動的に作成します。
    • グローバル
    • Location1
    • Location2
    • Location3
  • ローカル マネージャ Location2 および Location3 を含むカスタマイズされたリージョン (Region1) を作成します。
  • 次のグループを作成します。
    • Group1:リージョン グローバル
    • Group2:リージョン Location1
    • Group3:リージョン Location2
    • Group4:リージョン Location3
    • Group5:リージョン Region1

DFW ポリシーとルール

次の使用事例がサポートされています。

  • [グループの範囲]グローバル マネージャ で、グローバル、ローカルまたはリージョンの範囲を持つグループを作成できます。グローバル マネージャ からのグループの作成 を参照してください。
  • [動的グループ]:タグなどの動的基準に基づいてグループを作成できます。
  • [DFW ポリシーの範囲]:DFW ポリシーは、グローバル、リージョン、またはローカルの範囲に適用できます。
  • [DFW ルールの送信元と宛先グループ]:送信元フィールド内のすべてのグループ、または宛先フィールド内のすべてのグループが DFW ポリシーの範囲と一致している必要があります。システムは、ポリシーの範囲外の場所にグループを自動的に作成します。

    この図は、NSX-T フェデレーション環境で NSX-T Data Center 分散ファイアウォールを使用するさまざまな例を示しています。

    次の表は、DFW ルールの送信元と宛先グループが有効な場合と無効な場合の例を示しています。
    表 1. DFW ポリシーの範囲に基づく DFW ルールで有効な送信元と宛先
    DFW ポリシーの範囲(適用先) DFW ルールでサポートされるシナリオ
    グローバル

    この例では、このリージョンには次のグループが含まれています。
    • Group1
    		 グローバル リージョンの範囲の DFW ポリシーでは、すべてのグループが DFW ルールの送信元と宛先で許可されます。上記の例を使用して、サポートされている一般的なシナリオを示します。
    • [送信元]Group2[宛先]Group3
    • [送信元]Group3[宛先]Group4
    • [送信元]Group4[宛先]任意
    • [送信元]Group1[宛先]Group2
    Location1:場所 1 のローカル マネージャに対して自動作成されたリージョン。

    この例では、このリージョンには次のグループが含まれています。
    • Group2
    		 1 つの場所(この例では Location1)の範囲の DFW ポリシーの場合、DFW ルールの送信元または宛先グループが Location1 に属している必要があります。

    次のシナリオがサポートされます。
    • [送信元]Group2[宛先]Group2
    • [送信元]Group3[宛先]Group2
    • [送信元]Group2[宛先]Group4
    • [送信元]Group1[宛先]Group2
    このポリシー範囲でサポートされていないグループ選択の例を次に示します。送信元と宛先の両方のグループがポリシーの範囲外にあります。
    • [送信元]Group5[宛先]Group3
    • [送信元]Group1[宛先]Group3
    Region1Location2 および Location3 にまたがるユーザー作成のリージョン。

    この例では、このリージョンには次のグループが含まれています。
    • Group5

    ユーザー作成のリージョン(この例では Region1)の範囲の DFW ポリシーの場合、DFW ルールの送信元または宛先グループには Region1 に属する場所が含まれている必要があります。

    次のシナリオがサポートされます。
    • [送信元]Group5[宛先]Group2
    • [送信元]Group2[宛先]Group5
    • [送信元]Group2[宛先]Group3
    • [送信元]Group3[宛先]Group4
    • [送信元]任意[宛先]Group5
    • [送信元]Group4[宛先]任意
    このポリシー範囲でサポートされていないグループ選択の例を次に示します。送信元と宛先の両方のグループがポリシーの範囲外にあります。
    • [送信元]Group2[宛先]Group2
    • [送信元]Group1[宛先]Group2
    • [送信元]Group1[宛先]Group1
  • グループにセグメントが含まれている場合、DFW ポリシーの範囲はセグメントの範囲以上にする必要があります。たとえば、範囲が Location1 であるセグメントを含むグループがある場合、リージョン Region1Location2Location3 のみを含むため、DFW ポリシーを適用できません。

ゲートウェイ ファイアウォールのポリシーとルールの NSX フェデレーション

ゲートウェイ ファイアウォール ルールは、ゲートウェイの範囲に含まれるすべての場所、特定の場所のすべてのインターフェイス、または 1 つ以上の場所の特定のインターフェイスに適用できます。
注: ゲートウェイ ファイアウォール ルールの送信元グループと宛先グループの範囲は、ルールを作成しているゲートウェイの範囲と同じか、またはそのサブセットにする必要があります。
表 2. ゲートウェイ ファイアウォール ルールの範囲オプション
ゲートウェイ ファイアウォール ルールの範囲(適用先) 適用先
ゲートウェイにルールを適用 ルールは、このゲートウェイが接続しているすべてのインターフェイスと、このゲートウェイが拡張されるすべての場所に適用されます。
場所を選択してから、[すべてのエンティティにルールを適用] を選択します。 ルールは、選択した場所にのみ適用されます。
場所を選択し、その場所からインターフェイスを選択します。その他の場所についても、ルールを適用する場所ごとにインターフェイスを選択します。 ルールは、選択したインターフェイスにのみ適用されます。