グローバル マネージャ では、グローバル、リージョンまたはローカルの範囲で分散ファイアウォール ルールとゲートウェイ ファイアウォール ルールを作成できます。
NSX フェデレーション セキュリティには次の利点があります。
- NSX フェデレーション により、管理下の環境全体で一貫したセキュリティ ポリシーを適用できます。
- 効果的なディザスタ リカバリにより、確立されたセキュリティ フレームワークを継続的に使用できます。
- 1 つの場所でコンピューティング リソースが不足している場合に、ネットワークとセキュリティのフレームワークを別の場所に拡張できます。
グローバル マネージャから作成された分散ファイアウォールとゲートウェイ ファイアウォールのポリシーおよびルールはローカル マネージャに同期されます。ローカル マネージャでは アイコンで表示されます。グローバル マネージャから作成されたルールは、グローバル マネージャからのみ編集できます。ローカル マネージャから編集することはできません。
分散ファイアウォール (DFW) のポリシーとルールの NSX フェデレーション
次の例を使用して、サポートされているファイアウォール ワークフローを確認してください。
- この例では、グローバル マネージャに Location1、Location2、および Location3 という名前の 3 つのローカル マネージャが登録されています。
- グローバル マネージャが次のリージョンを自動的に作成します。
- グローバル
- Location1
- Location2
- Location3
- ローカル マネージャ Location2 および Location3 を含むカスタマイズされたリージョン (Region1) を作成します。
- 次のグループを作成します。
- Group1:リージョン グローバル。
- Group2:リージョン Location1。
- Group3:リージョン Location2。
- Group4:リージョン Location3。
- Group5:リージョン Region1。
DFW ポリシーとルール
次の使用事例がサポートされています。
- [グループの範囲]:グローバル マネージャ で、グローバル、ローカルまたはリージョンの範囲を持つグループを作成できます。グローバル マネージャ からのグループの作成 を参照してください。
- [動的グループ]:タグなどの動的基準に基づいてグループを作成できます。
- [DFW ポリシーの範囲]:DFW ポリシーは、グローバル、リージョン、またはローカルの範囲に適用できます。
- [DFW ルールの送信元と宛先グループ]:送信元フィールド内のすべてのグループ、または宛先フィールド内のすべてのグループが DFW ポリシーの範囲と一致している必要があります。システムは、ポリシーの範囲外の場所にグループを自動的に作成します。次の表は、DFW ルールの送信元と宛先グループが有効な場合と無効な場合の例を示しています。
表 1. DFW ポリシーの範囲に基づく DFW ルールで有効な送信元と宛先 DFW ポリシーの範囲(適用先) DFW ルールでサポートされるシナリオ グローバルこの例では、このリージョンには次のグループが含まれています。 - Group1
グローバル リージョンの範囲の DFW ポリシーでは、すべてのグループが DFW ルールの送信元と宛先で許可されます。上記の例を使用して、サポートされている一般的なシナリオを示します。 - [送信元]:Group2、[宛先]:Group3。
- [送信元]:Group3、[宛先]:Group4。
- [送信元]:Group4、[宛先]:任意。
- [送信元]:Group1、[宛先]:Group2。
Location1:場所 1 のローカル マネージャに対して自動作成されたリージョン。 この例では、このリージョンには次のグループが含まれています。 - Group2
1 つの場所(この例では Location1)の範囲の DFW ポリシーの場合、DFW ルールの送信元または宛先グループが Location1 に属している必要があります。次のシナリオがサポートされます。 - [送信元]:Group2、[宛先]:Group2。
- [送信元]:Group3、[宛先]:Group2。
- [送信元]:Group2、[宛先]:Group4。
- [送信元]:Group1、[宛先]:Group2。
このポリシー範囲でサポートされていないグループ選択の例を次に示します。送信元と宛先の両方のグループがポリシーの範囲外にあります。- [送信元]:Group5、[宛先]:Group3。
- [送信元]:Group1、[宛先]:Group3。
Region1:Location2 および Location3 にまたがるユーザー作成のリージョン。 この例では、このリージョンには次のグループが含まれています。 - Group5
ユーザー作成のリージョン(この例では Region1)の範囲の DFW ポリシーの場合、DFW ルールの送信元または宛先グループには Region1 に属する場所が含まれている必要があります。
次のシナリオがサポートされます。- [送信元]:Group5、[宛先]:Group2。
- [送信元]:Group2、[宛先]:Group5。
- [送信元]:Group2、[宛先]:Group3。
- [送信元]:Group3、[宛先]:Group4。
- [送信元]:任意、[宛先]:Group5。
- [送信元]:Group4、[宛先]:任意。
このポリシー範囲でサポートされていないグループ選択の例を次に示します。送信元と宛先の両方のグループがポリシーの範囲外にあります。- [送信元]:Group2、[宛先]:Group2。
- [送信元]:Group1、[宛先]:Group2。
- [送信元]:Group1、[宛先]:Group1。
- グループにセグメントが含まれている場合、DFW ポリシーの範囲はセグメントの範囲以上にする必要があります。たとえば、範囲が Location1 であるセグメントを含むグループがある場合、リージョン Region1 は Location2 と Location3 のみを含むため、DFW ポリシーを適用できません。
ゲートウェイ ファイアウォールのポリシーとルールの NSX フェデレーション
ゲートウェイ ファイアウォール ルールは、ゲートウェイの範囲に含まれるすべての場所、特定の場所のすべてのインターフェイス、または 1 つ以上の場所の特定のインターフェイスに適用できます。
注: ゲートウェイ ファイアウォール ルールの送信元グループと宛先グループの範囲は、ルールを作成しているゲートウェイの範囲と同じか、またはそのサブセットにする必要があります。
ゲートウェイ ファイアウォール ルールの範囲(適用先) | 適用先 |
---|---|
ゲートウェイにルールを適用 | ルールは、このゲートウェイが接続しているすべてのインターフェイスと、このゲートウェイが拡張されるすべての場所に適用されます。 |
場所を選択してから、[すべてのエンティティにルールを適用] を選択します。 | ルールは、選択した場所にのみ適用されます。 |
場所を選択し、その場所からインターフェイスを選択します。その他の場所についても、ルールを適用する場所ごとにインターフェイスを選択します。 | ルールは、選択したインターフェイスにのみ適用されます。 |