分散ファイアウォール全体で、次の用語が使用されます。
構造 | 定義 |
---|---|
適用先 | ポリシーあたりの適用範囲を定義します。主に ESXi ホストのリソースの最適化に使用されます。特定のゾーン、テナント、またはアプリケーションのターゲットとなるポリシーを定義するのに役立ち、その他のアプリケーション、テナント、およびゾーンに定義されている他のポリシーに干渉することもありません。IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、[適用先] テキスト ボックスで使用できません。 |
コンテキスト プロファイル | アプリケーション ID とドメイン名を含むコンテキスト対応属性を定義します。アプリケーションのバージョンや暗号設定などのサブ属性も含まれています。ファイアウォール ルールには、レイヤー 7 ファイアウォール ルールを有効にするためのコンテキスト プロファイルを含めることができます。 |
ファイアウォール カテゴリ | NSX は、イーサネット、緊急、インフラストラクチャ、環境、アプリケーションの 5 つのカテゴリを使用して、分散ファイアウォールとゲートウェイ ファイアウォールの両方のファイアウォール ルールを処理します。カテゴリは左から右に評価され(イーサネット > 緊急 > インフラストラクチャ > 環境 > アプリケーション)、カテゴリ内の分散ファイアウォール ルールは上から下に評価されます。 |
ファイアウォール ドラフト | ドラフトは、ポリシー セクションとルールが構成された分散ファイアウォールの完全な構成です。ドラフトはすぐに公開することも、後で公開するために保存することもできます。保存は自動または手動で行うことができます。 |
グループ | グループには静的および動的に追加されたさまざまなオブジェクトが含まれていて、ファイアウォール ルールの送信元および宛先フィールドとして使用できます。また、仮想マシン、IP セット、MAC セット、論理ポート、論理スイッチ、Active Directory ユーザー グループ、およびその他のネストされたグループの組み合わせを含むように構成できます。グループの動的な追加は、タグ、マシン名、OS 名、またはコンピュータ名に基づいて行うことができます。 グループを作成するときに、グループが属するドメインを含める必要があります。デフォルトでは、これがデフォルト ドメインになります。 グループは、以前は NSGroup またはセキュリティ グループと呼ばれていました。 |
リダイレクト ポリシー | 特定のサービス チェーンに分類されているトラフィックは、そのサービス チェーンにリダイレクトされます。これは、NSX セキュリティ グループおよびサービス チェーンと一致するトラフィック パターンに基づいて決まります。パターンと一致するすべてのトラフィックは、サービス チェーンに沿ってリダイレクトされます。 |
ルール | フローの評価に使用され、一致したときの対処方法を定義する一連のパラメータです。ルールには、送信元と宛先、サービス、コンテキスト プロファイル、ログ、タグなどのパラメータが含まれます。 |
サービス | ポートとプロトコルの組み合わせを定義します。ポートとプロトコルに基づいてトラフィックを分類する場合に使用します。ファイアウォール ルールでは、事前定義されたサービスおよびユーザー定義のサービスを使用できます。 |
サービス チェーン | 管理者によって定義されたサービス プロファイルの論理シーケンスです。サービス プロファイルは、サービス チェーンで定義されている順序でネットワーク トラフィックのイントロスペクションを実行します。たとえば、最初のサービス プロファイルはファイアウォール、2 番目のサービス プロファイルはモニターのようになります。サービス チェーンは、トラフィックの方向(出力/入力)ごとに異なる順序でサービス プロファイルを指定します。 |
ポリシー | セキュリティ ポリシーには、ファイアウォール ルールやサービスの構成などのさまざまなセキュリティ要素が含まれています。ポリシーは、以前はファイアウォール セクションと呼ばれていました。 |