關於 NSX Advanced Firewall 功能

透過 NSX Advanced Firewall 服務，您的 SDDC 可以使用進階 NSX 功能。

NSX Advanced Firewall 服務可在版本 1.16 及更新版本的 VMware Cloud on AWS SDDC 中使用。此服務包括：

若要在 SDDC 中啟用 NSX Advanced Firewall 附加元件，請開啟附加元件索引標籤，然後按一下 NSX Advanced Firewall 附加元件卡上的啟用。啟用附加元件後，NSX 進階安全性功能將在 SDDC 中可用。

您可以在《NSX 產品說明文件》中找到所有這些功能的詳細說明文件。這些功能在內部部署 NSX 上的運作方式與它們在 VMware Cloud on AWS 中的運作方式之間存在一些操作差異。例如，《NSX 產品說明文件》中的大多數程序都包含一個步驟，告訴您使用管理員權限登入 NSX Manager。在 VMware Cloud on AWS 中不需要執行此步驟，因為按一下開啟 NSX Manager 或開啟網路與安全性索引標籤即可授與您對 SDDC 中 NSX Manager 的管理員存取權。以下各節列出了其他差異。

在 SDDC 中使用內容設定檔

按一下詳細目錄 > 內容設定檔。透過更新分散式防火牆網格的設定檔資料行中的值，可以在分散式防火牆規則中指定內容設定檔。如需詳細資訊，請參閱《NSX 產品說明文件》中的〈第 7 層防火牆規則工作流程〉。

在 VMware Cloud on AWS 中，僅支援將內容設定檔與分散式防火牆規則一起使用。它們不能與 MGW 或 CGW 防火牆規則一起使用。

在 SDDC 中使用 Distributed IDS/IPS

按一下安全性 > Distributed IDS/IPS。如需詳細資訊，請參閱《NSX 產品說明文件》中的〈Distributed IDS/IPS〉。

在 VMware Cloud on AWS 中使用此功能時，請記住以下操作差異：

按叢集啟用: 若要使用此功能，請在一或多個 SDDC 叢集上啟用該功能。在 Distributed IDS/IPS 頁面上，按一下設定索引標籤，然後在為叢集啟用入侵偵測及防護下選取一或多個叢集。由於 vMotion 目前不會在移轉虛擬機器之前檢查叢集的 IDS/IPS 啟用狀態，因此我們建議在所有叢集上啟用此功能，以便移轉不會影響將 IDS/IPS 套用至任何工作負載虛擬機器。
沒有主機的存取權: 由於 VMware Cloud on AWS 不允許您存取 SDDC 主機，因此無法驗證主機上的 Distributed IDS 狀態。
記錄: 在 VMware Cloud on AWS 中，此功能產生的事件將記錄到 VMware Aria Operations for Logs。

在 SDDC 中使用身分識別防火牆

按一下系統 > 身分識別防火牆 AD 以新增 SDDC Active Directory 網域，以便建立以使用者為基礎的身分識別防火牆規則。在 VMware Cloud on AWS 中使用此功能時，請記住以下操作差異：

為一或多個 SDDC 叢集啟用此功能: 在使用此功能之前，您必須先執行管理 Distributed Firewall 規則中的「設定身分識別防火牆設定」步驟，以啟用此功能並將其套用至一或多個 SDDC 叢集。
建立防火牆規則以允許 Active Directory 存取: 如果您使用的是 Active Directory，則還需要建立一個管理閘道防火牆規則，以允許 NSX 存取您要使用的 Active Directory 伺服器。如果在 SDDC 中對 Active Directory 的存取中斷，此功能將不起作用，因此請務必確保在此處建立的防火牆規則在 Active Directory 伺服器發生變更時仍然有效。如需詳細資訊，請參閱《NSX 產品說明文件》中的〈新增 Active Directory〉。
記錄: 在 VMware Cloud on AWS 中，此功能產生的事件將記錄到 VMware Aria Operations for Logs。

在 SDDC 中使用分散式 FQDN 篩選

在 VMware Cloud on AWS 中，僅支援將 NSX FQDN 篩選與分散式防火牆規則一起使用。它不能與 MGW 或 CGW 防火牆規則一起使用。若要使用此功能，請首先新增 DNS 窺探規則，如篩選特定網域 (FQDN/URL) 中所述，作為原則中的第一個規則。您還必須為要支援 FQDN 篩選的所有區段啟用預先定義的 FQDNfiltering-spoofguard-profile 區段設定檔。如需將區段設定檔套用至 SDDC 網路區段的相關資訊，請參閱建立或修改網路區段。

停用 NSX Advanced Firewall 附加元件

必須先移除參考附加元件功能的所有防火牆規則，才能停用 NSX Advanced Firewall 附加元件。這包括：

包含內容設定檔的所有分散式防火牆規則
所有分散式 IDS/IPS 規則和設定檔
所有身分識別型防火牆規則

移除這些物件後，可以停用附加元件：

開啟 SDDC 中的附加元件索引標籤。
在 NSX Advanced Firewall 附加元件卡上，按一下動作 > 停用。
檢閱在停用之前必須移除的物件清單。確定物件已移除後，按一下確認停用。

停用完成後，附加元件的計費將會停止。