您可以從具有全域、區域或本機範圍的全域管理程式建立分散式和閘道防火牆規則。

從全域管理程式建立的分散式和閘道防火牆原則和規則,會同步至本機管理程式並顯示在具有 GM 圖示的本機管理程式中。您只能從全域管理程式編輯從全域管理程式建立的規則。無法從本機管理程式進行編輯。

分散式防火牆 (DFW) 原則和規則的聯盟

使用此範例來瞭解支援的防火牆工作流程:

  • 在此範例中,全域管理程式有已向其登錄的三個本機管理程式,名為:Location1Location2Location3
  • 全域管理程式會自動建立下列區域:
    • 全域
    • Location1
    • Location2
    • Location3
  • 您可以建立名為 Region1 的自訂區域,其中包含名為 Location2Location3 的本機管理程式。
  • 您可以建立下列群組:
    • Group1:區域 Global
    • Group2:區域 Location1
    • Group3:區域 Location2
    • Group4:區域 Location3
    • Group5:區域 Region1

NSX-T Data Center 3.0.1 中的 DFW 原則和規則

支援下列使用案例:

  • 群組範圍:您可以在具有全域、本機或區域範圍的全域管理程式中建立群組。請參閱從全域管理程式建立群組
  • 動態群組:您可以根據動態準則 (例如標籤) 建立群組。
  • DFW 原則範圍:DFW 原則可套用至全域、區域或本機範圍。
  • DFW 規則的來源和目的地群組:來源欄位中的所有群組或目的地欄位中的所有群組都必須符合 DFW 原則的範圍。系統會在原則範圍以外的位置自動建立群組。

    請參閱資料表以取得 DFW 規則中有效和無效來源和目的地群組的範例:
    表 1. 3.0.1 中基於 DFW 原則範圍的 DFW 規則的有效來源和目的地
    DFW 原則範圍 (適用於) 3.0.1 版 DFW 規則中支援的案例。
    全域

    從此範例,此區域包含下列群組:
    • Group1
    		 對於具有全域區域範圍的 DFW 原則,DFW 規則的來源和目的地中允許所有群組。以下是一些支援的典型案例,使用我們的範例:
    • 來源Group2目的地Group3
    • 來源Group3目的地Group4
    • 來源Group4目的地Any
    • 來源Group1目的地Group2
    Location1:在位置 1 中,為本機管理程式自動建立的區域。

    從此範例,此區域包含下列群組:
    • Group2
    		 對於具有單一位置範圍的 DFW 原則:此範例中的 Location1,無論是 DFW 規則的來源或目的地群組,皆必須屬於 Location1

    支援下列案例:
    • 來源Group2目的地Group2
    • 來源Group3目的地Group2
    • 來源Group2目的地Group4
    • 來源Group1目的地Group2
    以下是此原則範圍不支援群組選取項目的範例。來源和目的地群組均不在原則的範圍內:
    • 來源Group5目的地Group3
    • 來源Group1目的地Group3
    Region1:使用者建立的區域,跨越 Location2Location3

    從此範例,此區域包含下列群組:
    • Group5

    對於具有使用者所建立區域範圍的 DFW 原則:此範例中的 Region1,無論是 DFW 規則的來源或目的地群組,皆必須包含屬於 Region1 的位置。

    支援下列案例:
    • 來源Group5目的地Group2
    • 來源Group2目的地Group5
    • 來源Group2目的地Group3
    • 來源Group3目的地Group4
    • 來源Any目的地Group5
    • 來源Group4目的地Any
    以下是此原則範圍不支援群組選取項目的範例。來源和目的地群組均不在原則的範圍內:
    • 來源Group2目的地Group2
    • 來源Group1目的地Group2
    • 來源Group1目的地Group1
  • 如果群組包含區段,則 DFW 原則的範圍必須大於或等於區段的範圍。例如,如果群組包含範圍為 Location1 的區段,則無法將 DFW 原則套用至區域 Region1,因為它僅包含 Location2Location3

NSX-T Data Center 3.0.0 中的 DFW 原則和規則

  • 群組範圍:您可以在具有全域、本機或區域範圍的全域管理程式中建立群組。請參閱從全域管理程式建立群組
  • 動態群組:您可以根據動態準則 (例如標籤) 建立群組。
  • DFW 原則範圍:DFW 原則也可套用至全域、區域或本機範圍。
  • DFW 規則的來源和目的地群組:來源欄位中的所有群組和目的地欄位中的所有群組都必須符合 DFW 原則的範圍。
    請參閱資料表,瞭解原則範圍如何判定 DFW 規則中的來源和目的地群組是否有效。
    表 2. 3.0.0 中基於 DFW 原則範圍的 DFW 規則的有效來源和目的地
    DFW 原則範圍 (適用於) 3.0.0 版 DFW 規則中支援的來源和目的地群組。
    全域

    從此範例,此區域包含下列群組:
    • Group1
    		 對於跨越至全域區域的 DFW 原則,您可以在 DFW 規則的來源和目的地中選取關鍵字 AnyGlobal 群組:
    例如,
    • 來源Group1目的地Group1
    • 來源Group1目的地Any
    • 來源Any目的地Group1
    • 來源Any目的地Any
    注意: 可以建立但不支援的其他規則組態,例如: .
    • 來源Group2目的地Group3
    • 來源Group4目的地Group1
    Location1:在位置 1 中,為本機管理程式自動建立的區域。

    從此範例,此區域包含下列群組:
    • Group2
    		 對於跨越一個位置區域的 DFW 原則:此範例中的 Location1,來源和目的地群組都必須屬於此區域。
    例如,支援下列規則:
    • 來源Group2目的地Group2
    注意: 可以建立但不支援的其他規則組態,例如: .
    • 來源Group2目的地Group3
    • 來源Group4目的地Group2
    Region1:跨越 Location2Location3 的自訂區域。

    從此範例,此區域包含下列群組:
    • Group5

    對於跨越至自訂區域的 DFW 原則:此範例中的 Region1,來源和目的地群組都必須屬於此區域。

    例如,支援下列規則:
    • 來源Group5目的地Group5
    • 來源Group5目的地Any
    • 來源Any目的地Group5
    注意: 可以建立但不支援的其他規則組態,例如: .
    • 來源Group2目的地Group3
    • 來源Group2目的地Group4
    • 來源Group3目的地Group2
    • 來源Group4目的地Group2
  • 如果群組包含區段,則 DFW 原則的範圍必須大於或等於區段的範圍。例如,如果群組包含範圍為 Location1 的區段,則無法將 DFW 原則套用至區域 Region1,因為它僅包含 Location2Location3

閘道防火牆原則和規則的聯盟

閘道防火牆規則可套用至閘道範圍內包含的所有位置、特定位置的所有介面,或一或多個位置的特定介面。
備註: 閘道防火牆規則的來源和目的地群組範圍,必須與您要在其上建立規則的閘道範圍的子集相同。
表 3. 閘道防火牆規則的範圍選項
閘道防火牆規則的範圍 (適用於) 套用至
將規則套用至閘道 此規則會套用至此閘道延伸的所有位置中,連結至此閘道的所有介面。
選取位置,然後選取 [將規則套用至所有實體]。 此規則僅會套用至於選取的位置。
選取位置,然後選取來自該位置的介面。針對其他位置重複上述步驟,選取要套用規則的每個位置的介面。 此規則僅會套用至選取的介面。