您可以從具有全域、區域或本機範圍的全域管理程式建立分散式和閘道防火牆規則。
從全域管理程式建立的分散式和閘道防火牆原則和規則,會同步至本機管理程式並顯示在具有 圖示的本機管理程式中。您只能從全域管理程式編輯從全域管理程式建立的規則。無法從本機管理程式進行編輯。
分散式防火牆 (DFW) 原則和規則的聯盟
使用此範例來瞭解支援的防火牆工作流程:
- 在此範例中,全域管理程式有已向其登錄的三個本機管理程式,名為:Location1、Location2 和 Location3。
- 全域管理程式會自動建立下列區域:
- 全域
- Location1
- Location2
- Location3
- 您可以建立名為 Region1 的自訂區域,其中包含名為 Location2 和 Location3 的本機管理程式。
- 您可以建立下列群組:
- Group1:區域 Global。
- Group2:區域 Location1。
- Group3:區域 Location2。
- Group4:區域 Location3。
- Group5:區域 Region1。
NSX-T Data Center 3.0.1 中的 DFW 原則和規則
支援下列使用案例:
- 群組範圍:您可以在具有全域、本機或區域範圍的全域管理程式中建立群組。請參閱從全域管理程式建立群組。
- 動態群組:您可以根據動態準則 (例如標籤) 建立群組。
- DFW 原則範圍:DFW 原則可套用至全域、區域或本機範圍。
- DFW 規則的來源和目的地群組:來源欄位中的所有群組或目的地欄位中的所有群組都必須符合 DFW 原則的範圍。系統會在原則範圍以外的位置自動建立群組。請參閱資料表以取得 DFW 規則中有效和無效來源和目的地群組的範例:
表 1. 3.0.1 中基於 DFW 原則範圍的 DFW 規則的有效來源和目的地 DFW 原則範圍 (適用於) 3.0.1 版 DFW 規則中支援的案例。 全域從此範例,此區域包含下列群組: - Group1
對於具有全域區域範圍的 DFW 原則,DFW 規則的來源和目的地中允許所有群組。以下是一些支援的典型案例,使用我們的範例: - 來源:Group2;目的地:Group3
- 來源:Group3;目的地:Group4
- 來源:Group4;目的地:Any
- 來源:Group1;目的地:Group2。
Location1:在位置 1 中,為本機管理程式自動建立的區域。 從此範例,此區域包含下列群組: - Group2
對於具有單一位置範圍的 DFW 原則:此範例中的 Location1,無論是 DFW 規則的來源或目的地群組,皆必須屬於 Location1。支援下列案例: - 來源:Group2;目的地:Group2
- 來源:Group3;目的地:Group2。
- 來源:Group2;目的地:Group4。
- 來源:Group1;目的地:Group2。
以下是此原則範圍不支援群組選取項目的範例。來源和目的地群組均不在原則的範圍內:- 來源:Group5;目的地:Group3。
- 來源:Group1;目的地:Group3。
Region1:使用者建立的區域,跨越 Location2 和 Location3。 從此範例,此區域包含下列群組: - Group5
對於具有使用者所建立區域範圍的 DFW 原則:此範例中的 Region1,無論是 DFW 規則的來源或目的地群組,皆必須包含屬於 Region1 的位置。
支援下列案例:- 來源:Group5;目的地:Group2。
- 來源:Group2;目的地:Group5。
- 來源:Group2;目的地:Group3。
- 來源:Group3;目的地:Group4。
- 來源:Any;目的地:Group5
- 來源:Group4;目的地:Any
以下是此原則範圍不支援群組選取項目的範例。來源和目的地群組均不在原則的範圍內:- 來源:Group2;目的地:Group2。
- 來源:Group1;目的地:Group2。
- 來源:Group1;目的地:Group1。
- 如果群組包含區段,則 DFW 原則的範圍必須大於或等於區段的範圍。例如,如果群組包含範圍為 Location1 的區段,則無法將 DFW 原則套用至區域 Region1,因為它僅包含 Location2 和 Location3。
NSX-T Data Center 3.0.0 中的 DFW 原則和規則
- 群組範圍:您可以在具有全域、本機或區域範圍的全域管理程式中建立群組。請參閱從全域管理程式建立群組。
- 動態群組:您可以根據動態準則 (例如標籤) 建立群組。
- DFW 原則範圍:DFW 原則也可套用至全域、區域或本機範圍。
- DFW 規則的來源和目的地群組:來源欄位中的所有群組和目的地欄位中的所有群組都必須符合 DFW 原則的範圍。
請參閱資料表,瞭解原則範圍如何判定 DFW 規則中的來源和目的地群組是否有效。
表 2. 3.0.0 中基於 DFW 原則範圍的 DFW 規則的有效來源和目的地 DFW 原則範圍 (適用於) 3.0.0 版 DFW 規則中支援的來源和目的地群組。 全域。 從此範例,此區域包含下列群組: - Group1
對於跨越至全域區域的 DFW 原則,您可以在 DFW 規則的來源和目的地中選取關鍵字 Any 或 Global 群組: 例如,- 來源:Group1;目的地:Group1。
- 來源:Group1;目的地:Any
- 來源:Any;目的地:Group1。
- 來源:Any;目的地:Any
注意: 可以建立但不支援的其他規則組態,例如: .- 來源:Group2;目的地:Group3
- 來源:Group4;目的地:Group1
Location1:在位置 1 中,為本機管理程式自動建立的區域。 從此範例,此區域包含下列群組: - Group2
對於跨越一個位置區域的 DFW 原則:此範例中的 Location1,來源和目的地群組都必須屬於此區域。 例如,支援下列規則:- 來源:Group2;目的地:Group2
注意: 可以建立但不支援的其他規則組態,例如: .- 來源:Group2;目的地:Group3
- 來源:Group4;目的地:Group2
Region1:跨越 Location2 和 Location3 的自訂區域。 從此範例,此區域包含下列群組: - Group5
對於跨越至自訂區域的 DFW 原則:此範例中的 Region1,來源和目的地群組都必須屬於此區域。
例如,支援下列規則:- 來源:Group5;目的地:Group5。
- 來源:Group5;目的地:Any。
- 來源:Any;目的地:Group5。
注意: 可以建立但不支援的其他規則組態,例如: .- 來源:Group2 和目的地:Group3
- 來源:Group2;目的地:Group4
- 來源:Group3;目的地:Group2
- 來源:Group4;目的地:Group2
- 如果群組包含區段,則 DFW 原則的範圍必須大於或等於區段的範圍。例如,如果群組包含範圍為 Location1 的區段,則無法將 DFW 原則套用至區域 Region1,因為它僅包含 Location2 和 Location3。
閘道防火牆原則和規則的聯盟
閘道防火牆規則可套用至閘道範圍內包含的所有位置、特定位置的所有介面,或一或多個位置的特定介面。
備註: 閘道防火牆規則的來源和目的地群組範圍,必須與您要在其上建立規則的閘道範圍的子集相同。
閘道防火牆規則的範圍 (適用於) | 套用至 |
---|---|
將規則套用至閘道 | 此規則會套用至此閘道延伸的所有位置中,連結至此閘道的所有介面。 |
選取位置,然後選取 [將規則套用至所有實體]。 | 此規則僅會套用至於選取的位置。 |
選取位置,然後選取來自該位置的介面。針對其他位置重複上述步驟,選取要套用規則的每個位置的介面。 | 此規則僅會套用至選取的介面。 |