分散式防火牆會監控虛擬機器上的所有東西向流量。
本主題中的程序說明新增防火牆原則的工作流程,這些原則會套用至 NSX 分散式防火牆或具有 NSX 管理物件的特定群組。
如果您的
NSX-T Data Center 環境中登錄了
Antrea 容器,則可以建立分散式防火牆原則,並將其套用至
Antrea 容器叢集。如需詳細資訊,請參閱:
備註:
NSX-T Data Center 不支援在相同的分散式防火牆原則中,混合以 NSX 管理的物件所建立的規則與以
Antrea 容器叢集物件建立的規則。換言之,套用至 NSX 分散式防火牆與套用至
Antrea 容器叢集的防火牆規則,兩者必須位於不同的原則中。
必要條件
在 NSX-T Data Center 3.2 之前,虛擬機器的 vNIC 必須連線至要受到 DFW 保護的 NSX 覆疊或 VLAN 區段。在 NSX-T Data Center 3.2 中,分散式防火牆會保護原生連線至 VDS 分散式連接埠群組 (DVPG) 的工作負載。如需詳細資訊,請參閱適用於 vSphere Distributed Switch 的分散式安全性。
若要為身分識別防火牆建立規則,請先建立含有 Active Directory 成員的群組。若要檢視 IDFW 支援的通訊協定,請參閱
身分識別防火牆支援的組態。使用 Guest Instrospection 建立 DFW 規則時,請確保
套用至欄位套用至目的地群組。
備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應
開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。
請注意,如果您使用第 7 層和 ICMP 的組合,或使用任何其他通訊協定,則需要將第 7 層防火牆規則放置於最後。第 7 層「任何/任何」規則之後的任何規則都將不會執行。
如需分散式防火牆原則與規則建立的聯盟專屬詳細資料,請參閱從全域管理程式建立 DFW 原則和規則。