群組包含以靜態方式和動態方式新增的不同物件,可以作為防火牆規則的來源和目的地。
群組可設定為包含虛擬機器、IP 集合、MAC 集合、區段連接埠、區段交換器、AD 使用者群組以及其他群組的組合。群組的動態納入方式可以根據標籤、機器名稱、作業系統名稱或電腦名稱來進行。
如果已啟用 [惡意 IP 摘要],則會從 NTICS 雲端服務下載已知的惡意 IP 清單。您可以建立群組以包含這些已下載的 IP,並設定防火牆規則以封鎖對這些 IP 的存取。請注意,您可以將「一般」或「僅限 IP 位址」群組轉換為具有惡意 IP 的「僅限 IP 位址」群組,但無法反向轉換。
群組也可以從防火牆規則中排除,且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 AD 群組作為成員。如需詳細資訊,請參閱管理防火牆排除清單。
如果您使用 Active Directory 群組作為來源,則可以使用單一 Active Directory 群組。如果需要在來源同時使用 IP 和 Active Directory 群組,請建立兩個單獨的防火牆規則。
無法在 套用至文字方塊中,使用僅由 IP 位址或 MAC 位址組成的群組。對於包含 IP、MAC 位址和身分識別群組的原則群組,清單 API 將不顯示「成員」屬性。這也適用於包含靜態成員組合的群組。例如,包含 IP 和虛擬機器的原則群組不會顯示成員屬性。
對於不包含 IP、MAC 位址或身分識別群組的原則群組,成員屬性將顯示在 NSGroup 回應中。但是,在 NSX 中導入的新成員和準則 (如 DVPort 和 DVPG) 將不會包含在 MP 群組定義中。使用者可以在原則中檢視其定義。
NSX 中的標籤區分大小寫,但以標籤為基礎的群組則「不區分大小寫」。例如,如果動態群組成員資格準則為 VM Tag Equals 'quarantine'
,則該群組中會納入包含「quarantine」或「QUARANTINE」標籤的所有虛擬機器。
如果您使用的是 NSX Cloud,請參閱使用 NSX 和公有雲標記分組虛擬機器,以取得如何使用公有雲標籤在 NSX Manager 中將工作負載虛擬機器分組的資訊。