您可以從具有全域、區域或本機範圍的全域管理員建立分散式和閘道防火牆規則。

NSX 聯盟安全性提供了下列優點:
  • 可使用NSX 聯盟在部署間維護一致的安全性原則。
  • 有效的災難復原,可確實延續已建立的安全性架構。
  • 在某個位置中的計算資源不足時,可將網路和安全性架構延伸至另一個位置。

全域管理員建立的分散式和閘道防火牆原則和規則,會同步至本機管理程式並顯示在具有 GM 圖示的本機管理程式中。您只能從全域管理程式編輯從全域管理程式建立的規則。無法從本機管理程式進行編輯。

在 NSX 4.0.1.1 和更新版本中,可使用一個按鈕,在 全域管理員 層級啟用和停用分散式防火牆。系統是在全域管理員層級報告分散式防火牆強制執行的變更,而無法在本機管理程式層級進行覆寫。若要在全域管理程式上啟用分散式防火牆,請導覽至安全性 > 分散式防火牆 > 動作 > 一般設定,然後切換分散式服務狀態開關。

分散式防火牆 (DFW) 原則和規則的 NSX 聯盟

使用此範例來瞭解支援的防火牆工作流程:

""
  • 在此範例中,全域管理員有已向其登錄的三個本機管理程式,名為:Location1Location2Location3
  • 全域管理程式會自動建立下列區域:
    • 全域
    • Location1
    • Location2
    • Location3
  • 您可以建立名為 Region1 的自訂區域,其中包含名為 Location2Location3 的本機管理程式。
  • 您可以建立下列群組:
    • Group1:區域 Global
    • Group2:區域 Location1
    • Group3:區域 Location2
    • Group4:區域 Location3
    • Group5:區域 Region1

DFW 原則和規則

支援下列使用案例:

  • 群組範圍:您可以在具有全域、本機或區域範圍的全域管理員中建立群組。請參閱從全域管理員建立群組
  • 動態群組:您可以根據動態準則 (例如標籤) 建立群組。
  • DFW 原則範圍:DFW 原則可套用至全域、區域或本機範圍。
  • DFW 規則的來源和目的地群組:來源欄位中的所有群組或目的地欄位中的所有群組都必須符合 DFW 原則的範圍。系統會在原則範圍以外的位置自動建立群組。

    ""

    請參閱資料表以取得 DFW 規則中有效和無效來源和目的地群組的範例:
    表 1. 基於 DFW 原則範圍的 DFW 規則的有效來源和目的地
    DFW 原則範圍 (適用於) DFW 規則中支援的案例
    全域:從此範例,此區域包含下列群組:
    • Group1
    對於具有全域區域範圍的 DFW 原則,DFW 規則的來源和目的地中允許所有群組。以下是一些支援的典型案例,使用我們的範例:
    • 來源Group2目的地Group3
    • 來源Group3目的地Group4
    • 來源Group4目的地Any
    • 來源Group1目的地Group2
    Location1:在位置 1 中,為本機管理程式自動建立的區域。

    從此範例,此區域包含下列群組:
    • Group2
    對於具有單一位置範圍的 DFW 原則:此範例中的 Location1,無論是 DFW 規則的來源或目的地群組,皆必須屬於 Location1

    支援下列案例:
    • 來源Group2目的地Group2
    • 來源Group3目的地Group2
    • 來源Group2目的地Group4
    • 來源Group1目的地Group2
    以下是此原則範圍不支援群組選取項目的範例。來源和目的地群組均不在原則的範圍內:
    • 來源Group5目的地Group3
    • 來源Group1目的地Group3
    Region1:使用者建立的區域,跨越 Location2Location3

    從此範例,此區域包含下列群組:
    • Group5

    對於具有使用者所建立區域範圍的 DFW 原則:此範例中的 Region1,無論是 DFW 規則的來源或目的地群組,皆必須包含屬於 Region1 的位置。

    支援下列案例:
    • 來源Group5目的地Group2
    • 來源Group2目的地Group5
    • 來源Group2目的地Group3
    • 來源Group3目的地Group4
    • 來源Any目的地Group5
    • 來源Group4目的地Any
    以下是此原則範圍不支援群組選取項目的範例。來源和目的地群組均不在原則的範圍內:
    • 來源Group2目的地Group2
    • 來源Group1目的地Group2
    • 來源Group1目的地Group1
  • 如果群組包含區段,則 DFW 原則的範圍必須大於或等於區段的範圍。例如,如果群組包含範圍為 Location1 的區段,則無法將 DFW 原則套用至區域 Region1,因為它僅包含 Location2Location3

閘道防火牆原則和規則的 NSX 聯盟

閘道防火牆規則可套用至閘道範圍內包含的所有位置、特定位置的所有介面,或一或多個位置的特定介面。
備註: 閘道防火牆規則的來源和目的地群組範圍,必須與您要在其上建立規則的閘道範圍的子集相同。
表 2. 閘道防火牆規則的範圍選項
閘道防火牆規則的範圍 (適用於) 套用至
將規則套用至閘道 此規則會套用至此閘道延伸的所有位置中,連結至此閘道的所有介面。
選取位置,然後選取 [將規則套用至所有實體]。 此規則僅會套用至於選取的位置。
選取位置,然後選取來自該位置的介面。針對其他位置重複上述步驟,選取要套用規則的每個位置的介面。 此規則僅會套用至選取的介面。