您可以從具有全域、區域或本機範圍的全域管理員建立分散式和閘道防火牆規則。
NSX 聯盟安全性提供了下列優點:
- 可使用NSX 聯盟在部署間維護一致的安全性原則。
- 有效的災難復原,可確實延續已建立的安全性架構。
- 在某個位置中的計算資源不足時,可將網路和安全性架構延伸至另一個位置。
從全域管理員建立的分散式和閘道防火牆原則和規則,會同步至本機管理程式並顯示在具有 圖示的本機管理程式中。您只能從全域管理程式編輯從全域管理程式建立的規則。無法從本機管理程式進行編輯。
在 NSX 4.0.1.1 和更新版本中,可使用一個按鈕,在 全域管理員 層級啟用和停用分散式防火牆。系統是在全域管理員層級報告分散式防火牆強制執行的變更,而無法在本機管理程式層級進行覆寫。若要在全域管理程式上啟用分散式防火牆,請導覽至 ,然後切換分散式服務狀態開關。
分散式防火牆 (DFW) 原則和規則的 NSX 聯盟
使用此範例來瞭解支援的防火牆工作流程:
- 在此範例中,全域管理員有已向其登錄的三個本機管理程式,名為:Location1、Location2 和 Location3。
- 全域管理程式會自動建立下列區域:
- 全域
- Location1
- Location2
- Location3
- 您可以建立名為 Region1 的自訂區域,其中包含名為 Location2 和 Location3 的本機管理程式。
- 您可以建立下列群組:
- Group1:區域 Global。
- Group2:區域 Location1。
- Group3:區域 Location2。
- Group4:區域 Location3。
- Group5:區域 Region1。
DFW 原則和規則
支援下列使用案例:
- 群組範圍:您可以在具有全域、本機或區域範圍的全域管理員中建立群組。請參閱從全域管理員建立群組。
- 動態群組:您可以根據動態準則 (例如標籤) 建立群組。
- DFW 原則範圍:DFW 原則可套用至全域、區域或本機範圍。
- DFW 規則的來源和目的地群組:來源欄位中的所有群組或目的地欄位中的所有群組都必須符合 DFW 原則的範圍。系統會在原則範圍以外的位置自動建立群組。請參閱資料表以取得 DFW 規則中有效和無效來源和目的地群組的範例:
表 1. 基於 DFW 原則範圍的 DFW 規則的有效來源和目的地 DFW 原則範圍 (適用於) DFW 規則中支援的案例 全域:從此範例,此區域包含下列群組: - Group1
對於具有全域區域範圍的 DFW 原則,DFW 規則的來源和目的地中允許所有群組。以下是一些支援的典型案例,使用我們的範例: - 來源:Group2;目的地:Group3
- 來源:Group3;目的地:Group4
- 來源:Group4;目的地:Any
- 來源:Group1;目的地:Group2。
Location1:在位置 1 中,為本機管理程式自動建立的區域。 從此範例,此區域包含下列群組: - Group2
對於具有單一位置範圍的 DFW 原則:此範例中的 Location1,無論是 DFW 規則的來源或目的地群組,皆必須屬於 Location1。支援下列案例: - 來源:Group2;目的地:Group2
- 來源:Group3;目的地:Group2。
- 來源:Group2;目的地:Group4。
- 來源:Group1;目的地:Group2。
以下是此原則範圍不支援群組選取項目的範例。來源和目的地群組均不在原則的範圍內:- 來源:Group5;目的地:Group3。
- 來源:Group1;目的地:Group3。
Region1:使用者建立的區域,跨越 Location2 和 Location3。 從此範例,此區域包含下列群組: - Group5
對於具有使用者所建立區域範圍的 DFW 原則:此範例中的 Region1,無論是 DFW 規則的來源或目的地群組,皆必須包含屬於 Region1 的位置。
支援下列案例:- 來源:Group5;目的地:Group2。
- 來源:Group2;目的地:Group5。
- 來源:Group2;目的地:Group3。
- 來源:Group3;目的地:Group4。
- 來源:Any;目的地:Group5
- 來源:Group4;目的地:Any
以下是此原則範圍不支援群組選取項目的範例。來源和目的地群組均不在原則的範圍內:- 來源:Group2;目的地:Group2。
- 來源:Group1;目的地:Group2。
- 來源:Group1;目的地:Group1。
- 如果群組包含區段,則 DFW 原則的範圍必須大於或等於區段的範圍。例如,如果群組包含範圍為 Location1 的區段,則無法將 DFW 原則套用至區域 Region1,因為它僅包含 Location2 和 Location3。
閘道防火牆原則和規則的 NSX 聯盟
閘道防火牆規則可套用至閘道範圍內包含的所有位置、特定位置的所有介面,或一或多個位置的特定介面。
備註: 閘道防火牆規則的來源和目的地群組範圍,必須與您要在其上建立規則的閘道範圍的子集相同。
閘道防火牆規則的範圍 (適用於) | 套用至 |
---|---|
將規則套用至閘道 | 此規則會套用至此閘道延伸的所有位置中,連結至此閘道的所有介面。 |
選取位置,然後選取 [將規則套用至所有實體]。 | 此規則僅會套用至於選取的位置。 |
選取位置,然後選取來自該位置的介面。針對其他位置重複上述步驟,選取要套用規則的每個位置的介面。 | 此規則僅會套用至選取的介面。 |