群組包含以靜態方式和動態方式新增的不同物件,可以作為防火牆規則的來源和目的地。
群組可設定為包含虛擬機器、IP 集合、MAC 集合、區段連接埠、區段交換器、AD 使用者群組以及其他群組的組合。群組的動態納入方式可以根據標籤、機器名稱、作業系統名稱或電腦名稱來進行。
如果已啟用 [惡意 IP 摘要],則會從 NTICS 雲端服務下載已知的惡意 IP 清單。您可以建立群組以包含這些已下載的 IP,並設定防火牆規則以封鎖對這些 IP 的存取。[一般] 或 [僅限 IP 位址] 群組無法轉換為包含惡意 IP 的 [僅限 IP 位址] 群組,反之亦然。不過,[一般] 群組可以轉換為不包含惡意 IP 的 [僅限 IP 位址] 群組。
群組也可以從防火牆規則中排除,且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 AD 群組作為成員。如需詳細資訊,請參閱管理防火牆排除清單。
如果您使用 Active Directory 群組作為來源,則可以使用單一 Active Directory 群組。如果需要在來源同時使用 IP 和 Active Directory 群組,請建立兩個單獨的防火牆規則。
僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。對於包含 IP 或 MAC 位址的原則群組,NSGroup 清單 API 將不顯示「成員」屬性。這也適用於包含靜態成員組合的群組。例如,如果原則群組包含 IP 和 DVPG,則 NSGroup 清單 API 將不顯示「成員」屬性。
對於不包含 IP、MAC 位址或身分識別群組的原則群組,成員屬性將顯示在 NSGroup 回應中。但是,在 NSX 中導入的新成員和準則 (如 DVPort 和 DVPG) 將不會包含在 MP 群組定義中。使用者可以在原則中檢視其定義。
NSX 中的標籤區分大小寫,但以標籤為基礎的群組則「不區分大小寫」。例如,如果動態群組成員資格準則為 VM Tag Equals 'quarantine'
,則該群組中會納入包含「quarantine」或「QUARANTINE」標籤的所有虛擬機器。