以下詞彙將在整個分散式防火牆中使用。
| 建構 | 定義 |
|---|---|
| 套用至 | 定義每個原則的強制執行範圍,主要用於最佳化 ESXi 主機上的資源。這有助於為特定的區域、承租人或應用程式定義針對性的原則,卻不干擾為其他應用程式、承租人與區域定義的其他原則。僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 [套用至] 文字方塊中使用。 |
| 內容設定檔 | 定義內容感知的屬性,包括應用程式識別碼和網域名稱。還包括子屬性,例如應用程式版本或加密集。防火牆規則可以包含內容設定檔,以啟用第 7 層防火牆規則。 |
| 防火牆類別 | NSX 透過五個類別處理分散式和閘道防火牆規則:乙太網路、緊急、基礎結構、環境和應用程式。系統會以由左到右 (乙太網路 > 緊急 > 基礎結構 > 環境 > 應用程式) 的順序評估類別,並以由上到下的順序評估類別內的分散式防火牆規則。 |
| 防火牆草稿 | 草稿是具備原則區段和規則的完整分散式防火牆組態。草稿可以是自動儲存或手動儲存,並可立即發佈或儲存以在日後發佈。 |
| 群組 | 群組中包含靜態和動態新增的不同物件,並且可用作防火牆規則的來源和目的地欄位。群組可設定為包含虛擬機器、IP 集合、MAC 集合、邏輯連接埠、邏輯交換器、AD 使用者群組以及其他巢狀群組的組合。群組的動態納入方式可以根據標籤、機器名稱、作業系統名稱或電腦名稱來進行。 當您建立群組時,您必須包含其所屬的網域,依預設,此網域為預設網域。 群組先前稱為 NSGroup 或安全群組。 |
| 重新導向原則 | 確保為特定服務鏈結分類的流量重新導向至該服務鏈結。它基於與 NSX 安全群組和服務鏈結相符的流量模式。與模式相符的所有流量都會沿著服務鏈結重新導向。 |
| 規則 | 用於評估流量的一組參數,可定義相符時將採取的動作。規則中包含來源和目的地、服務、內容設定檔、記錄和標籤等參數。 |
| 服務 | 定義連接埠和通訊協定的組合。用於根據連接埠和通訊協定將流量分類。預先定義的服務和使用者定義的服務可在防火牆規則中使用。 |
| 服務鏈結 | 由管理員定義的服務設定檔的邏輯序列。服務設定檔會按照服務鏈結中定義的順序對網路流量進行自我檢查。例如,第一個服務設定檔為防火牆,第二個服務設定檔為監視器,依此類推。服務鏈結可以針對不同的流量方向 (出口/入口) 指定不同的服務設定檔序列。 |
| 原則 | 安全性原則包含各種安全性元素,包括防火牆規則和服務組態。原則先前稱為防火牆區段。 |
