Verwalten der NSX Data Center for vSphere-Regeln für verteilte Firewalls mithilfe des Mandantenportals

Wie in der Dokumentation für NSX Data Center for vSphere erläutert, werden die standardmäßigen Firewalleinstellungen auf Datenverkehr angewendet, der keiner der benutzerdefinierten Firewallregeln entspricht. Im VMware Cloud Director Tenant Portal hat die Standardregel für die verteilte Firewall die Bezeichnung „Zulässige Standardregel“.

Die Funktion „Verteilte Firewall“ muss in einem Organisations-VDC aktiviert werden, bevor Sie die Einstellungen für die verteilte Firewall im VMware Cloud Director Tenant Portal verwalten können.

Die Standardregel für die verteilte Firewall ist so konfiguriert, dass der gesamte Ebene-2- und Ebene-3-Datenverkehr über das Organisations-VDC geleitet werden kann. Diese Einstellung wird angegeben, indem in der Spalte „Aktion“ der Benutzeroberfläche die Option „Zulassen“ ausgewählt wird. Die Standardregel befindet sich immer am Ende der Regeltabelle.

Wichtig: Sie können die Standardregeln für verteilte Firewalls weder löschen noch ändern.

Hinzufügen einer Distributed Firewall-Regel

Sie fügen eine Distributed Firewall-Regel zuerst dem Bereich des virtuellen Datencenters der Organisation (Organisations-VDC) hinzu. Anschließend können Sie den Bereich einschränken, auf den Sie die Regel anwenden möchten. Mit der Distributed Firewall können Sie auf Quell- und Zielebene für jede Regel mehrere Objekte hinzufügen und so die Gesamtanzahl der hinzuzufügenden Firewallregeln verringern.

Informationen zu den vordefinierten Diensten und Dienstgruppen, die Sie in einer Regel verwenden können, finden Sie unter Anzeigen der für Firewallregeln verfügbaren Dienste und Anzeigen der für Firewallregeln verfügbaren Dienstgruppen.

Voraussetzungen

Aktivieren der verteilten Firewall eines von NSX Data Center for vSphere gestützten Organisations-VDC
Wenn Sie ein IP Set als Quelle oder Ziel in einer Regel verwenden möchten, nutzen Sie das Verfahren unter Erstellen eines IP Sets zur Verwendung in Firewallregeln und bei der DHCP-Relay-Konfiguration.
Wenn Sie ein MAC Set als Quelle oder Ziel in einer Regel verwenden möchten, nutzen Sie das Verfahren unter Erstellen eines MAC Sets für die Verwendung in Firewallregeln.
Wenn Sie eine Sicherheitsgruppe als Quelle oder Ziel in einer Regel verwenden möchten, nutzen Sie das Verfahren unter Erstellen einer Sicherheitsgruppe.

Prozedur

Klicken Sie im Dashboard-Bildschirm Virtuelles Datencenter auf die Karte des virtuellen Datencenters, das Sie erkunden möchten, und wählen Sie unter Netzwerk die Option Sicherheit aus.
Wählen Sie das VDC-Netzwerk für Sicherheitsdienste aus, für das Sie Firewallregeln ändern möchten, und klicken Sie auf Dienste konfigurieren.
Der Bildschirm „Sicherheitsdienste“ wird angezeigt.
Wählen Sie den Typ der zu erstellenden Regel aus. Sie haben die Möglichkeit, eine allgemeine Regel oder eine Ethernet-Regel zu erstellen.
Layer-3-(L3-)Regeln werden auf der Registerkarte Allgemein konfiguriert. Layer-2-(L2-)Regeln werden auf der Registerkarte Ethernet konfiguriert.
Um eine Regel unter einer vorhandenen Regel in der Firewalltabelle hinzuzufügen, klicken Sie auf die vorhandene Zeile und dann auf die Schaltfläche Erstellen ().
Unter der ausgewählten Regel wird eine Zeile für die neue Regel eingefügt. Standardmäßig werden ihr alle Ziele, Dienste und die Aktion Zulassen zugewiesen. Wenn die Firewalltabelle nur die systemdefinierte Standardregel „Zulassen“ enthält, wird die neue Regel über der Standardregel eingefügt.
Klicken Sie in die Zelle Name und geben Sie einen Namen ein.

Klicken Sie in die Zelle Quelle und wählen Sie mithilfe der jetzt sichtbaren Symbole eine Quelle aus, die der Regel hinzugefügt werden soll:

Aktion	Beschreibung
Auf das IP-Symbol klicken	Gilt für Regeln, die auf der Registerkarte Allgemein definiert sind. Geben Sie den Quellwert an, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort `Beliebig`. Die Distributed Firewall unterstützt nur das IPv4-Format.
Auf das Plussymbol (+) klicken	Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt: Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen. Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster Objekte auswählen hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen. Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

Aktion

Beschreibung

Auf das IP-Symbol klicken

Gilt für Regeln, die auf der Registerkarte Allgemein definiert sind.

Geben Sie den Quellwert an, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort Beliebig. Die Distributed Firewall unterstützt nur das IPv4-Format.

Auf das Plussymbol (+) klicken

Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt:

Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen.
Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster Objekte auswählen hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen.

Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

Klicken Sie in die Zelle Ziel und führen Sie eine der folgenden Aktionen durch:

Aktion	Beschreibung
Auf das IP-Symbol klicken	Gilt für Regeln, die auf der Registerkarte Allgemein definiert sind. Geben Sie den Zielwert an, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort `Beliebig`. Die Distributed Firewall unterstützt nur das IPv4-Format.
Auf das Plussymbol (+) klicken	Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt: Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen. Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster „Objekte auswählen“ hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen. Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

Aktion

Beschreibung

Auf das IP-Symbol klicken

Gilt für Regeln, die auf der Registerkarte Allgemein definiert sind.

Geben Sie den Zielwert an, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort Beliebig. Die Distributed Firewall unterstützt nur das IPv4-Format.

Auf das Plussymbol (+) klicken

Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt:

Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen.
Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster „Objekte auswählen“ hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen.

Klicken Sie in die Zelle Dienst der neuen Regel und führen Sie eine der folgenden Aktionen durch:

Aktion	Beschreibung
Auf das IP-Symbol klicken	So geben Sie den Dienst als Port-Protokoll-Kombination an: Wählen Sie das Dienstprotokoll aus. Geben Sie die Portnummern für die Quell- und Zielports ein oder `Beliebige` an und klicken Sie auf Behalten.
Auf das Plussymbol (+) klicken	Wählen Sie einen vordefinierten Dienst oder eine vordefinierte Dienstgruppe aus oder definieren Sie einen neuen Dienst oder eine neue Dienstgruppe: Wählen Sie ein oder mehrere Objekte aus und fügen Sie sie dem Filter hinzu. Klicken Sie auf Behalten.

Konfigurieren Sie in der Zelle Aktion der neuen Regel die Aktion für die Regel.

Option	Beschreibung
Zulassen	Lässt Datenverkehr von den angegebenen Quellen, Zielen und Diensten oder zu diesen zu.
Verweigern	Blockiert Datenverkehr von den angegebenen Quellen, Zielen und Diensten oder zu diesen.

Wählen Sie in der Zelle Richtung der neuen Regel aus, ob die Regel auf eingehenden Datenverkehr, ausgehenden Datenverkehr oder beides angewendet wird.
Falls es sich um eine Regel auf der Registerkarte Allgemein in der Zelle Pakettyp der neuen Regel handelt, wählen Sie als Pakettyp Beliebig, IPV4 oder IPV6 aus.
Markieren Sie die Zelle Angewendet auf und definieren Sie mithilfe des Plussymbols (+) den Objektbereich, auf den diese Regel anwendbar ist.
Wenn die Regel in den Zellen Quelle und Ziel virtuelle Maschinen enthält, müssen Sie die virtuellen Quell- und Zielmaschinen der Zelle Angewendet auf der Regel hinzufügen, damit die Regel ordnungsgemäß funktioniert.
Wichtig: IP-Adressgruppen (IP Sets), MAC-Adressgruppen (MAC Sets) und Sicherheitsgruppen, die entweder IP Sets oder MAC Sets enthalten, sind keine gültigen Eingabeparameter.
Klicken Sie auf Änderungen speichern.

Bearbeiten einer Regel für verteilte Firewalls

Verwenden Sie in einer VMware Cloud Director-Umgebung zum Ändern einer vorhandenen Regel für verteilte Firewalls eines virtuellen Organisations-Datencenters den Bildschirm Verteilte Firewall.

Weitere Informationen zu den verfügbaren Einstellungen für die verschiedenen Zellen einer Regel finden Sie unter Hinzufügen einer Distributed Firewall-Regel.

Prozedur

Klicken Sie im Dashboard-Bildschirm Virtuelles Datencenter auf die Karte des virtuellen Datencenters, das Sie erkunden möchten, und wählen Sie unter Netzwerk die Option Sicherheit aus.
Wählen Sie das VDC-Netzwerk für Sicherheitsdienste aus, für das Sie Firewallregeln ändern möchten, und klicken Sie auf Dienste konfigurieren.
Der Bildschirm „Sicherheitsdienste“ wird angezeigt.
Führen Sie eine der folgenden Aktionen aus, um Regeln für verteilte Firewalls zu verwalten:
- Deaktivieren Sie eine Regel durch Klicken auf das grüne Häkchen in der Zelle Nein.
  Das grüne Häkchen verwandelt sich in ein rotes Deaktiviert-Symbol. Wenn die Regel deaktiviert ist und Sie die Regel aktivieren möchten, klicken Sie auf das rote Deaktiviert-Symbol.
- Bearbeiten Sie einen Regelnamen, indem Sie auf die Zelle Name doppelklicken und den neuen Namen eingeben.
- Ändern Sie die Einstellungen für eine Regel, z. B. die Quell- oder Aktionseinstellungen, indem Sie die entsprechende Zelle auswählen und die angezeigten Steuerelemente verwenden.
- Löschen Sie eine Regel, indem Sie sie auswählen und auf die Schaltfläche Löschen oberhalb der Regeltabelle klicken.
- Verschieben Sie eine Regel in der Regeltabelle nach oben oder unten, indem Sie die Regel auswählen und oberhalb der Regeltabelle auf eine der Schaltflächen mit dem Pfeil nach oben oder unten klicken.
Klicken Sie auf Änderungen speichern.