Mithilfe des VMware Cloud Director Tenant Portal fügen Sie eine Regel für verteilte Firewalls zuerst dem Bereich des Organisations-VDC hinzu. Anschließend können Sie den Bereich einschränken, auf den Sie die Regel anwenden möchten. Mit der verteilten Firewall können Sie auf Quell- und Zielebene für jede Regel mehrere Objekte hinzufügen und so die Gesamtanzahl der hinzuzufügenden Firewallregeln verringern.

Informationen zu den vordefinierten Diensten und Dienstgruppen, die Sie in einer Regel verwenden können, finden Sie unter Anzeigen der für Firewallregeln verfügbaren Dienste mithilfe Ihres VMware Cloud Director Tenant Portal und Anzeigen der für Firewallregeln verfügbaren Dienstgruppen mithilfe des VMware Cloud Director Tenant Portal.

Voraussetzungen

Prozedur

  1. Klicken Sie im Dashboard-Bildschirm Virtuelles Datencenter auf die Karte des virtuellen Datencenters, das Sie erkunden möchten, und wählen Sie unter Netzwerk die Option Sicherheit aus.
  2. Wählen Sie das VDC-Netzwerk für Sicherheitsdienste aus, für das Sie Firewallregeln ändern möchten, und klicken Sie auf Dienste konfigurieren.
    Der Bildschirm „Sicherheitsdienste“ wird angezeigt.
  3. Wählen Sie den Typ der zu erstellenden Regel aus. Sie haben die Möglichkeit, eine allgemeine Regel oder eine Ethernet-Regel zu erstellen.
    Layer-3-(L3-)Regeln werden auf der Registerkarte Allgemein konfiguriert. Layer-2-(L2-)Regeln werden auf der Registerkarte Ethernet konfiguriert.
  4. Um eine Regel unter einer vorhandenen Regel in der Firewalltabelle hinzuzufügen, klicken Sie auf die vorhandene Zeile und dann auf die Schaltfläche Erstellen (Schaltfläche „Erstellen“).
    Unter der ausgewählten Regel wird eine Zeile für die neue Regel eingefügt. Standardmäßig werden ihr alle Ziele, Dienste und die Aktion Zulassen zugewiesen. Wenn die Firewalltabelle nur die systemdefinierte Standardregel „Zulassen“ enthält, wird die neue Regel über der Standardregel eingefügt.
  5. Klicken Sie in die Zelle Name und geben Sie einen Namen ein.
  6. Klicken Sie in die Zelle Quelle und wählen Sie mithilfe der jetzt sichtbaren Symbole eine Quelle aus, die der Regel hinzugefügt werden soll:
    Aktion Beschreibung
    Auf das IP-Symbol klicken Gilt für Regeln, die auf der Registerkarte Allgemein definiert sind.

    Geben Sie den Quellwert ein, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort Beliebig. Die verteilte Firewall unterstützt nur das IPv4-Format.

    Auf das Plussymbol (+) klicken Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt:
    • Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen.
    • Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster Objekte auswählen hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen.

    Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

  7. Klicken Sie in die Zelle Ziel und führen Sie eine der folgenden Aktionen durch:
    Aktion Beschreibung
    Auf das IP-Symbol klicken Gilt für Regeln, die auf der Registerkarte Allgemein definiert sind.

    Geben Sie den Zielwert ein, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort Beliebig. Die verteilte Firewall unterstützt nur das IPv4-Format.

    Auf das Plussymbol (+) klicken Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt:
    • Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen.
    • Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster „Objekte auswählen“ hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen.

    Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

  8. Klicken Sie in die Zelle Dienst der neuen Regel und führen Sie eine der folgenden Aktionen durch:
    Aktion Beschreibung
    Auf das IP-Symbol klicken So geben Sie den Dienst als Port-Protokoll-Kombination an:
    1. Wählen Sie das Dienstprotokoll aus.
    2. Geben Sie die Portnummern für die Quell- und Zielports oder Beliebige ein und klicken Sie auf Behalten.
    Auf das Plussymbol (+) klicken Wählen Sie einen vordefinierten Dienst oder eine vordefinierte Dienstgruppe aus oder definieren Sie einen neuen Dienst oder eine neue Dienstgruppe:
    1. Wählen Sie ein oder mehrere Objekte aus und fügen Sie sie dem Filter hinzu.
    2. Klicken Sie auf Behalten.
  9. Konfigurieren Sie in der Zelle Aktion der neuen Regel die Aktion für die Regel.
    Option Beschreibung
    Zulassen Lässt Datenverkehr von den angegebenen Quellen, Zielen und Diensten oder zu diesen zu.
    Verweigern Blockiert Datenverkehr von den angegebenen Quellen, Zielen und Diensten oder zu diesen.
  10. Wählen Sie in der Zelle Richtung der neuen Regel aus, ob die Regel auf eingehenden Datenverkehr, ausgehenden Datenverkehr oder beides angewendet wird.
  11. Falls es sich um eine Regel auf der Registerkarte Allgemein in der Zelle Pakettyp der neuen Regel handelt, wählen Sie als Pakettyp Beliebig, IPV4 oder IPV6 aus.
  12. Markieren Sie die Zelle Angewendet auf und definieren Sie mithilfe des Plussymbols (+) den Objektbereich, auf den diese Regel anwendbar ist.
    Wenn die Regel in den Zellen Quelle und Ziel virtuelle Maschinen enthält, müssen Sie die virtuellen Quell- und Zielmaschinen der Zelle Angewendet auf der Regel hinzufügen, damit die Regel ordnungsgemäß funktioniert.
    Wichtig: IP-Adressgruppen (IP Sets), MAC-Adressgruppen (MAC Sets) und Sicherheitsgruppen, die entweder IP Sets oder MAC Sets enthalten, sind keine gültigen Eingabeparameter.
  13. Klicken Sie auf Änderungen speichern.