Ab VMware Cloud Director 10.5.1 können Sie Firewallregeln auf einem Providergateway konfigurieren, das IP-Räume verwendet.

Voraussetzungen

  • Stellen Sie sicher, dass das Providergateway IP-Räume nutzt.
  • Stellen Sie sicher, dass das Providergateway privat ist, d. h. dass es für eine einzelne Organisation reserviert ist.
  • Stellen Sie sicher, dass die NAT- und Firewall-Dienstabsichten des Providergateways auf Providergateways oder auf Provider- und Edge-Gateways festgelegt ist.
  • Stellen Sie sicher, dass Ihre Rolle die Rechte Providergateway-Firewall: Ansicht und Providergateway-Firewall: Verwalten umfasst.
  • Stellen Sie sicher, dass sich der stützende NSX Tier-0-Router im Aktiv/Standby-Modus befindet. Andernfalls können Sie die NAT- und Firewall-Dienstabsichten des Providergateways nicht auf Providergateways oder Provider- und Edge-Gateways festlegen.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
  2. Wählen Sie im sekundären linken Bereich Providergateways aus.
  3. Klicken Sie auf das Providergateway.
  4. Klicken Sie unter „Dienste“ auf Firewall.
  5. Klicken Sie zum Erstellen einer neuen Firewallregel auf Neu.
  6. Konfigurieren Sie die Firewallregel.
    Name Geben Sie einen Namen für die Regel ein.
    Zustand Um die Regel bei der Erstellung zu aktivieren, verwenden Sie die Umschaltoption Zustand.
    Anwendungen (Optional) Wählen Sie eine der folgenden Optionen aus.
    • Um die Regel auf bestimmte Anwendungen anzuwenden, aktivieren Sie die Umschaltoption Anwendungen, wählen Sie eine oder mehrere Anwendungen aus der Liste aus und klicken Sie auf Speichern.
    • Um bestimmte Ports auszuwählen, für die die Regel gilt, klicken Sie auf Raw-Portprotokolle, wählen Sie einen Protokolltyp aus und geben Sie durch Kommas getrennte Quell- und Zielports oder -Portbereiche ein. Sie können bis zu 15 Portprotokoll-Zeilen pro Regel eingeben.
    Quelle
    1. Wählen Sie eine der folgenden Optionen aus:
      • Um Datenverkehr von einer beliebigen Quelladresse zuzulassen oder zu verweigern, aktivieren Sie die Umschaltoption Beliebige Quelle.
      • Um Datenverkehr von bestimmten Firewallgruppen zuzulassen oder zu verweigern, klicken Sie auf Firewallgruppen und wählen Sie die Firewallgruppen in der Liste aus.
      • Klicken Sie zur manuellen Eingabe von IP-Adressen, CIDR-Blöcken oder IP-Bereichen auf Firewall-IP-Adressen und dann auf Hinzufügen und geben Sie die einzelnen IP-Adressen, CIDR-Blöcke oder Bereiche ein.
    2. Klicken Sie auf Behalten.
    Ziel
    1. Wählen Sie eine der folgenden Optionen aus:
      • Um Datenverkehr zu einer beliebigen Zieladresse zuzulassen oder zu verweigern, aktivieren Sie die Umschaltoption Beliebiges Ziel.
      • Um Datenverkehr zu bestimmten Firewallgruppen zuzulassen oder zu verweigern klicken Sie auf Firewallgruppen und wählen Sie die Firewallgruppen in der Liste aus.
      • Klicken Sie zur manuellen Eingabe von IP-Adressen, CIDR-Blöcken oder IP-Bereichen auf Firewall-IP-Adressen und dann auf Hinzufügen und geben Sie die einzelnen IP-Adressen, CIDR-Blöcke oder Bereiche ein.
    2. Klicken Sie auf Behalten.
    Aktion Wählen Sie eine Option aus.
    • Wählen Sie Zulassen aus, um Datenverkehr von oder zu den angegebenen Quellen, Zielen und Diensten zuzulassen.
    • Wählen Sie Verwerfen aus, um Datenverkehr von oder zu den angegebenen Quellen, Zielen und Diensten ohne Benachrichtigung des blockierten Clients zu blockieren.
    • Zum Blockieren des Datenverkehrs von oder zu den angegebenen Quellen, Zielen und Diensten und Informieren des blockierten Clients über abgelehnten Datenverkehr wählen Sie Ablehnen aus.
    IP-Protokoll Wählen Sie aus, ob die Regel auf IPv4-, IPv6-Datenverkehr oder beides angewendet werden soll.
    Angewendet auf (Optional) Wählen Sie im Dropdown-Menü einen IP-Raum-Uplink aus, auf den die Regel angewendet werden soll.
    Protokollierung

    Damit die von dieser Regel durchgeführte Adressübersetzung protokolliert wird, aktivieren Sie die Umschaltoption Protokollierung.

    Nach dem Erstellen der Regel wird im Textfeld „Protokollierungs-ID“ die eindeutige ID der NSX-Firewallregel angezeigt, die vom System bei der Regelerstellung erzeugt wird.
    Kommentar (Optional) Fügen Sie der Firewallregel einen Kommentar hinzu.
  7. Klicken Sie auf Speichern.
  8. Zum Ändern der Position der Firewallregel wählen Sie die Regel aus und klicken Sie auf Verschieben nach. Wählen Sie dann im Dropdown-Menü eine neue Position aus.
  9. Wiederholen Sie diese Schritte, um zusätzliche Regeln zu konfigurieren.

Ergebnisse

Nachdem eine Firewallregel erstellt wurde, wird sie in der Liste „Firewallregeln“ angezeigt. Sie können die Regel nach Bedarf nach oben oder unten verschieben, bearbeiten oder löschen.