Um den Datenverkehr zu und von einem Edge-Gateway zu schützen, können Sie Firewallregeln auf diesem Edge-Gateway erstellen und verwalten.

Informationen zum Schützen des Datenverkehrs zwischen virtuellen Maschinen in einem virtuellen Organisations-Datencenter finden Sie unter Verwalten der verteilten Firewall in einem VMware Cloud Director-Organisations-VDC.

Auf dem Bildschirm „Verteilte Firewall“ erstellte Regeln, für die in der Spalte „Angewendet auf“ ein erweitertes Gateway angegeben ist, werden auf dem Bildschirm „Firewall“ für dieses erweiterte Edge-Gateway nicht angezeigt.

Die Firewallregeln für ein Edge-Gateway werden im Bildschirm Firewall angezeigt und in folgender Reihenfolge durchgesetzt:

  1. Interne Regeln, auch bekannt als automatisch verbundene Regeln. Mit diesen internen Regeln können Datenflüsse für Edge-Gateway-Dienste gesteuert werden.
  2. Benutzerdefinierte Regeln.
  3. Standardregel.

Die Einstellungen für die Standardregel gelten für Datenverkehr, der keiner der benutzerdefinierten Firewallregeln entspricht. Die Standardregel wird am unteren Rand der Regeln auf dem Bildschirm „Firewall“ angezeigt.

Verwenden Sie im Mandantenportal die Umschaltoption Aktivieren des Edge-Gateway-Bildschirms „Firewall-Regeln“, um eine Edge-Gateway-Firewall zu aktivieren oder zu deaktivieren.

Hinzufügen einer NSX Data Center for vSphere-Edge-Gateway-Firewallregel im VMware Cloud Director Service Provider Admin Portal

Sie können die Registerkarte Firewall des Edge-Gateways verwenden, um Firewallregeln für das betreffende Edge-Gateway hinzuzufügen. Sie können mehrere Edge-Schnittstellen und mehrere IP-Adressgruppen als Quelle und Ziel für diese Firewallregeln hinzufügen.

Durch Festlegen von intern für eine Quelle oder ein Ziel einer Regel wird Datenverkehr für alle Subnetze in den Portgruppen angegeben, die mit dem NSX-Edge-Gateway verbunden sind. Falls Sie als Quelle intern auswählen, wird die Regel automatisch aktualisiert, wenn auf dem NSX-Gateway weitere interne Schnittstellen konfiguriert werden.

Hinweis: Edge-Gateway-Firewallregeln für interne Schnittstellen funktionieren nicht, wenn das Edge-Gateway für dynamisches Routing konfiguriert ist.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Registerkarte Cloud-Ressourcen aus.
    2. Wählen Sie im sekundären linken Bereich Edge-Gateways aus.
    3. Klicken Sie auf das Optionsfeld neben dem Namen des gewünschten Edge-Gateways und anschließend auf Dienste.
  2. Falls der Bildschirm Firewallregeln noch nicht angezeigt wird, klicken Sie auf die Registerkarte Firewall.
  3. Um eine Regel unter einer vorhandenen Regel in der Firewallregeltabelle hinzuzufügen, klicken Sie auf die vorhandene Zeile und dann auf die Schaltfläche Erstellen.
    Unter der ausgewählten Regel wird eine Zeile für die neue Regel eingefügt. Standardmäßig werden ihr alle Ziele, Dienste und die Aktion Zulassen zugewiesen. Wenn die Firewalltabelle nur die systemdefinierte Standardregel enthält, wird die neue Regel über der Standardregel eingefügt.
  4. Klicken Sie in die Zelle Name und geben Sie einen Namen ein.
  5. Klicken Sie in die Zelle Quelle und wählen Sie mithilfe der jetzt sichtbaren Symbole eine Quelle aus, die der Regel hinzugefügt werden soll:
    Option Beschreibung
    Auf das IP-Symbol klicken Geben Sie den Quellwert an, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort Beliebig. Die Edge-Gateway-Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.
    Auf das Plussymbol (+) klicken Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt:
    • Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen.
    • Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster Objekte auswählen hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen.

    Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

  6. Klicken Sie in die Zelle Ziel und führen Sie eine der folgenden Aktionen durch:
    Option Beschreibung
    Auf das IP-Symbol klicken Geben Sie den Zielwert an, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort Beliebig. Die Edge-Gateway-Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.
    Auf das Plussymbol (+) klicken Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt:
    • Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen.
    • Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster „Objekte auswählen“ hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen.

    Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

  7. Klicken Sie in die Zelle Dienst der neuen Regel und dann auf das Plussymbol (+), um den Dienst als Port-Protokoll-Kombination anzugeben:
    1. Wählen Sie das Dienstprotokoll aus.
    2. Geben Sie die Portnummern für die Quell- und Zielports oder Beliebig an.
    3. Klicken Sie auf Behalten.
  8. Konfigurieren Sie in der Zelle Aktion der neuen Regel die Aktion für die Regel.
    Option Beschreibung
    Annehmen Lässt Datenverkehr von den angegebenen Quellen, Zielen und Diensten oder zu diesen zu.
    Verweigern Blockiert Datenverkehr von den angegebenen Quellen, Zielen und Diensten oder zu diesen.
  9. Klicken Sie auf Änderungen speichern.
    Der Speichervorgang kann eine Minute dauern.

Ändern der Firewallregeln für NSX Data Center for vSphere-Edge-Gateways im VMware Cloud Director Service Provider Admin Portal

Sie können nur benutzerdefinierte Firewallregeln, die einem Edge-Gateway hinzugefügt wurden, bearbeiten und löschen. Sie können eine automatisch erzeugte Regel oder Standardregel (mit Ausnahme der Aktionseinstellung der Standardregel) weder bearbeiten noch löschen. Sie können die Reihenfolge der Priorität von benutzerdefinierten Regeln ändern.

Weitere Informationen zu den verfügbaren Einstellungen für die verschiedenen Zellen einer Regel finden Sie unter Hinzufügen einer NSX Data Center for vSphere-Edge-Gateway-Firewallregel im VMware Cloud Director Service Provider Admin Portal.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Registerkarte Cloud-Ressourcen aus.
    2. Wählen Sie im sekundären linken Bereich Edge-Gateways aus.
    3. Klicken Sie auf das Optionsfeld neben dem Namen des gewünschten Edge-Gateways und anschließend auf Dienste.
  2. Klicken Sie auf die Registerkarte Firewall.
  3. Verwalten Sie die Firewall-Regeln.
    • Deaktivieren Sie eine Regel durch Klicken auf das grüne Häkchen in der Zelle Nein. Das grüne Häkchen verwandelt sich in ein rotes Deaktiviert-Symbol. Wenn die Regel deaktiviert ist und Sie die Regel aktivieren möchten, klicken Sie auf das rote Deaktiviert-Symbol.
    • Bearbeiten Sie einen Regelnamen, indem Sie auf die Zelle Name doppelklicken und den neuen Namen eingeben.
    • Ändern Sie die Einstellungen für eine Regel, z. B. die Quell- oder Aktionseinstellungen, indem Sie die entsprechende Zelle auswählen und die angezeigten Steuerelemente verwenden.
    • Löschen Sie eine Regel, indem Sie sie auswählen und auf die Schaltfläche Löschen oberhalb der Regeltabelle klicken.
    • Blenden Sie vom System generierte Regeln mithilfe der Option Nur benutzerdefinierte Regeln anzeigen aus.
    • Verschieben Sie eine Regel in der Regeltabelle nach oben oder unten, indem Sie die Regel auswählen und oberhalb der Regeltabelle auf eine der Schaltflächen mit dem Pfeil nach oben oder unten klicken.
  4. Klicken Sie auf Änderungen speichern.

Anwenden von Syslog-Servereinstellungen auf ein NSX Data Center for vSphere-Edge-Gateway in VMware Cloud Director

Wenn Sie die Protokollierung für eine oder mehrere Edge-Gateway-Firewallregeln aktiviert haben, stellt das Edge-Gateway eine Verbindung mit dem Syslog-Server her. Wenn Sie ein Edge-Gateway vor der anfänglichen Konfiguration des Syslog-Servers erstellt oder die Syslog-Servereinstellungen geändert haben, müssen Sie die Syslog-Servereinstellungen für dieses Edge-Gateway synchronisieren.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
  2. Wählen Sie im sekundären linken Bereich Edge-Gateways aus.
  3. Klicken Sie auf das Optionsfeld neben dem Namen des gewünschten Edge-Gateways und anschließend auf Syslog synchronisieren.
  4. Klicken Sie zur Bestätigung auf OK.