Um den eingehenden und ausgehenden Netzwerkdatenverkehr zu und von einem NSX-Edge-Gateway zu steuern, erstellen Sie Firewallregeln.
Prozedur
- Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
- Wählen Sie im sekundären linken Bereich Edge-Gateways aus.
- Klicken Sie auf das Edge-Gateway.
- Falls der Bildschirm Firewall unter dem Abschnitt „Dienste“ noch nicht angezeigt wird, klicken Sie auf die Registerkarte Firewall.
- Klicken Sie auf Neu.
- Konfigurieren Sie die Firewallregel.
Option Beschreibung Name Geben Sie einen Namen für die Regel ein. Zustand Um die Regel bei der Erstellung zu aktivieren, verwenden Sie die Umschaltoption Zustand. Anwendungen (Optional) Je nach VMware Cloud Director-Version und den Anforderungen Ihrer Umgebung variieren die Optionen. - Sie können bestimmte Anwendungen auswählen, für die die Regel gilt. Klicken Sie auf das Stiftsymbol, wählen Sie eine oder mehrere Anwendungen aus der Liste aus und klicken Sie auf Speichern.
- Wenn Sie VMware Cloud Director 10.5.1 oder höher verwenden, können Sie bestimmte Ports auswählen, für die die Regel gilt. Wählen Sie die Registerkarte Raw-Portprotokolle, klicken Sie auf Hinzufügen, wählen Sie einen Protokolltyp aus und geben Sie durch Kommas getrennte Quell- und Zielports oder -Portbereiche ein. Sie können bis zu 15 Portprotokoll-Zeilen pro Regel eingeben.
Kontext (Optional) Wählen Sie mindestens ein NSX-Kontextprofil für die Firewallregel aus. Weitere Informationen zur Erstellung von Kontextprofilen finden Sie unter Kontextprofile im Administratorhandbuch für NSX.
Quelle - Wählen Sie eine der folgenden Optionen aus:
- Um Datenverkehr von einer beliebigen Quelladresse zuzulassen oder zu verweigern, aktivieren Sie die Umschaltoption Beliebige Quelle.
- Um Datenverkehr von bestimmten Firewallgruppen zuzulassen oder zu verweigern, klicken Sie auf Firewallgruppen und wählen Sie die Firewallgruppen in der Liste aus.
- Klicken Sie zur manuellen Eingabe von IP-Adressen, CIDR-Blöcken oder IP-Bereichen auf Firewall-IP-Adressen und dann auf Hinzufügen und geben Sie die einzelnen IP-Adressen, CIDR-Blöcke oder Bereiche ein.
- Klicken Sie auf Behalten.
Ziel - Wählen Sie eine der folgenden Optionen aus:
- Um Datenverkehr zu einer beliebigen Zieladresse zuzulassen oder zu verweigern, aktivieren Sie die Umschaltoption Beliebiges Ziel.
- Um Datenverkehr zu bestimmten Firewallgruppen zuzulassen oder zu verweigern klicken Sie auf Firewallgruppen und wählen Sie die Firewallgruppen in der Liste aus.
- Klicken Sie zur manuellen Eingabe von IP-Adressen, CIDR-Blöcken oder IP-Bereichen auf Firewall-IP-Adressen und dann auf Hinzufügen und geben Sie die einzelnen IP-Adressen, CIDR-Blöcke oder Bereiche ein.
- Klicken Sie auf Behalten.
Aktion Wählen Sie im Dropdown-Menü Aktion eine Option aus. - Wählen Sie Annehmen aus, um Datenverkehr von oder zu den angegebenen Quellen, Zielen und Diensten zuzulassen.
- Wählen Sie Verwerfen aus, um Datenverkehr von oder zu den angegebenen Quellen, Zielen und Diensten ohne Benachrichtigung des blockierten Clients zu blockieren.
- Zum Blockieren des Datenverkehrs von oder zu den angegebenen Quellen, Zielen und Diensten und Informieren des blockierten Clients über abgelehnten Datenverkehr wählen Sie Ablehnen aus.
IP-Protokoll Wählen Sie aus, ob die Regel auf IPv4- oder IPv6-Datenverkehr angewendet werden soll. Angewendet auf (Optional) Wählen Sie im Dropdown-Menü ein spezifisches Netzwerk aus, auf das die Regel angewendet werden soll. Sie können entweder ein VDC-Organisationsnetzwerk, für das das verteilte Routing deaktiviert ist, oder einen Uplink eines externen Netzwerks auswählen. Protokollierung Damit die von dieser Regel durchgeführte Adressübersetzung protokolliert wird, aktivieren Sie die Umschaltoption Protokollierung.
Nach dem Erstellen der Regel wird im Textfeld „Protokollierungs-ID“ die eindeutige ID der NSX-Firewallregel angezeigt, die vom System bei der Regelerstellung erzeugt wird.
Kommentar (Optional) Fügen Sie der Firewallregel einen Kommentar hinzu. - Klicken Sie auf Speichern.
- Zum Ändern der Position der Firewallregel wählen Sie die Regel aus und klicken Sie auf Verschieben nach. Wählen Sie dann im Dropdown-Menü eine neue Position aus.
- Wiederholen Sie diese Schritte, um zusätzliche Regeln zu konfigurieren.
Ergebnisse
Nachdem die Firewallregeln erstellt wurden, werden sie in der Liste der Firewallregeln des Edge-Gateways angezeigt. Sie können die Regeln nach Bedarf nach oben oder unten verschieben, bearbeiten oder löschen.