Die verteilte Firewall ermöglicht es Ihnen, Elemente des virtuellen Datencenters der Organisation (beispielsweise virtuelle Maschinen) basierend auf den Namen und Attributen virtueller Maschinen zu segmentieren.
VMware Cloud Director unterstützt Dienste für verteilte Firewalls in von NSX Data Center for vSphere gestützten Organisations-VDCs. Wie in der NSX Data Center for vSphere-Dokumentation erläutert, handelt es sich bei dieser verteilten Firewall um eine Kernel-Embedded-Hypervisor-Firewall, die Transparenz und Kontrolle für virtualisierte Arbeitslasten und Netzwerke zur Verfügung stellt. Sie können Zugriffssteuerungsrichtlinien basierend auf Objekten wie Namen virtueller Maschinen und auf Netzwerkkonstrukten wie IP-Adressen oder IP-Set-Adressen erstellen. Firewallregeln werden auf der vNIC-Ebene jeder virtuellen Maschine durchgesetzt, um eine konsistente Zugriffssteuerung zu bieten, selbst wenn die virtuelle Maschine durch vSphere vMotion zu einem neuen ESXi-Host verschoben wird. Diese verteilte Firewall unterstützt ein Sicherheitsmodell mit Mikrosegmentierung, bei dem der Ost-West-Datenverkehr bei fast maximal möglicher Verarbeitungsrate untersucht werden kann.
Wie in der NSX Data Center for vSphere-Dokumentation erläutert, erstellt die verteilte Firewall für Pakete der Ebene 2 (L2) einen Cache zur Leistungssteigerung. Pakete der Ebene 3 (L3) werden in der folgenden Reihenfolge verarbeitet:
- Alle Pakete werden auf ihren gegenwärtigen Zustand überprüft.
- Wird eine Zustandsübereinstimmung gefunden, werden die Pakete verarbeitet.
- Wenn keine Zustandsübereinstimmung gefunden wird, werden die Pakete anhand der Regeln verarbeitet, bis eine Übereinstimmung gefunden wird.
- Für TCP-Pakete wird ein Zustand nur für Pakete mit einem SYN-Flag festgelegt. Regeln, in denen kein Protokoll angegeben ist (BELIEBIGER Dienst) können jedoch TCP-Pakete mit einer beliebigen Kombination von Flags abgleichen.
- Für UDP-Pakete werden 5-Tupel-Details aus dem Paket extrahiert. Wenn ein Zustand in der Zustandstabelle nicht vorhanden ist, wird ein neuer Zustand mit den extrahierten 5-Tupel-Details erstellt. Nachfolgend empfangene Pakete werden mit dem soeben erstellten Zustand abgeglichen.
-
Für ICMP-Pakete werden ICMP-Typ, Code und Paketrichtung zum Erstellen eines Zustands verwendet.
Die verteilte Firewall kann ebenfalls die Erstellung identitätsbasierter Regeln unterstützen. Administratoren können die Zugriffssteuerung anhand der Gruppenmitgliedschaft des Benutzers gemäß der Definition im Active Directory (AD) des Unternehmens erzwingen. Einige Anwendungsfälle für die Verwendung identitätsbasierter Firewallregeln:
- Benutzer, die auf einem Laptop oder mobilen Gerät auf virtuelle Anwendungen zugreifen, wobei AD für die Benutzerauthentifizierung verwendet wird
- Benutzer, die über die VDI-Infrastruktur auf virtuelle Anwendungen zugreifen, wobei die virtuellen Maschinen auf Microsoft Windows basieren
Detaillierte Informationen über die Funktionen, die von der verteilten Firewall zur Verfügung gestellt werden, finden Sie in der NSX Data Center for vSphere-Dokumentation.