Im Mandantenportal können Sie die Firewallfunktionen konfigurieren, die von NSX Data Center for vSphere in Ihrem VMware Cloud Director-Organisations-VDC zur Verfügung gestellt werden. Sie können Firewallregeln für verteilte Firewalls erstellen, um für die Sicherheit zwischen den virtuellen Maschinen in einem Organisations-VDC zu sorgen. Außerdem können Sie Firewallregeln für eine Edge-Gateway-Firewall einrichten, um die virtuellen Maschinen in einem Organisations-VDC vor externem Netzwerkverkehr zu schützen.

Hinweis: Im Mandantenportal können sowohl Edge-Gateway-Firewalls als auch verteilte Firewalls konfiguriert werden.

Die NSX Data Center for vSphere-Technologie für logische Firewalls besteht aus zwei Komponenten für die verschiedenen Bereitstellungsszenarien. Die Edge-Gateway-Firewall konzentriert sich auf die Erzwingung des vertikalen Datenverkehrs, während sich die verteilte Firewall auf die horizontale Zugriffssteuerung konzentriert.

Wichtige Unterschiede zwischen Edge-Gateway-Firewalls und verteilten Firewalls

Eine Edge-Gateway-Firewall überwacht den Nord-Süd-Datenverkehr, um Perimetersicherheitsfunktionen einschließlich Firewall, Netzwerkadressübersetzung (Network Address Translation, NAT) sowie Site-to-Site-IPSec und SSL-VPN-Funktionalität zur Verfügung zu stellen.

Eine verteilte Firewall bietet die Möglichkeit, jede virtuelle Maschine und jede Anwendung bis zur Ebene 2 (L2) zu isolieren und zu sichern. Durch die Konfiguration von verteilten Firewalls werden alle externen oder internen Bedrohungen der Netzwerksicherheit effektiv unter Quarantäne gestellt, wobei der horizontale Datenverkehr zwischen virtuellen Maschinen im selben Netzwerksegment isoliert wird. Sicherheitsrichtlinien werden zentral verwaltet, sind vererbbar und schachtelbar, sodass Netzwerk-und Sicherheitsadministratoren diese bedarfsgerecht verwalten können. Nachdem die definierten Sicherheitsrichtlinien bereitgestellt wurden, gelten diese auch für die virtuellen Maschinen oder Anwendungen, wenn diese zwischen verschiedenen virtuellen Datencentern verschoben werden.

Firewallregeln

Wie in der NSX Data Center for vSphere-Produktdokumentation beschrieben, werden die auf zentraler Ebene definierten Firewallregeln als Vorabregeln bezeichnet. Sie können Regeln auf einer einzelnen Edge-Gateway-Ebene hinzufügen. Diese Regeln werden dann als lokale Regeln bezeichnet.

Jede Datenverkehrssitzung wird anhand der obersten Regel in der Firewalltabelle überprüft, bevor die nachfolgenden Regeln in der Tabelle überprüft werden. Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen. Regeln werden in der folgenden Reihenfolge angezeigt:

  1. Benutzerdefinierte Vorabregeln haben die höchste Priorität und werden in der Reihenfolge von oben nach unten durchgesetzt, wobei einzelne virtuelle NIC-Ebenen Vorrang haben.
  2. Automatisch konfigurierte Regeln (Regeln, mit denen der Datenfluss für Edge-Gateway-Dienste gesteuert werden kann).
  3. Auf Edge-Gateway-Ebene definierte lokale Regeln.
  4. Standardmäßige Regel für die verteilte Firewall

Weitere Informationen dazu, wie die NSX Data Center for vSphere-Software Firewallregeln erzwingt, finden Sie unter Ändern der Reihenfolge einer Firewallregel in der NSX Data Center for vSphere-Dokumentation.