Um den Datenverkehr zu und von einem Edge-Gateway zu schützen, können Sie Firewallregeln auf diesem Edge-Gateway erstellen und verwalten.

Informationen zum Schützen des Datenverkehrs zwischen virtuellen Maschinen in einem virtuellen Organisations-Datencenter finden Sie unter Verwalten von Regeln für verteilte NSX Data Center for vSphere-Firewalls mithilfe des VMware Cloud Director Tenant Portal.

Auf dem Bildschirm „Verteilte Firewall“ erstellte Regeln, für die in der Spalte „Angewendet auf“ ein erweitertes Gateway angegeben ist, werden auf dem Bildschirm „Firewall“ für dieses erweiterte Edge-Gateway nicht angezeigt.

Die Firewallregeln für ein Edge-Gateway werden im Bildschirm Firewall angezeigt und in folgender Reihenfolge durchgesetzt:

  1. Interne Regeln, auch bekannt als automatisch verbundene Regeln. Mit diesen internen Regeln können Datenflüsse für Edge-Gateway-Dienste gesteuert werden.
  2. Benutzerdefinierte Regeln.
  3. Standardregel.

Die Einstellungen für die Standardregel gelten für Datenverkehr, der keiner der benutzerdefinierten Firewallregeln entspricht. Die Standardregel wird am unteren Rand der Regeln auf dem Bildschirm „Firewall“ angezeigt.

Verwenden Sie im Mandantenportal die Umschaltoption Aktivieren des Edge-Gateway-Bildschirms „Firewall-Regeln“, um eine Edge-Gateway-Firewall zu aktivieren oder zu deaktivieren.

Konvertieren eines NSX Data Center for vSphere-Edge-Gateways in ein erweitertes Edge-Gateway im VMware Cloud Director Tenant Portal

Um mit einem NSX Data Center for vSphere-Edge-Gateway im Mandantenportal zu arbeiten, müssen Sie es in ein erweitertes Edge-Gateway konvertieren. Sobald Sie es in ein erweitertes Edge-Gateway konvertiert haben, können Sie das Mandantenportal verwenden, um die statischen und dynamischen Routing-Funktionen zu konfigurieren, die von NSX Data Center for vSphere für diese erweiterten Edge-Gateways bereitgestellt werden.

Voraussetzungen

Sie haben ein vorhandenes Edge-Gateway.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Registerkarte Edge-Gateways.
  2. Wählen Sie das zu bearbeitende Edge-Gateway aus.
  3. Klicken Sie auf Konvertieren in erweitertes.

Ergebnisse

Ihr Edge-Gateway wird in ein erweitertes Edge-Gateway konvertiert.

Nächste Maßnahme

Sobald Sie es in ein erweitertes Edge-Gateway konvertiert haben, können Sie Einstellungen konfigurieren, indem Sie das Gateway auswählen und auf Dienste klicken.

Hinzufügen einer NSX Data Center for vSphere-Edge-Gateway-Firewallregel im VMware Cloud Director Tenant Portal

Sie können die Registerkarte Firewall des Edge-Gateways verwenden, um Firewallregeln für das betreffende Edge-Gateway hinzuzufügen. Sie können mehrere Edge-Schnittstellen und mehrere IP-Adressgruppen als Quelle und Ziel für diese Firewallregeln hinzufügen.

Durch Festlegen von intern für eine Quelle oder ein Ziel einer Regel wird Datenverkehr für alle Subnetze in den Portgruppen angegeben, die mit dem NSX-Edge-Gateway verbunden sind. Falls Sie als Quelle intern auswählen, wird die Regel automatisch aktualisiert, wenn auf dem NSX-Gateway weitere interne Schnittstellen konfiguriert werden.

Hinweis: Edge-Gateway-Firewallregeln für interne Schnittstellen funktionieren nicht, wenn das Edge-Gateway für dynamisches Routing konfiguriert ist.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Falls der Bildschirm Firewallregeln noch nicht angezeigt wird, klicken Sie auf die Registerkarte Firewall.
  3. Um eine Regel unter einer vorhandenen Regel in der Firewallregeltabelle hinzuzufügen, klicken Sie auf die vorhandene Zeile und dann auf die Schaltfläche Erstellen.
    Unter der ausgewählten Regel wird eine Zeile für die neue Regel eingefügt. Standardmäßig werden ihr alle Ziele, Dienste und die Aktion Zulassen zugewiesen. Wenn die Firewalltabelle nur die systemdefinierte Standardregel enthält, wird die neue Regel über der Standardregel eingefügt.
  4. Klicken Sie in die Zelle Name und geben Sie einen Namen ein.
  5. Klicken Sie in die Zelle Quelle und wählen Sie mithilfe der jetzt sichtbaren Symbole eine Quelle aus, die der Regel hinzugefügt werden soll:
    Option Beschreibung
    Auf das IP-Symbol klicken Geben Sie den Quellwert an, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort Beliebig. Die Edge-Gateway-Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.
    Auf das Plussymbol (+) klicken Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt:
    • Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen.
    • Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster Objekte auswählen hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen.

    Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

  6. Klicken Sie in die Zelle Ziel und führen Sie eine der folgenden Aktionen durch:
    Option Beschreibung
    Auf das IP-Symbol klicken Geben Sie den Zielwert an, den Sie verwenden möchten. Gültige Werte sind eine IP-Adresse, CIDR, ein IP-Bereich oder das Schlüsselwort Beliebig. Die Edge-Gateway-Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.
    Auf das Plussymbol (+) klicken Über das Plussymbol (+) können Sie die Quelle als ein Objekt angeben, bei dem es sich um keine spezifische IP-Adresse handelt:
    • Fügen Sie im Fenster Objekte auswählen Objekte hinzu, die mit Ihrer Auswahl übereinstimmen, und klicken Sie auf Behalten, um sie der Regel hinzuzufügen.
    • Um eine Quelle aus der Regel auszuschließen, fügen Sie sie dieser Regel im Fenster „Objekte auswählen“ hinzu und klicken Sie dann auf das Symbol „Ausschluss umschalten“, um diese Quelle aus dieser Regel auszuschließen.

    Wenn „Ausschluss umschalten“ für die Quelle ausgewählt ist, wird die Regel auf den Datenverkehr angewendet, der aus allen Quellen außer der ausgeschlossenen Quelle stammt. Ist „Ausschluss umschalten“ nicht ausgewählt, so wird die Regel auf den Datenverkehr angewendet, der aus der im Fenster Objekte auswählen angegebenen Quelle stammt.

  7. Klicken Sie in die Zelle Dienst der neuen Regel und dann auf das Plussymbol (+), um den Dienst als Port-Protokoll-Kombination anzugeben:
    1. Wählen Sie das Dienstprotokoll aus.
    2. Geben Sie die Portnummern für die Quell- und Zielports oder Beliebig an.
    3. Klicken Sie auf Behalten.
  8. Konfigurieren Sie in der Zelle Aktion der neuen Regel die Aktion für die Regel.
    Option Beschreibung
    Annehmen Lässt Datenverkehr von den angegebenen Quellen, Zielen und Diensten oder zu diesen zu.
    Verweigern Blockiert Datenverkehr von den angegebenen Quellen, Zielen und Diensten oder zu diesen.
  9. Klicken Sie auf Änderungen speichern.
    Der Speichervorgang kann eine Minute dauern.

Ändern der Firewallregeln für NSX Data Center for vSphere-Edge-Gateways im VMware Cloud Director Tenant Portal

Sie können nur benutzerdefinierte Firewallregeln, die einem Edge-Gateway hinzugefügt wurden, bearbeiten und löschen. Sie können eine automatisch erzeugte Regel oder Standardregel (mit Ausnahme der Aktionseinstellung der Standardregel) weder bearbeiten noch löschen. Sie können die Reihenfolge der Priorität von benutzerdefinierten Regeln ändern.

Weitere Informationen zu den verfügbaren Einstellungen für die verschiedenen Zellen einer Regel finden Sie unter Hinzufügen einer NSX Data Center for vSphere-Edge-Gateway-Firewallregel im VMware Cloud Director Tenant Portal.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf die Registerkarte Firewall.
  3. Verwalten Sie die Firewall-Regeln.
    • Deaktivieren Sie eine Regel durch Klicken auf das grüne Häkchen in der Zelle Nein. Das grüne Häkchen verwandelt sich in ein rotes Deaktiviert-Symbol. Wenn die Regel deaktiviert ist und Sie die Regel aktivieren möchten, klicken Sie auf das rote Deaktiviert-Symbol.
    • Bearbeiten Sie einen Regelnamen, indem Sie auf die Zelle Name doppelklicken und den neuen Namen eingeben.
    • Ändern Sie die Einstellungen für eine Regel, z. B. die Quell- oder Aktionseinstellungen, indem Sie die entsprechende Zelle auswählen und die angezeigten Steuerelemente verwenden.
    • Löschen Sie eine Regel, indem Sie sie auswählen und auf die Schaltfläche Löschen oberhalb der Regeltabelle klicken.
    • Blenden Sie vom System generierte Regeln mithilfe der Option Nur benutzerdefinierte Regeln anzeigen aus.
    • Verschieben Sie eine Regel in der Regeltabelle nach oben oder unten, indem Sie die Regel auswählen und oberhalb der Regeltabelle auf eine der Schaltflächen mit dem Pfeil nach oben oder unten klicken.
  4. Klicken Sie auf Änderungen speichern.