Regeln für verteilte Firewalls gelten auf VM-Ebene (vNIC) und steuern den horizontal Datenverkehr innerhalb des SDDC.
Jeglicher Datenverkehr, der versucht, die verteilte Firewall zu passieren, unterliegt den Regeln in der Reihenfolge, die in der Regeltabelle angezeigt wird, beginnend von oben. Ein von der ersten Regel genehmigtes Paket wird an die zweite Regel weitergegeben und so weiter an die nachfolgenden Regeln weitergegeben, bis das Paket verworfen wird, abgelehnt wird oder die Standardregel erreicht, die den gesamten Datenverkehr zulässt.
In SDDC-Version 1.20, 1.20v2 oder 1.20v3 kann eine Regel für verteilte Firewalls, die über ein Kontextprofil mit FQDN-Attributen verfügt, einen PSOD-Fehler auslösen, wenn ein CNAME-Datensatz in einer Antwort des DNS-Servers empfangen wird. Weitere Informationen finden Sie im VMware Knowledge Base-Artikel 91654.
Bewertungspriorität – Kategorie | Kategoriename | Beschreibung |
---|---|---|
1 | Ethernet | Wird auf den gesamten SDDC-Netzwerkdatenverkehr der Ebene 2 angewendet.
Hinweis: Die Regeln für diese Kategorie erfordern MAC-Adressen als Quellen und Ziele. IP-Adressen werden akzeptiert, aber ignoriert.
|
2 | Notfall | Wird für Quarantäne und Zulassungsregeln verwendet. |
3 | Infrastruktur | Definiert den Zugriff auf gemeinsam genutzte Dienste. Globale Regeln – AD, DNS, NTP, DHCP, Sicherung, Verwaltungsserver. |
4 | Umgebung | Regeln zwischen Sicherheitszonen, wie z. B. Produktionszonen, Entwicklungszonen oder Zonen, die für bestimmte Geschäftszwecke reserviert sind. |
5 | Anwendung | Regeln zwischen Anwendungen, Anwendungsebenen oder Microservices. |
Voraussetzungen
Regeln für verteilte Firewalls benötigen Bestandslistengruppen als Quellen und Ziele und müssen auf einen vordefinierten oder benutzerdefinierten Dienst angewendet werden, den Sie für Ihr SDDC festlegen. Sie können diese Gruppen und Dienste zusammen mit einer Regel erstellen. Um den Vorgang jedoch zu beschleunigen, erstellen Sie die Gruppen und Dienste bereits im Vorfeld. Weitere Informationen hierzu finden Sie unter Arbeiten mit Bestandslistengruppen.
Prozedur
Nächste Maßnahme
Sie können eine oder alle dieser optionalen Aktionen mit einer vorhandenen Firewallregel durchführen.
-
Klicken Sie auf das Zahnradsymbol , um die Protokollierungseinstellungen für die Regel anzuzeigen oder zu ändern. Protokolleinträge werden an den VMware VMware Aria Operations for Logs-Dienst gesendet. Weitere Informationen finden Sie unter Verwenden von VMware Aria Operations for Logs im VMware Cloud on AWS Operations Guide.
-
Klicken Sie auf das Diagrammsymbol , um Regeltreffer und Datenstromstatistiken für die Regel zu sehen.
Tabelle 2. Statistiken Regeltreffer Beliebtheitsindex Häufigkeit, mit der die Regel in den letzten 24 Stunden ausgelöst wurde. Anzahl der Treffer Häufigkeit, mit der die Regel seit ihrer Erstellung ausgelöst wurde. Tabelle 3. Datenstromstatistiken Paketanzahl Gesamtpaketdurchlauf durch diese Regel. Byteanzahl Gesamter Bytedurchlauf durch diese Regel. - Ordnen Sie die Firewallregeln neu.
Eine Regel, die über die Schaltfläche NEUE REGEL HINZUFÜGEN erstellt wurde, wird oben in der Liste der Regeln in der Richtlinie platziert. Firewallregeln in allen Richtlinien werden in der Reihenfolge von oben nach unten angewendet. Um die Position einer Regel in der Liste zu ändern, wählen Sie sie aus und ziehen sie an eine neue Position. Klicken Sie auf VERÖFFENTLICHEN, um die Änderung zu veröffentlichen.