Regeln für verteilte Firewalls gelten auf VM-Ebene (vNIC) und steuern den horizontal Datenverkehr innerhalb des SDDC.

Jeglicher Datenverkehr, der versucht, die verteilte Firewall zu passieren, unterliegt den Regeln in der Reihenfolge, die in der Regeltabelle angezeigt wird, beginnend von oben. Ein von der ersten Regel genehmigtes Paket wird an die zweite Regel weitergegeben und so weiter an die nachfolgenden Regeln weitergegeben, bis das Paket verworfen wird, abgelehnt wird oder die Standardregel erreicht, die den gesamten Datenverkehr zulässt.

Achtung:

In SDDC-Version 1.20, 1.20v2 oder 1.20v3 kann eine Regel für verteilte Firewalls, die über ein Kontextprofil mit FQDN-Attributen verfügt, einen PSOD-Fehler auslösen, wenn ein CNAME-Datensatz in einer Antwort des DNS-Servers empfangen wird. Weitere Informationen finden Sie im VMware Knowledge Base-Artikel 91654.

Regeln für verteilte Firewalls werden in Richtlinien zusammengefasst. Richtlinien sind nach Kategorie organisiert. Jede Kategorie weist eine Priorität auf. Regeln in einer Kategorie mit einer höheren Priorität werden vor Regeln in einer Kategorie mit einer niedrigeren Priorität ausgewertet.
Tabelle 1. Regeln für verteilte Firewalls – Kategorien
Bewertungspriorität – Kategorie Kategoriename Beschreibung
1 Ethernet Wird auf den gesamten SDDC-Netzwerkdatenverkehr der Ebene 2 angewendet.
Hinweis: Die Regeln für diese Kategorie erfordern MAC-Adressen als Quellen und Ziele. IP-Adressen werden akzeptiert, aber ignoriert.
2 Notfall Wird für Quarantäne und Zulassungsregeln verwendet.
3 Infrastruktur Definiert den Zugriff auf gemeinsam genutzte Dienste. Globale Regeln – AD, DNS, NTP, DHCP, Sicherung, Verwaltungsserver.
4 Umgebung Regeln zwischen Sicherheitszonen, wie z. B. Produktionszonen, Entwicklungszonen oder Zonen, die für bestimmte Geschäftszwecke reserviert sind.
5 Anwendung Regeln zwischen Anwendungen, Anwendungsebenen oder Microservices.
Weitere Informationen zur Terminologie verteilter Firewalls finden Sie unter Sicherheitsterminologie im Administratorhandbuch zu NSX Data Center.

Voraussetzungen

Regeln für verteilte Firewalls benötigen Bestandslistengruppen als Quellen und Ziele und müssen auf einen vordefinierten oder benutzerdefinierten Dienst angewendet werden, den Sie für Ihr SDDC festlegen. Sie können diese Gruppen und Dienste zusammen mit einer Regel erstellen. Um den Vorgang jedoch zu beschleunigen, erstellen Sie die Gruppen und Dienste bereits im Vorfeld. Weitere Informationen hierzu finden Sie unter Arbeiten mit Bestandslistengruppen.

Prozedur

  1. Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
  2. Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
  3. Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der SDDC-Seite Einstellungen angezeigt wird. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
    Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden.
  4. Öffnen Sie die Seite Verteilte Firewall.
    Klicken Sie auf Kategoriespezifische Regeln und wählen Sie eine Kategorie aus, um Richtlinien und Regeln in dieser Kategorie anzuzeigen und zu ändern, oder klicken Sie auf Alle Regeln, um Regeln in allen Richtlinien und Kategorien anzuzeigen (aber nicht zu ändern).
  5. (Optional) Ändern Sie die Standardverbindungsstrategie.
    Die verteilte Firewall enthält Standardregeln, die auf den gesamten Datenverkehr der Ebene 2 und 3 zutreffen. Diese Regeln werden nach allen anderen Regeln in ihrer Kategorie ausgewertet und lassen zu, dass Datenverkehr, der nicht mit einer vorhergehenden Regel übereinstimmt, durch die Firewall gelangt. Sie können entweder eine oder beide dieser Regeln restriktiver machen, aber Sie können die Regel nicht deaktivieren.
    • Um die Standardregel der Ebene 2 zu ändern, erweitern Sie den Standardabschnitt der Ebene 2 in der Kategorie Ethernet und ändern Sie die Aktion für diese Regel in Ablegen.
    • Um die Standardregel der Ebene 3 zu ändern, erweitern Sie den Standardabschnitt der Ebene 3 in der Kategorie Anwendung und ändern Sie die Aktion für diese Regel in Ablegen oder Ablehnen.
    Klicken Sie auf VERÖFFENTLICHEN, um die Regel zu aktualisieren.
  6. Um eine Richtlinie hinzuzufügen, öffnen Sie die entsprechende Kategorie, klicken auf RICHTLINIE HINZUFÜGEN und geben der neuen Richtlinie einen Namen.

    Eine neue Richtlinie wird oben in der Richtlinienliste für die Kategorie hinzugefügt. Wenn Sie eine Richtlinie vor oder nach einer vorhandenen Richtlinie einfügen möchten, klicken Sie zum Öffnen des Menüs „Richtlinieneinstellungen“ auf die Schaltfläche mit den vertikalen Auslassungspunkten am Anfang der Richtlinienzeile und dann auf Richtlinie hinzufügen vor oder Richtlinie hinzufügen nach.

    Standardmäßig ist in der Spalte Angewendet auf die Option DFW ausgewählt, und die Regel wird auf alle Arbeitslasten angewendet. Sie können die Regel oder Richtlinie auch auf ausgewählte Gruppen anwenden. Angewendet auf definiert den Erzwingungsumfang der einzelnen Regeln. Der Wert wird hauptsächlich zur Optimierung des Ressourcenverbrauchs des Hosts verwendet. Die Option unterstützt Sie dabei, eine gezielte Richtlinie für bestimmte Zonen und Mandanten zu definieren, ohne dass sich dies auf andere Richtlinien, die für andere Mandanten und Zonen definiert sind, auswirkt.

    Hinweis: Gruppen, die nur aus IP-Adressen, MAC-Adressen oder Active Directory-Gruppen bestehen, können im Textfeld Angewendet auf nicht verwendet werden.
  7. Wählen Sie zum Hinzufügen einer Regel eine Richtlinie aus, klicken Sie auf REGEL HINZUFÜGEN und geben Sie unter Name einen Namen für die Regel ein.
  8. Geben Sie die Parameter für die neue Regel ein.
    Parameter werden mit ihren Standardwerten initialisiert (z. B. Alle für Quellen und Ziele). Zum Bearbeiten eines Parameters bewegen Sie den Mauszeiger über den Parameterwert und klicken auf das Stiftsymbol ( Stiftsymbol), um einen parameterspezifischen Editor zu öffnen.
    Option Beschreibung
    Quellen Klicken Sie auf Alle in der Spalte Quellen und wählen Sie eine Bestandslistengruppe für den Datenverkehr des Quellnetzwerks aus, oder klicken Sie auf GRUPPE HINZUFÜGEN, um eine neue benutzerdefinierte Bestandslistengruppe zur Verwendung für diese Regel zu erstellen. Klicken Sie auf SPEICHERN.
    Ziele Klicken Sie auf Alle in der Spalte Ziele und wählen Sie eine Bestandslistengruppe für den Datenverkehr des Zielnetzwerks aus, oder klicken Sie auf GRUPPE HINZUFÜGEN, um eine neue benutzerdefinierte Bestandslistengruppe zur Verwendung für diese Regel zu erstellen. Klicken Sie auf SPEICHERN.
    Dienste Klicken Sie auf Alle in der Spalte Dienste und wählen Sie einen Dienst in der Liste aus. Klicken Sie auf SPEICHERN.
    Angewendet auf Die Regel erbt den Wert Angewendet auf von der sie enthaltenden Richtlinie.
    Aktion
    • Wählen Sie Zulassen aus, um zuzulassen, dass der gesamte L2- und L3-Datenverkehr durch die Firewall geleitet wird.
    • Wählen Sie Verwerfen aus, um Pakete zu verwerfen, die mit den angegebenen Quellen, Zielen und Diensten übereinstimmen. Dies ist eine im Hintergrund laufende Aktion ohne Benachrichtigung des Quell- oder Zielsystems. Wenn Sie das Paket verwerfen, wird die Verbindungsherstellung erneut versucht, bis der Schwellenwert für Wiederholungen erreicht ist.
    • Wählen Sie Ablehnen aus, um Pakete abzulehnen, die mit den angegebenen Quellen, Zielen und Diensten übereinstimmen. Die Aktion gibt eine Meldung vom Typ „Ziel nicht erreichbar“ an den Absender zurück. Bei TCP-Paketen enthält die Antwort eine TCP-RST-Meldung. Bei UDP-, ICMP- und andere Protokolle enthält die Antwort einen „administrativ verbotenen“ Code (9 oder 10). Der Absender wird sofort benachrichtigt (ohne erneute Versuche), wenn die Verbindung nicht hergestellt werden kann.
    Die neue Regel ist standardmäßig aktiviert. Schieben Sie den Umschalter nach links, um sie zu deaktivieren.
  9. (Optional) Konfigurieren Sie erweiterte Einstellungen.
    Zum Ändern der Richtung oder des Protokollierungsverhaltens der Regel klicken Sie auf das Zahnradsymbol und öffnen Sie die Seite Einstellungen.
    Richtung
    Standardmäßig ist dieser Wert Ein/Aus und wendet die Regel auf alle Quellen und Ziele an. Sie können diese Option in Ein ändern, um die Regel nur auf eingehenden Datenverkehr aus einer Quelle anzuwenden, oder in Aus, um sie nur auf ausgehenden Datenverkehr zu einem Ziel anzuwenden. Die Änderung dieses Werts kann zu asymmetrischem Routing und anderen Datenverkehrsanomalien führen. Stellen Sie also sicher, dass Sie das wahrscheinliche Ergebnis für alle Quellen und Ziele kennen, bevor Sie den Standardwert für Richtung ändern.
    Protokollierung
    Die Protokollierung für eine neue Regel ist standardmäßig deaktiviert. Verschieben Sie den Umschalter nach rechts, um die Protokollierung von Regelaktionen zu aktivieren.
  10. Klicken Sie auf VERÖFFENTLICHEN, um die Regel zu erstellen.

    Das System gibt der neuen Regel einen Ganzzahl-ID-Wert, der zum Identifizieren der Regel in den generierten Protokolleinträgen verwendet wird.

Nächste Maßnahme

Sie können eine oder alle dieser optionalen Aktionen mit einer vorhandenen Firewallregel durchführen.

  • Klicken Sie auf das Zahnradsymbol Zahnradsymbol, um die Protokollierungseinstellungen für die Regel anzuzeigen oder zu ändern. Protokolleinträge werden an den VMware VMware Aria Operations for Logs-Dienst gesendet. Weitere Informationen finden Sie unter Verwenden von VMware Aria Operations for Logs im VMware Cloud on AWS Operations Guide.

  • Klicken Sie auf das Diagrammsymbol Diagrammsymbol, um Regeltreffer und Datenstromstatistiken für die Regel zu sehen.
    Tabelle 2. Statistiken Regeltreffer
    Beliebtheitsindex Häufigkeit, mit der die Regel in den letzten 24 Stunden ausgelöst wurde.
    Anzahl der Treffer Häufigkeit, mit der die Regel seit ihrer Erstellung ausgelöst wurde.
    Tabelle 3. Datenstromstatistiken
    Paketanzahl Gesamtpaketdurchlauf durch diese Regel.
    Byteanzahl Gesamter Bytedurchlauf durch diese Regel.
    Statistiken werden erfasst, sobald die Regel aktiviert ist.
  • Ordnen Sie die Firewallregeln neu.

    Eine Regel, die über die Schaltfläche NEUE REGEL HINZUFÜGEN erstellt wurde, wird oben in der Liste der Regeln in der Richtlinie platziert. Firewallregeln in allen Richtlinien werden in der Reihenfolge von oben nach unten angewendet. Um die Position einer Regel in der Liste zu ändern, wählen Sie sie aus und ziehen sie an eine neue Position. Klicken Sie auf VERÖFFENTLICHEN, um die Änderung zu veröffentlichen.