Der NSX Advanced Firewall-Dienst ermöglicht Ihrem SDDC die Verwendung erweiterter NSXFunktionen.
Um das NSX Advanced Firewall-Add-On in Ihrem SDDC zu aktivieren, öffnen Sie die Registerkarte Add-Ons und klicken Sie auf der Karte NSX Advanced Firewall-Add-On auf AKTIVIEREN. Nach dem Aktivieren des Add-Ons, werden erweiterte NSX-Sicherheitsfunktionen in unserem SDDC verfügbar.
Detaillierte Dokumentation zu all diesen Funktionen finden Sie in der NSX-Produktdokumentation. Es gibt einige operative Unterschiede bezüglich der Arbeitsweise der Funktionen unter dem lokalen NSX und in VMware Cloud on AWS. Die meisten Verfahren in der NSX-Produktdokumentation enthalten beispielsweise einen Schritt, in dem Sie aufgefordert werden, sich mit Administratorrechten bei einem NSX Manager anzumelden. Dieser Schritt ist in VMware Cloud on AWS nicht erforderlich, da das Klicken auf NSX MANAGER ÖFFNEN oder das Öffnen der Registerkarte Netzwerk und Sicherheit Ihnen Administratorzugriff auf den NSX Manager in Ihrem SDDC gibt. Weitere Unterschiede werden in den folgenden Abschnitten aufgeführt.
Verwenden von Kontextprofilen im SDDC
Klicken Sie auf Profile im Raster Verteilte Firewall aktualisieren. Weitere Informationen finden Sie unter Workflow für Firewallregel der Schicht 7 in der NSX-Produktdokumentation.
. Sie können in einer Regel für verteilte Firewalls ein Kontextprofil festlegen, indem Sie den Wert in der SpalteIn VMware Cloud on AWS werden Kontextprofile nur für die Verwendung mit Regeln für verteilte Firewalls unterstützt. Sie können nicht mit MGW- oder CGW-Firewallregeln verwendet werden.
Verwenden von Distributed IDS/IPS im SDDC
Klicken Sie auf Verteilte IDS/IPS in der NSX-Produktdokumentation.
. Weitere Informationen finden Sie unter- Aktivierung pro Cluster
- Um diese Funktion zu verwenden, aktivieren Sie sie auf einem oder mehreren SDDC-Clustern. Klicken Sie auf der Seite Distributed IDS/IPS auf die Registerkarte Einstellungen und wählen Sie dann unter Erkennung und Prävention von Eindringversuchen für Cluster aktivieren. Da vMotion derzeit den IDS/IPS-Aktivierungsstatus eines Clusters nicht überprüft, bevor VMs migriert werden, wird empfohlen, diese Funktion auf allen Clustern zu aktivieren, damit sich die Migration nicht auf die Anwendung von IDS/IPS auf eine Arbeitslast-VM auswirkt.
- Kein Zugriff auf Hosts
- Da VMware Cloud on AWS den Zugriff auf SDDC-Hosts nicht zulässt, ist das Verifizieren des Status der verteilten IDS auf dem Host nicht möglich.
- Protokollierung
- In VMware Cloud on AWS werden von dieser Funktion erzeugte Ereignisse in VMware Aria Operations for Logs protokolliert.
Verwenden von Identity Firewall im SDDC
- Aktivieren der Funktion für einen oder mehrere SDDC-Cluster
- Bevor Sie diese Funktion verwenden können, müssen Sie den Schritt „Konfigurieren der Einstellungen für die Identitäts-Firewall“ in Verwalten von Regeln für verteilte Firewalls ausführen, um die Funktion zu aktivieren und auf einen oder mehrere SDDC-Cluster anzuwenden.
- Erstellen einer Firewallregel, um Active Directory Zugriff zuzulassen
- Wenn Sie Active Directory verwenden, müssen Sie auch eine Firewallregel für das Verwaltungs-Gateway erstellen, damit NSX auf den Active Directory Server zugreifen kann, den Sie verwenden möchten. Diese Funktion funktioniert nicht, wenn der Zugriff auf Active Directory in Ihrem SDDC unterbrochen wird. Daher ist es wichtig, sicherzustellen, dass die von Ihnen hier erstellte Firewallregel bei Änderungen am Active Directory-Server gültig bleibt. Weitere Informationen finden Sie unter Hinzufügen eines Active Directory in der NSX-Produktdokumentation.
- Protokollierung
- In VMware Cloud on AWS werden von dieser Funktion erzeugte Ereignisse in VMware Aria Operations for Logs protokolliert.
Verwenden der verteilten FQDN-Filterung im SDDC
In VMware Cloud on AWS wird die FQDN-Filterung von NSX nur für die Verwendung mit Regeln für verteilte Firewalls unterstützt. Sie kann nicht mit MGW- oder CGW-Firewallregeln verwendet werden. Um diese Funktion zu verwenden, beginnen Sie zunächst mit dem Hinzufügen einer DNS-Snooping-Regel (unter Filtern bestimmter Domänen (FQDN/URLs) beschrieben) als erster Regel in der Richtlinie. Sie müssen auch das vordefinierte Segmentprofil FQDNfiltering-spoofguard-profile für alle Segmente aktivieren, für die die FQDN-Filterung unterstützt werden soll. Informationen zum Anwenden eines Segmentprofils auf ein SDDC-Netzwerksegment finden Sie unter Erstellen oder Ändern eines Netzwerksegments.
Deaktivieren des NSX Advanced Firewall-Add-Ons
- Alle Regeln für verteilte Firewalls, die ein Kontextprofil enthalten
- Alle verteilten IDS/IPS-Regeln und Profile
- Alle identitätsbasierten Firewallregeln
- Öffnen Sie die Registerkarte Add-Ons in Ihrem SDDC.
- Klicken Sie auf der Karte NSX Advanced Firewall Add-On auf .
- Überprüfen Sie die Liste der Objekte, die vor der Deaktivierung entfernt werden müssen. Wenn Sie sicher sind, dass die Objekte entfernt wurden, klicken Sie auf DEAKTIVIERUNG BESTÄTIGEN.