Der NSX Advanced Firewall-Dienst ermöglicht Ihrem SDDC die Verwendung erweiterter NSXFunktionen.

Der NSX Advanced Firewall-Dienst ist in VMware Cloud on AWS-SDDCs der Version 1.16 und höher verfügbar. Dieser Dienst umfasst:

Um das NSX Advanced Firewall-Add-On in Ihrem SDDC zu aktivieren, öffnen Sie die Registerkarte Add-Ons und klicken Sie auf der Karte NSX Advanced Firewall-Add-On auf AKTIVIEREN. Nach dem Aktivieren des Add-Ons, werden erweiterte NSX-Sicherheitsfunktionen in unserem SDDC verfügbar.

Detaillierte Dokumentation zu all diesen Funktionen finden Sie in der NSX-Produktdokumentation. Es gibt einige operative Unterschiede bezüglich der Arbeitsweise der Funktionen unter dem lokalen NSX und in VMware Cloud on AWS. Die meisten Verfahren in der NSX-Produktdokumentation enthalten beispielsweise einen Schritt, in dem Sie aufgefordert werden, sich mit Administratorrechten bei einem NSX Manager anzumelden. Dieser Schritt ist in VMware Cloud on AWS nicht erforderlich, da das Klicken auf NSX MANAGER ÖFFNEN oder das Öffnen der Registerkarte Netzwerk und Sicherheit Ihnen Administratorzugriff auf den NSX Manager in Ihrem SDDC gibt. Weitere Unterschiede werden in den folgenden Abschnitten aufgeführt.

Verwenden von Kontextprofilen im SDDC

Klicken Sie auf Bestandsliste > Kontextprofile. Sie können in einer Regel für verteilte Firewalls ein Kontextprofil festlegen, indem Sie den Wert in der Spalte Profile im Raster Verteilte Firewall aktualisieren. Weitere Informationen finden Sie unter Workflow für Firewallregel der Schicht 7 in der NSX-Produktdokumentation.

In VMware Cloud on AWS werden Kontextprofile nur für die Verwendung mit Regeln für verteilte Firewalls unterstützt. Sie können nicht mit MGW- oder CGW-Firewallregeln verwendet werden.

Verwenden von Distributed IDS/IPS im SDDC

Klicken Sie auf Sicherheit > Verteilte IDS/IPS. Weitere Informationen finden Sie unter Verteilte IDS/IPS in der NSX-Produktdokumentation.

Beachten Sie bei Verwendung dieser Funktion in VMware Cloud on AWS die folgenden operativen Unterschiede:
Aktivierung pro Cluster
Um diese Funktion zu verwenden, aktivieren Sie sie auf einem oder mehreren SDDC-Clustern. Klicken Sie auf der Seite Distributed IDS/IPS auf die Registerkarte Einstellungen und wählen Sie dann unter Erkennung und Prävention von Eindringversuchen für Cluster aktivieren. Da vMotion derzeit den IDS/IPS-Aktivierungsstatus eines Clusters nicht überprüft, bevor VMs migriert werden, wird empfohlen, diese Funktion auf allen Clustern zu aktivieren, damit sich die Migration nicht auf die Anwendung von IDS/IPS auf eine Arbeitslast-VM auswirkt.
Kein Zugriff auf Hosts
Da VMware Cloud on AWS den Zugriff auf SDDC-Hosts nicht zulässt, ist das Verifizieren des Status der verteilten IDS auf dem Host nicht möglich.
Protokollierung
In VMware Cloud on AWS werden von dieser Funktion erzeugte Ereignisse in VMware Aria Operations for Logs protokolliert.

Verwenden von Identity Firewall im SDDC

Klicken Sie auf System > Identitäts-Firewall-AD, um eine SDDC-Active Directory-Domäne hinzuzufügen, damit Sie benutzerbasierte identitätsbasierte Firewallregeln erstellen können. Beachten Sie bei Verwendung dieser Funktion in VMware Cloud on AWS die folgenden operativen Unterschiede:
Aktivieren der Funktion für einen oder mehrere SDDC-Cluster
Bevor Sie diese Funktion verwenden können, müssen Sie den Schritt „Konfigurieren der Einstellungen für die Identitäts-Firewall“ in Verwalten von Regeln für verteilte Firewalls ausführen, um die Funktion zu aktivieren und auf einen oder mehrere SDDC-Cluster anzuwenden.
Erstellen einer Firewallregel, um Active Directory Zugriff zuzulassen
Wenn Sie Active Directory verwenden, müssen Sie auch eine Firewallregel für das Verwaltungs-Gateway erstellen, damit NSX auf den Active Directory Server zugreifen kann, den Sie verwenden möchten. Diese Funktion funktioniert nicht, wenn der Zugriff auf Active Directory in Ihrem SDDC unterbrochen wird. Daher ist es wichtig, sicherzustellen, dass die von Ihnen hier erstellte Firewallregel bei Änderungen am Active Directory-Server gültig bleibt. Weitere Informationen finden Sie unter Hinzufügen eines Active Directory in der NSX-Produktdokumentation.
Protokollierung
In VMware Cloud on AWS werden von dieser Funktion erzeugte Ereignisse in VMware Aria Operations for Logs protokolliert.

Verwenden der verteilten FQDN-Filterung im SDDC

In VMware Cloud on AWS wird die FQDN-Filterung von NSX nur für die Verwendung mit Regeln für verteilte Firewalls unterstützt. Sie kann nicht mit MGW- oder CGW-Firewallregeln verwendet werden. Um diese Funktion zu verwenden, beginnen Sie zunächst mit dem Hinzufügen einer DNS-Snooping-Regel (unter Filtern bestimmter Domänen (FQDN/URLs) beschrieben) als erster Regel in der Richtlinie. Sie müssen auch das vordefinierte Segmentprofil FQDNfiltering-spoofguard-profile für alle Segmente aktivieren, für die die FQDN-Filterung unterstützt werden soll. Informationen zum Anwenden eines Segmentprofils auf ein SDDC-Netzwerksegment finden Sie unter Erstellen oder Ändern eines Netzwerksegments.

Deaktivieren des NSX Advanced Firewall-Add-Ons

Bevor Sie das NSX Advanced Firewall-Add-On deaktivieren können, müssen Sie alle Firewallregeln entfernen, die auf Add-On-Funktionen verweisen. Dazu gehören:
  • Alle Regeln für verteilte Firewalls, die ein Kontextprofil enthalten
  • Alle verteilten IDS/IPS-Regeln und Profile
  • Alle identitätsbasierten Firewallregeln
Nachdem Sie diese Objekte entfernt haben, können Sie das Add-On deaktivieren:
  1. Öffnen Sie die Registerkarte Add-Ons in Ihrem SDDC.
  2. Klicken Sie auf der Karte NSX Advanced Firewall Add-On auf AKTIONEN > Deaktivieren.
  3. Überprüfen Sie die Liste der Objekte, die vor der Deaktivierung entfernt werden müssen. Wenn Sie sicher sind, dass die Objekte entfernt wurden, klicken Sie auf DEAKTIVIERUNG BESTÄTIGEN.
Die Berechnung von Gebühren für das Add-On wird beendet, sobald die Deaktivierung abgeschlossen ist.