Standardmäßig blockiert das Computing-Gateway den Datenverkehr zu allen Uplinks. Fügen Sie nach Bedarf Firewallregeln für das Computing-Gateway hinzu, um Datenverkehr zuzulassen.

Firewallregeln für das Computing-Gateway geben die Aktionen an, die zur Steuerung des Netzwerkdatenverkehrs von einer bestimmten Quelle zu einem bestimmten Ziel durchgeführt werden sollen. Bei den Aktionen kann es sich entweder um „Zulassen“ (den Datenverkehr zulassen) oder um „Verwerfen“ (alle Pakete verwerfen, die mit der angegebenen Quelle und dem angegebenen Ziel übereinstimmen) handeln. Quellen und Ziele können aus einer Liste mit physischen Netzwerkschnittstellen oder der generischen Spezifikation Alle Uplinks ausgewählt werden, die sich auf den gesamten Datenverkehr bezieht, der vom Gateway zur VPC-Schnittstelle, Internetschnittstelle oder Direct Connect-Schnittstelle fließt.
Hinweis: Eine Firewallregel, die auf Alle Uplinks angewendet wird, gilt nicht für die VPN-Tunnelschnittstelle (VPN Tunnel Interface, VTI), die eine virtuelle Schnittstelle und kein physischer Uplink ist. Die VPN-Tunnelschnittstelle muss explizit im Parameter Angewendet auf einer Firewallregel angegeben werden, die die Kommunikation von Arbeitslast-VMs über ein routenbasiertes VPN verwaltet.
Das Computing-Gateway enthält eine Standard-VTI-Regel, die den gesamten Datenverkehr zur VTI verwirft, und eine Standard-Uplink-Regel, die den Datenverkehr zu allen Uplinks verwirft. Um die Kommunikation von Arbeitslast-VMs über die VTI zu ermöglichen, ändern Sie diese Regel oder verschieben Sie sie an einen niedrigeren Rang in der Regelhierarchie, hinter weniger restriktive Regeln.

Jeglicher Datenverkehr, der versucht, die Firewall zu passieren, unterliegt den Regeln in der Reihenfolge, die in der Regeltabelle angezeigt wird (beginnend von oben). Ein von der ersten Regel genehmigtes Paket wird an die zweite Regel weitergegeben und so weiter an die nachfolgenden Regeln weitergegeben, bis das Paket verworfen wird, abgelehnt wird oder die Standardregel erreicht.

Voraussetzungen

Firewallregeln für das Computing-Gateway benötigen benannte Bestandslistengruppen für Quell- und Zielwerte. Weitere Informationen hierzu finden Sie unter Hinzufügen oder Ändern einer Computing-Gruppe.

Prozedur

  1. Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.
  2. Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gateway-Firewall.
  3. Klicken Sie auf der Seite GATEWAY-FIREWALL auf Computing-Gateway.
  4. Klicken Sie zum Hinzufügen einer Regel auf REGEL HINZUFÜGEN und geben Sie unter Name einen neuen Namen für die Regel ein.
  5. Geben Sie die Parameter für die neue Regel ein.
    Parameter werden mit ihren Standardwerten initialisiert (z. B. Alle für Quellen und Ziele). Zum Bearbeiten eines Parameters bewegen Sie den Mauszeiger über den Parameterwert und klicken auf das Stiftsymbol ( ), um einen parameterspezifischen Editor zu öffnen.
    Option Beschreibung
    Quellen Klicken Sie auf Alle in der Spalte Quellen und wählen Sie eine Bestandslistengruppe für den Datenverkehr des Quellnetzwerks aus, oder klicken Sie auf GRUPPE HINZUFÜGEN, um eine neue benutzerdefinierte Bestandslistengruppe zur Verwendung für diese Regel zu erstellen. Klicken Sie auf SPEICHERN.
    Ziele Klicken Sie auf Alle in der Spalte Ziele und wählen Sie eine Bestandslistengruppe für den Datenverkehr des Zielnetzwerks aus, oder klicken Sie auf NEUE GRUPPE ERSTELLEN, um eine neue benutzerdefinierte Bestandslistengruppe zur Verwendung für diese Regel zu erstellen. Klicken Sie auf SPEICHERN.
    Dienste Klicken Sie auf Alle in der Spalte Dienste und wählen Sie einen Dienst in der Liste aus. Klicken Sie auf SPEICHERN.
    Angewendet auf Definieren Sie den Datenverkehrstyp, für den die Regel gilt:
    • Wählen Sie VPN-Tunnelschnittstelle aus, wenn die Regeln für Datenverkehr über das routenbasierte VPN gelten soll.
    • Wählen Sie VPC-Schnittstelle aus, wenn die Regel den Datenverkehr über die verlinkte AWS-VPC-Verbindung zulassen soll.
    • Wählen Sie Internetschnittstelle aus, wenn die Regel für den Datenverkehr über das Internet gelten soll, einschließlich über richtlinienbasierte VPNs unter Verwendung der öffentlichen IP-Adresse.
    • Wählen Sie Direct Connect-Schnittstelle aus, wenn die Regel den Datenverkehr über AWS Direct Connect (private VIF) zulassen soll, einschließlich über richtlinienbasierte VPNs mit privater IP-Adresse.
    • Alle Uplinks, wenn Sie möchten, dass die Regel auf die VPC-Schnittstelle, die Internet-Schnittstelle und die Direct Connect-Schnittstelle angewendet wird, aber nicht auf die VPN-Tunnel-Schnittstelle.
      Hinweis: Die VPN-Tunnel-Schnittstelle ist nicht als Uplink klassifiziert.
    Aktion
    • Wählen Sie Zulassen aus, um zuzulassen, dass der gesamte L2- und L3-Datenverkehr durch die Firewall geleitet wird.
    • Wählen Sie Verwerfen aus, um Pakete zu verwerfen, die mit den angegebenen Quellen, Zielen und Diensten übereinstimmen. Dies ist eine im Hintergrund laufende Aktion ohne Benachrichtigung des Quell- oder Zielsystems. Wenn Sie das Paket verwerfen, wird die Verbindungsherstellung erneut versucht, bis der Schwellenwert für Wiederholungen erreicht ist.
    • Wählen Sie Ablehnen aus, um Pakete abzulehnen, die mit den angegebenen Quellen, Zielen und Diensten übereinstimmen. Die Aktion gibt eine Meldung vom Typ „Ziel nicht erreichbar“ an den Absender zurück. Bei TCP-Paketen enthält die Antwort eine TCP-RST-Meldung. Bei UDP-, ICMP- und andere Protokolle enthält die Antwort einen „administrativ verbotenen“ Code (9 oder 10). Der Absender wird sofort benachrichtigt (ohne erneute Versuche), wenn die Verbindung nicht hergestellt werden kann.
    Die neue Regel ist standardmäßig aktiviert. Schieben Sie den Umschalter nach links, um sie zu deaktivieren.
  6. Klicken Sie auf VERÖFFENTLICHEN, um die Regel zu erstellen.

    Das System gibt der neuen Regel einen Ganzzahl-ID-Wert, der in den von der Regel generierten Protokolleinträgen verwendet wird.

Nächste Maßnahme

Sie können eine oder alle dieser optionalen Aktionen mit einer vorhandenen Firewallregel durchführen.

  • Klicken Sie auf das Zahnradsymbol , um die Protokollierungseinstellungen für die Regel anzuzeigen oder zu ändern. Protokolleinträge werden an den VMware vRealize Log Insight Cloud-Dienst gesendet. Weitere Informationen finden Sie unter Verwenden von vRealize Log Insight Cloud im VMware Cloud on AWS Operations Guide.

  • Klicken Sie auf das Diagrammsymbol , um Regeltreffer und Datenstromstatistiken für die Regel zu sehen.
    Tabelle 1. Statistiken Regeltreffer
    Beliebtheitsindex Häufigkeit, mit der die Regel in den letzten 24 Stunden ausgelöst wurde.
    Anzahl der Treffer Häufigkeit, mit der die Regel seit ihrer Erstellung ausgelöst wurde.
    Tabelle 2. Datenstromstatistiken
    Paketanzahl Gesamtpaketdurchlauf durch diese Regel.
    Byteanzahl Gesamter Bytedurchlauf durch diese Regel.
    Statistiken werden erfasst, sobald die Regel aktiviert ist.
  • Ordnen Sie die Firewallregeln neu.

    Eine Regel, die über die Schaltfläche NEUE REGEL HINZUFÜGEN erstellt wurde, wird oben in der Liste der Regeln platziert. Firewallregeln werden in der Reihenfolge von oben nach unten angewendet. Um die Position einer Regel in der Liste zu ändern, wählen Sie sie aus und ziehen sie an eine neue Position. Klicken Sie auf VERÖFFENTLICHEN, um die Änderung zu veröffentlichen.