Sie fügen Firewallregeln im Geltungsbereich des NSX Manager hinzu. Wenn Sie das Feld „Angewendet auf“ verwenden, können Sie den Geltungsbereich einschränken, in dem Sie die Regel anwenden möchten. Sie können mehrere Objekte auf Quell- und Zielebene für jede Regel hinzufügen, um so die Gesamtzahl der zu erstellenden Firewallregeln zu verringern.
Die folgenden vCenter-Objekte können als Quelle oder Ziel für eine Firewallregel angegeben werden:
Tabelle 1.
Für Firewallregeln unterstützte Objekte
Quelle oder Ziel |
Angewendet auf |
|
Alle Cluster, auf denen die verteilte Firewall installiert wurde (in anderen Worten: alle Cluster, die für Netzwerkvisualisierung vorbereitet wurden)
Alle auf vorbereiteten Clustern installierte Edge Gateways
Cluster
Datencenter
verteilte Portgruppe
Edge
Legacy-Portgruppe
Logischer Switch
Sicherheitsgruppe
virtuelle Maschine
vNIC
|
Voraussetzungen
Stellen Sie sicher, dass sich die verteilte Firewall von NSX nicht im Abwärtskompatibilitätsmodus befindet. Um den aktuellen Status zu überprüfen, verwenden Sie den REST API-Aufruf „GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/status“. Wenn der aktuelle Status der Abwärtskompatibilitätsmodus ist, können Sie den Status durch den REST API-Aufruf „PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state“ ändern. Versuchen Sie nicht, eine Regel für eine verteilte Firewall zu veröffentlichen, während sich die verteilte Firewall im Abwärtskompatibilitätsmodus befindet.
Weitere Informationen zum Hinzufügen von universellen Firewallregeln finden Sie unter Hinzufügen einer universellen Firewallregel.
Wenn Sie eine identitätsbasierte Firewallregel hinzufügen, stellen Sie Folgendes sicher:
Mindestens eine Domäne wurde bei NSX Manager registriert. NSX Manager ruft Gruppen- und Benutzerinformationen sowie die Beziehung zwischen diesen aus jeder Domäne ab, die bei NSX Manager registriert ist. Weitere Informationen dazu finden Sie unter Registrieren einer Windows-Domäne mit NSX Manager.
Eine auf Active Directory-Objekten basierte Sicherheitsgruppe wurde erstellt, die als Quelle oder Ziel der Regel verwendet werden kann. Weitere Informationen dazu finden Sie unter Erstellen einer Sicherheitsgruppe.
Wenn Sie eine auf ein VMware vCenter-Objekt basierende Regel hinzufügen, stellen Sie sicher, dass VMware Tools auf den virtuellen Maschinen installiert ist. Weitere Informationen hierzu finden Sie im Installationshandbuch für NSX.
VMs, die von 6.1.5 auf 6.2.3 migriert wurden, bieten keine Unterstützung für TFTP ALG. Um die Unterstützung für TFTP ALG nach der Migration zu aktivieren, fügen Sie die VM hinzu und entfernen Sie diese aus der Ausschlussliste oder starten Sie die VM neu. Ein neuer 6.2.3-Filter wird erstellt, der TFTP ALG unterstützt.
Prozedur
- Navigieren Sie im vSphere Web Client zu .
- Achten Sie beim Hinzufügen einer L3-Regel darauf, dass Sie sich auf der Registerkarte Allgemein (General) befinden. Klicken Sie auf die Registerkarte Ethernet, um eine L2-Regel hinzuzufügen.
- Klicken Sie in dem Abschnitt, in dem Sie eine Regel hinzufügen, auf das Symbol Regel hinzufügen (Add rule) (
).
- Klicken Sie auf Änderungen veröffentlichen (Publish Changes).
Die neue Regel wird an oberster Stelle im Abschnitt eingefügt. Wenn der Abschnitt nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt.
Wenn Sie eine Regel an einer bestimmten Stelle im Abschnitt einfügen möchten, wählen Sie eine Regel aus. Klicken Sie in der Spalte „Nr.“ auf
und wählen Sie Oben hinzufügen (Add Above) oder Unten hinzufügen (Add Below) aus.
- Zeigen Sie auf die Zelle Name der neuen Regel und klicken Sie auf
.
- Geben Sie einen Namen für die neue Regel ein.
- Zeigen Sie auf die Zelle Quelle (Source) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.
Option |
Beschreibung |
Klicken Sie auf . |
Zur Angabe der Quelle als IP-Adresse.
Wählen Sie das IP-Adressenformat aus. Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.
Geben Sie die IP-Adresse ein. Sie können mehrere IP-Adressen in einer kommagetrennten Liste eingeben. Die Liste kann bis zu 255 Zeichen lang sein.
|
Klicken Sie auf  |
Zur Angabe der Quelle als Objekt und nicht als bestimmte IP-Adresse.
Wählen Sie unter Ansicht (View) den Container des Ursprungs der Kommunikation aus. Die Objekte des ausgewählten Containers werden angezeigt.
Wählen Sie mindestens ein Objekt aus und klicken Sie auf . Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Quelle“ hinzugefügt. Weitere Informationen zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter Netzwerk- und Sicherheitsobjekte.
Klicken Sie zum Ausschließen einer Quelle von der Regel auf Erweiterte Optionen (Advanced options).
Wählen Sie Quelle ablehnen (Negate Source), um diese Quelle von der Regel auszuschließen. Wenn Quelle ablehnen (Negate Source) ausgewählt ist, gilt die Regel für den Datenverkehr, der aus allen Quellen außer der Quelle stammt, die Sie im vorherigen Schritt angegeben haben. Wenn Quelle ablehnen (Negate Source) nicht ausgewählt ist, gilt die Regel für den Datenverkehr, der aus den Quellen stammt, die Sie im vorherigen Schritt angegeben haben.
Klicken Sie auf OK.
|
- Zeigen Sie auf die Zelle Ziel (Destination) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.
Option |
Beschreibung |
Klicken Sie auf . |
Zur Angabe des Ziels als IP-Adresse.
Wählen Sie das IP-Adressenformat aus. Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.
Geben Sie die IP-Adresse ein. Sie können mehrere IP-Adressen in einer kommagetrennten Liste eingeben. Die Liste kann bis zu 255 Zeichen lang sein.
|
Klicken Sie auf  |
Zur Angabe des Ziels als Objekt und nicht als bestimmte IP-Adresse.
Wählen Sie unter Ansicht (View) den Container des Ziels der Kommunikation aus. Die Objekte des ausgewählten Containers werden angezeigt.
Wählen Sie mindestens ein Objekt aus und klicken Sie auf . Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Ziel“ hinzugefügt. Weitere Informationen zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter Netzwerk- und Sicherheitsobjekte.
Klicken Sie zum Ausschließen eines Zielports auf Erweiterte Einstellungen (Advanced options).
Wählen Sie Ziel ablehnen (Negate Destination), um das Ziel von der Regel auszuschließen. Wenn Ziel ablehnen (Negate Destination) ausgewählt ist, gilt die Regel für den Datenverkehr, der zu allen Zielen außer dem Ziel geht, das Sie im vorherigen Schritt angegeben haben. Wenn Ziel ablehnen (Negate Destination) nicht ausgewählt ist, gilt die Regel für den Datenverkehr, der zum Ziel geht, das Sie im vorherigen Schritt angegeben haben.
Klicken Sie auf OK.
|
- Zeigen Sie auf die Zelle Dienst (Service) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.
Option |
Beschreibung |
Klicken Sie auf . |
So geben Sie einen Dienst als Port-Protokoll-Kombination an.
Wählen Sie das Dienstprotokoll aus. Die verteilte Firewall unterstützt ALG (Application Level Gateway) für die folgenden Protokolle: TFTP, FTP, ORACLE, TNS, MS-RPC und SUN-RPC. Edge unterstützt ein ALG für FTP, TFTP und SNMP_BASIC. Hinweis: VMs, die von 6.1.5 auf 6.2.3 migriert wurden, bieten keine Unterstützung für TFTP ALG. Um die Unterstützung für TFTP ALG nach der Migration zu aktivieren, fügen Sie die VM hinzu und entfernen Sie diese aus der Ausschlussliste oder starten Sie die VM neu. Ein neuer 6.2.3-Filter wird erstellt, der TFTP ALG unterstützt.
Geben Sie die Portnummer ein und klicken Sie auf OK.
|
Klicken Sie auf  |
So wählen Sie einen vordefinierten Dienst/eine vordefinierte Dienstgruppe aus oder definieren einen neuen Dienst bzw. eine neue Dienstgruppe.
Wählen Sie mindestens ein Objekt aus und klicken Sie auf . Sie können einen neuen Dienst oder eine neue Dienstgruppe erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Ausgewählte Objekte“ hinzugefügt.
Klicken Sie auf OK.
|
- Zeigen Sie auf die Zelle Aktion (Action) der neuen Regel und klicken Sie auf
. Treffen Sie eine entsprechende Auswahl, wie in der nachfolgenden Tabelle beschrieben, und klicken Sie auf OK.
Aktion |
Ergebnis |
Zulassen |
Lässt Datenverkehr von oder zu angegebener/n Quelle/n, Ziel/en und Dienst/en zu. |
Blockieren |
Blockiert Datenverkehr von oder zu angegebener/n Quelle/n, Ziel/en und Dienst/en. |
Ablehnen |
Versendet Ablehnungsmeldungen für nicht angenommene Pakete. RST-Pakete werden für TCP-Verbindungen versendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. |
Protokoll |
Protokolliert alle Sitzungen, auf die diese Regel zutrifft. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen. |
Nicht protokollieren |
Protokolliert keine Sitzungen. |
- Definieren Sie in Angewendet auf (Applied To) die Ebene, auf der diese Regel anwendbar ist. Treffen Sie eine entsprechende Auswahl, wie in der nachfolgenden Tabelle beschrieben, und klicken Sie auf OK.
Zum Anwenden einer Regel auf |
Führen Sie Folgendes durch |
Alle vorbereiteten Cluster in Ihrer Umgebung |
Wählen Sie Wenden Sie diese Regel auf alle Cluster an, auf denen die verteilte Firewall aktiviert ist (Apply this rule on all clusters on which Distributed Firewall is enabled). Nachdem Sie auf „OK“ geklickt haben, wird in der Spalte „Angewendet auf“ die Option verteilte Firewall (Distributed Firewall) angezeigt. |
Alle NSX Edge Gateways in Ihrer Umgebung |
Wählen Sie Wenden Sie diese Regel auf alle Edge-Gateways an (Apply this rule on all Edge gateways). Nachdem Sie auf „OK“ geklickt haben, wird in der Spalte „Angewendet auf“ die Option Alle Edges (All Edges) angezeigt. Wenn beide genannten Optionen ausgewählt sind, wird in der Spalte „Angewendet auf“ die Option Beliebig (Any) angezeigt. |
Mindestens ein Cluster, Datencenter, Netzwerk, logischen Switch, eine verteilte virtuelle Portgruppe, NSX Edge, virtuelle Maschine oder vNIC |
Wählen Sie unter Containertyp (Container type) das entsprechende Objekt aus.
Wählen Sie in der Liste „Verfügbar“ mindestens ein Objekt aus und klicken Sie auf .
|
Wenn die Regel virtuelle Maschinen/vNICs in den Feldern „Quelle“ und „Ziel“ enthält, müssen Sie sowohl die Quell-VMs/-vNICs als auch die Ziel-VMs/-vNICs zu Angewendet auf (Applied To) hinzufügen, damit die Regel richtig angewandt wird.
- Klicken Sie auf Änderungen veröffentlichen (Publish Changes).
Nach kurzer Zeit wird eine Meldung mit der Angabe angezeigt, ob der Veröffentlichungsvorgang erfolgreich war. Im Falle eines Fehlers werden die Hosts, auf die die Regel nicht angewendet wurde, nicht aufgeführt. Weitere Details zu fehlgeschlagenen Veröffentlichungen finden Sie, wenn Sie zu navigieren.
Wenn Sie auf Änderungen veröffentlichen (Publish Changes) klicken, wird die Konfiguration der Firewall automatisch gespeichert. Informationen zum Wiederherstellen einer früheren Konfiguration finden Sie unter Laden einer gespeicherten Firewallkonfiguration.
Nächste Maßnahme
Deaktivieren Sie eine Regel durch Klicken auf
oder aktivieren Sie eine Regel durch Klicken auf
.
Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf
klicken und die entsprechenden Spalten auswählen.
Spaltenname |
Angezeigte Informationen |
Regel-ID |
Eindeutige, systemgenerierte ID für jede Regel |
Protokoll |
Datenverkehr für diese Regel wird protokolliert bzw. nicht protokolliert |
Statistik |
Mit einem Klick auf wird der auf diese Regel bezogene Datenverkehr angezeigt (Datenverkehrspakete und Größe). |
Anmerkungen |
Anmerkungen zur Regel |
Suchen Sie nach Regeln, indem Sie Text in das Feld „Suche“ eingeben.
Verschieben Sie eine Regel in der Firewalltabelle nach oben oder nach unten.
Führen Sie Abschnitte zusammen, indem Sie auf das Symbol Abschnitt zusammenführen (Merge section) klicken und die Option Mit Abschnitt oben zusammenführen (Merge with above section) oder Mit Abschnitt unten zusammenführen (Merge with below section) auswählen.