Sie können durch Definieren von Layer-7-Dienstobjekten eine kontextbezogene oder anwendungsbasierte Firewallregel konfigurieren. Eine kontextbezogene Layer-7-Firewallregel kann den Inhalt der Pakete intelligent überprüfen.

In diesem Beispiel wird der Vorgang des Erstellens einer Layer-7-Firewallregel mit dem APP_HTTP-Serviceobjekt erläutert. Diese Firewallregel lässt HTTP-Anforderungen von einer virtuellen Maschine für alle Ziele zu. Nach dem Erstellen der Firewallregel initiieren Sie einige HTTP-Sitzungen auf der Quell-VM, die diese Firewallregel übergibt, und aktivieren Sie das Flow Monitoring auf einer bestimmten vNIC der Quell-VM. Die Firewallregel erkennt einen HTTP-Anwendungskontext und erzwingt die Regel auf der Quell-VM.

Voraussetzungen

Sie müssen sich bei vSphere Web Client mit einem Konto anmelden, das über eine der folgenden NSX-Rollen verfügt:
  • Security Administrator
  • NSX-Administrator
  • Sicherheitstechniker
  • Enterprise-Administrator
Hinweis: Stellen Sie sicher dass NSX Data Center for vSphere 6.4 oder später installiert ist.

Prozedur

  1. Navigieren Sie im vSphere Web Clientzu Netzwerk und Sicherheit (Networking & Security) > Sicherheit (Security) > Firewall.
  2. (Optional) Fügen Sie einen Firewallregelabschnitt hinzu, um kontextbezogene Firewallregeln zu gruppieren.
  3. Klicken Sie auf Regel hinzufügen (Add Rule).
  4. Erstellen Sie die kontextbezogene Firewallregel.
    1. Geben Sie einen Regelnamen ein, um diese Regel zu identifizieren. Geben Sie beispielsweise L7_Regel_HTTP_Dienst ein.
    2. Klicken Sie in der Spalte „Quelle“ auf das Symbol Bearbeiten (Edit) (Bearbeitungssymbol in HTML5).
      Die Seite „Quelle angeben“ wird geöffnet.
    3. Wählen Sie aus dem Dropdown-Menü Objekttyp (Object Type)Virtuelle Maschine (Virtual Machine) aus.
    4. Wählen Sie aus der Liste Verfügbare Objekte (Available Objects) die virtuelle Maschine aus. Verschieben Sie dieses Objekt in die Liste Ausgewählte Objekte (Selected Objects) und klicken Sie dann auf Speichern (Save).
    5. Behalten Sie in der Spalte „Ziel“ den Standardwert „Beliebig“ bei.
    6. Klicken Sie in der Spalte „Dienst“ auf das Symbol Bearbeiten (Edit) (Bearbeitungssymbol in HTML5).
      Die Seite „Dienst angeben“ wird geöffnet.
    7. Wählen Sie aus dem Dropdown-Menü Objekttyp (Object Type)Dienste (Services) aus.
    8. Wählen Sie aus der Liste Verfügbare Objekte (Available Objects) den Dienst App_HTTP aus. Verschieben Sie diesen Dienst in die Liste Ausgewählte Objekte (Selected Objects) und klicken Sie dann auf Speichern (Save).
    9. Stellen Sie sicher, dass die Firewallregel aktiviert und die Regelaktion auf Zulassen (Allow) festgelegt ist.
    10. Klicken Sie auf Veröffentlichen (Publish), um die Firewallregel-Konfiguration zu veröffentlichen.
    Die folgende Abbildung zeigt die Firewallregel, die Sie erstellt haben.
    Abbildung 1. Kontextbezogene Firewallregel-Definition
    Abbildung zeigt die kontextbezogene Firewallregel-Definition.
  5. Melden Sie sich bei der Konsole Ihrer Quell-VM an und initiieren Sie den wget-Linux-Befehl zum Herunterladen von Dateien aus dem Web über HTTP.
  6. Aktivieren Sie auf der vNIC der Quell-VM das Live-Flow Monitoring, um Datenverkehr-Flows auf der Quell-VM zu überwachen.
    1. Navigieren Sie zu Tools > Flow Monitoring.
    2. Wählen Sie eine bestimmte vNIC auf der Quell-VM. Wählen Sie z. B. l2vpn-client-vm-Network adapter 1.
    3. Klicken Sie zum Anzeigen der Flow Monitoring-Daten auf Start.
  7. In der folgenden Abbildung zeigen die Flow Monitoring-Daten, dass die Firewallregel den Anwendungskontext (HTTP) erkannt hat. Regel 1005 wird auf der Quell-VM (10.161.117.238) erzwungen und der Datenverkehr fließt zu den Ziel-IP-Adressen 151.101.129.67 und 151.101.53.67.
    Abbildung 2. Datenverkehr-Flows auf Quell-VM
    Abbildung zeigt Datenverkehr-Flows auf der vNIC der Quell-VM, wenn die Regelaktion auf „Zulassen“ festgelegt ist.
  8. Kehren Sie zur Seite „Firewall“ zurück und ändern Sie die Regelaktion zum Blockieren (Block).
  9. Öffnen Sie die Konsole der Quell-VM und führen Sie den Befehl wget erneut aus.
    Die HTTP-Anforderungen werden jetzt auf der Quell-VM blockiert. Ihnen sollte ein Fehler in der VM-Konsole angezeigt werden, der etwa wie folgt lautet: 
    HTTP request sent, awaiting response ... Read error (Connection reset by peer) in headers
Retrying.
    Die folgende Abbildung zeigt einen Flow mit Anwendungskontext (HTTP), der auf der vNIC der Quell-VM (10.161.117.238) erkannt und blockiert wurde.
    Abbildung 3. Datenverkehr-Flows auf Quell-VM
    Datenverkehr-Flows auf der vNIC der Quell-VM, wenn die kontextbezogene Regelaktion zum Blockieren festgelegt ist

Nächste Maßnahme

Andere Szenarien, in denen Sie kontextbezogene Firewallregeln verwenden können, finden Sie unter Kontextbezogene Firewallszenarien.