Sie fügen Firewallregeln im Geltungsbereich des NSX Manager hinzu. Wenn Sie das Feld „Angewendet auf“ verwenden, können Sie den Geltungsbereich einschränken, in dem Sie die Regel anwenden möchten. Sie können mehrere Objekte auf Quell- und Zielebene für jede Regel hinzufügen, um so die Gesamtzahl der zu erstellenden Firewallregeln zu verringern.

Voraussetzungen

Wenn Sie eine auf ein VMware vCenter-Objekt basierende Regel hinzufügen, stellen Sie sicher, dass VMware Tools auf den virtuellen Maschinen installiert ist. Weitere Informationen hierzu finden Sie im Installationshandbuch für NSX.

VMs, die von 6.1.5 auf 6.2.3 migriert wurden, bieten keine Unterstützung für TFTP ALG. Um die Unterstützung für TFTP ALG nach der Migration zu aktivieren, fügen Sie die VM hinzu und entfernen Sie diese aus der Ausschlussliste oder starten Sie die VM neu. Ein neuer 6.2.3-Filter wird erstellt, der TFTP ALG unterstützt.

Hinweis: Voraussetzungen für die identitätsbasierte Firewallregel:
  • Mindestens eine Domäne wurde bei NSX Manager registriert. NSX Manager ruft Gruppen- und Benutzerinformationen sowie die Beziehung zwischen diesen aus jeder Domäne ab, die bei NSX Manager registriert ist. Weitere Informationen dazu finden Sie unter Registrieren einer Windows-Domäne mit NSX Manager.
  • Eine auf Active Directory-Objekten basierte Sicherheitsgruppe wurde erstellt, die als Quelle oder Ziel der Regel verwendet werden kann. Weitere Informationen dazu finden Sie unter Erstellen einer Sicherheitsgruppe.
  • Der Active Directory-Server muss in den NSX Manager integriert sein.
  • Hosts müssen DFW aktiviert haben und auf NSX 6.4.0 aktualisiert sein.
  • Gast-Maschinen müssen aktualisierte VMware Tools ausführen.
  • Es muss GI-SVM in der Version 6.4 oder höher verwendet werden.
  • Die Regel muss in einem neuen Abschnitt der Firewallregeln erstellt werden.
  • Für die Regel muss Benutzeridentität an der Quelle aktivieren ausgewählt sein.
  • Das Feld Angewendet auf wird nicht für Regeln für den Zugriff auf Remote-Desktops unterstützt.
  • ICMP wird für IDFW für RDSH nicht unterstützt.
Hinweis: Voraussetzungen für die globale Firewallregel:

In einer Cross-vCenter NSX-Umgebung beziehen sich universelle Regeln auf die Regeln für die verteilte Firewall, die auf dem primären NSX Manager im Abschnitt der universellen Regeln definiert wurden. Diese Regeln werden auf allen sekundären NSX Managern in Ihrer Umgebung repliziert, wodurch Sie eine einheitliche Firewallrichtlinie über vCenter-Grenzen hinweg beibehalten können. Der primäre NSX Manager kann mehrere universelle Abschnitte für universelle L2-Regeln sowie mehrere universelle Abschnitte für universelle L3-Regeln beinhalten. Universelle Abschnitte befinden sich über allen lokalen Abschnitten und Service Composer-Abschnitten. Universelle Abschnitte und universelle Regeln können auf den sekundären NSX Managern angezeigt, aber nicht bearbeitet werden. Die Platzierung des universellen Abschnitts in Bezug auf den lokalen Abschnitt beeinträchtigt nicht die Priorität der Regeln.

Edge-Firewallregeln werden für vMotion zwischen mehreren vCenter Servern nicht unterstützt.

Tabelle 1. Für universelle Firewallregeln unterstützte Objekte
Quelle und Ziel Angewendet auf Dienst
  • universelles MAC Set
  • universelles IP Set
  • universelle Sicherheitsgruppe, die ein universelles Sicherheits-Tag, ein IP Set, ein MAC Set oder eine universelle Sicherheitsgruppe enthalten kann
  • universelle Sicherheitsgruppe, die ein universelles Sicherheits-Tag, ein IP Set, ein MAC Set oder eine universelle Sicherheitsgruppe enthalten kann
  • Globaler logischer Switch
  • verteilte Firewall – wendet Regeln auf allen Clustern an, auf denen die verteilte Firewall installiert ist
  • vorab erstellte universelle Dienste und Dienstgruppen
  • vom Benutzer erstellte universelle Dienste und Dienstgruppen
Beachten Sie, dass andere vCenter-Objekte nicht für universelle Regeln unterstützt werden.

Stellen Sie sicher, dass sich die verteilte Firewall von NSX nicht im Abwärtskompatibilitätsmodus befindet. Um den aktuellen Status zu überprüfen, verwenden Sie den REST API-Aufruf „GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/status“. Wenn der aktuelle Status der Abwärtskompatibilitätsmodus ist, können Sie den Status durch den REST API-Aufruf „PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state“ ändern. Versuchen Sie nicht, eine Regel für eine verteilte Firewall zu veröffentlichen, während sich die verteilte Firewall im Abwärtskompatibilitätsmodus befindet.

Prozedur

  1. Navigieren Sie im vSphere Web Clientzu Netzwerk und Sicherheit (Networking & Security) > Sicherheit (Security) > Firewall.
  2. Achten Sie beim Hinzufügen einer L3, L4 oder L7-Regel darauf, dass Sie sich auf der Registerkarte Konfiguration (Configuration) > Allgemein (General) befinden. Klicken Sie auf die Registerkarte Ethernet, um eine L2-Regel hinzuzufügen.
    Wenn Sie eine globale Firewallregel erstellen, erstellen Sie die Regel in einem Abschnitt für globale Regeln.
  3. Zeigen Sie auf die Zelle Name der neuen Regel und klicken Sie auf Bearbeiten.
  4. Geben Sie einen Namen für die neue Regel ein.