Sie können die Einstellung „Angewendet auf“ für alle Firewallregeln, die über Service Composer erstellt wurden, entweder auf die verteilte Firewall oder auf die Sicherheitsgruppen der Richtlinie festlegen. Standardmäßig für „Angewendet auf“ die verteilte Firewall eingestellt.

Wenn für Firewallregeln des Service Composer die Einstellung „Angewendet auf“ auf die verteilte Firewall festgelegt ist, werden die Regeln auf alle Cluster angewendet, auf denen die verteilte Firewall installiert ist. Wenn die Firewallregeln auf die Sicherheitsgruppen der Richtlinie angewendet werden, können Sie die Firewallregeln präziser festlegen, benötigen aber eventuell mehrere Sicherheitsrichtlinien oder Firewallregeln für das gewünschte Ergebnis.

Prozedur

  1. Navigieren Sie im vSphere Web Clientzu Netzwerk und Sicherheit (Networking & Security) > Sicherheit (Security) > Service Composer.
  2. Klicken Sie auf die Registerkarte Sicherheitsrichtlinien (Security Policies).
  3. So bearbeiten Sie die globalen Firewall-Einstellungen:
    • Klicken Sie in NSX 6.4.1 und höher neben „Globale Firewall-Einstellungen“ auf das Symbol „Bearbeiten“ (Bearbeiten).
    • Klicken Sie in NSX 6.4.0 neben „Globale Einstellungen: Firewallregeln angewendet auf“ auf Bearbeiten (Edit).
  4. Wählen Sie eine Standardeinstellung für „Angewendet auf“ aus und klicken Sie auf OK. Dieser Wert bestimmt die vNICs, auf die die Firewallregel angewendet wird.
    Option Beschreibung
    verteilte Firewall Die Firewallregeln werden auf alle Cluster angewendet, auf denen die verteilte Firewall installiert ist.
    Sicherheitsgruppen der Richtlinie Die Firewallregeln werden auf alle Sicherheitsgruppen angewendet, für die die Sicherheitsrichtlinie gilt.
    Die Standardeinstellung für „Angewendet auf“ kann über die API angezeigt und geändert werden. Weitere Informationen finden Sie unter Handbuch zu NSX-API.

    Beachten Sie, dass bei Verwendung von RDSH-Firewallregeln für die Einstellung „Angewendet auf“ Verteilte Firewall (Distributed Firewall) festgelegt ist. Sicherheitsgruppen der Richtlinie (Policy's Security Groups) wird bei RDSH-Regeln für die Einstellung „Angewendet auf“ nicht unterstützt.

Beispiel: Verhalten von „Angewendet auf“

Im folgenden Beispielszenario wurde als Standardaktion der Firewallregel für einen beliebigen Dienst „Blockieren“ festgelegt. Sie verfügen über zwei Sicherheitsgruppen: web-servers (Webserver) und app-servers (App-Server), die VMs enthalten. Sie erstellen eine Sicherheitsrichtlinie (allow-ssh-from-web), die die im Folgenden aufgeführte Firewallregel enthält und diese auf die App-Server der Sicherheitsgruppe anwendet.
  • Name: allow-ssh-from-web
  • Quelle: web-servers
  • Ziel: Sicherheitsgruppe der Richtlinie
  • Dienst: ssh
  • Aktion: Zulassen

Wenn die Firewallregel auf die verteilte Firewall angewendet wird, können Sie eine SSH-Verbindung von einer VM in der Sicherheitsgruppe „web-servers“ mit einer VM in der Sicherheitsgruppe „app-servers“ herstellen.

Wenn die Firewallregel auf die Sicherheitsgruppe der Richtlinie angewendet wird, können Sie keine SSH-Verbindung herstellen, da der Datenverkehr zu den App-Servern blockiert ist. Um eine SSH-Verbindung mit den App-Servern zu ermöglichen, müssen Sie eine zusätzliche Sicherheitsrichtlinie erstellen und diese auf die Sicherheitsgruppe „web-servers“ anwenden.

  • Name: allow-ssh-to-app
  • Quelle: Sicherheitsgruppe der Richtlinie
  • Ziel: app-servers
  • Dienst: ssh
  • Aktion: Zulassen