Eine Sicherheitsrichtlinie ist ein Satz von Guest Introspection-, Firewall- und Netzwerk-Introspektionsdiensten, die auf eine Sicherheitsgruppe angewendet werden können. Die Anzeigereihenfolge der Sicherheitsrichtlinien richtet sich nach ihrer Gewichtung. Standardmäßig wird einer neuen Richtlinie die höchste Gewichtung zugewiesen, sodass die Richtlinie sich ganz oben in der Tabelle befindet. Sie können die standardmäßig zugewiesene Gewichtung jedoch ändern und so die Reihenfolge der neuen Richtlinie ändern.
Voraussetzungen
Stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:
- Die erforderlichen integrierten VMware-Dienste müssen installiert sein (beispielsweise verteilte Firewall und Guest Introspection).
- Die erforderlichen Partnerdienste müssen bei NSX Manager registriert worden sein.
- Der gewünschte Standardwert für „Angewendet auf“ wurde für Service Composer-Firewallregeln festgelegt. Weitere Informationen dazu finden Sie unter Bearbeiten der Einstellung „Angewendet auf“ für die Service Composer-Firewall.
Wenn Sie ein Sicherheitsrichtlinien-Framework für die identitätsbasierte Firewall für RDSH erstellen:
- Der Active Directory-Server muss in den NSX Manager integriert sein.
- Hosts müssen DFW aktiviert haben und auf NSX 6.4.0 aktualisiert sein.
- Gast-Maschinen müssen aktualisierte VMware Tools ausführen.
- Es muss GI-SVM in der Version 6.4 oder höher verwendet werden.
- Die Regel muss in einem neuen Abschnitt der Firewallregeln erstellt werden.
- Für die Regel muss Benutzeridentität an der Quelle aktivieren ausgewählt sein.
- Das Feld Angewendet auf wird nicht für Regeln für den Zugriff auf Remote-Desktops unterstützt.
- ICMP wird für IDFW für RDSH nicht unterstützt.
Prozedur
- Navigieren Sie im vSphere Web Clientzu .
- Klicken Sie auf die Registerkarte Sicherheitsrichtlinien (Security Policies).
- So erstellen Sie eine neue Sicherheitsrichtlinie:
- Klicken Sie in NSX 6.4.1 und höher auf Hinzufügen (Add).
- Klicken Sie in NSX 6.4.0 auf das Symbol Sicherheitsrichtlinie erstellen (Create Security Policy) ().
- Geben Sie im Dialogfeld „Sicherheitsrichtlinie erstellen“ oder „Neue Sicherheitsrichtlinie“ einen Namen für die Sicherheitsrichtlinie ein.
- Geben Sie eine Beschreibung für die Sicherheitsrichtlinie ein. Die Beschreibung darf maximal 255 Zeichen enthalten.
NSX weist der Richtlinie eine Standardgewichtung zu (höchste Gewichtung +1000). Wenn die höchste Gewichtung der vorhandenen Richtlinien beispielsweise 1200 ist, wird der neuen Richtlinie die Gewichtung 2200 zugewiesen.
Sicherheitsrichtlinien werden anhand ihrer Gewichtung angewendet. Richtlinien mit höherer Gewichtung haben Vorrang vor Richtlinien mit niedrigerer Gewichtung.
- Wählen Sie Sicherheitsrichtlinie übernehmen (Inherit security policy) aus, wenn die neu erstellte Richtlinie Dienste von einer anderen Sicherheitsrichtlinie übernehmen soll. Wählen Sie die übergeordnete Richtlinie aus.
Die neue Richtlinie übernimmt alle Dienste der übergeordneten Richtlinie.
- Klicken Sie auf Weiter (Next).
- Klicken Sie auf der Seite für Guest Introspection-Dienste auf Hinzufügen (Add) oder auf das Symbol Guest Introspection-Dienst hinzufügen (Add Guest Introspection Service) ().
- Geben Sie im Dialogfeld „Guest Introspection-Dienst hinzufügen“ einen Namen und eine Beschreibung für den Dienst ein.
- Geben Sie an, ob Sie den Dienst anwenden oder blockieren möchten.
Wenn Sie eine Sicherheitsrichtlinie übernehmen, können Sie festlegen, dass ein Dienst der übergeordneten Richtlinie blockiert werden soll.
Falls Sie einen Dienst übernehmen möchten, wählen Sie einen Dienst und ein Dienstprofil aus. Falls Sie einen Dienst blockieren möchten, wählen Sie den Diensttyp aus, der blockiert werden soll.
- Falls Sie sich dafür entschieden haben, einen Dienst zu blockieren, wählen Sie den Diensttyp aus.
- Falls Sie einen Guest Introspection-Dienst übernehmen möchten, wählen Sie den Dienstnamen aus.
Das voreingestellte Dienstprofil für den ausgewählten Dienst wird angezeigt. Darin finden Sie Informationen zu Dienstfunktionstypen, die von der entsprechenden Anbietervorlage unterstützt werden.
- Geben Sie unter Zustand (State) an, ob der ausgewählte Guest Introspection-Dienst aktiviert oder deaktiviert sein soll.
Sie können Guest Introspection-Dienste als Platzhalter für Dienste hinzufügen, die zu einem späteren Zeitpunkt aktiviert werden sollen. Dies ist besonders nützlich, wenn Dienste bei Bedarf angewendet werden müssen (beispielsweise neue Anwendungen).
- Geben Sie an, ob der Guest Introspection-Dienst erzwungen werden soll (in diesem Fall kann er nicht außer Kraft gesetzt werden). Falls das ausgewählte Dienstprofil mehrere Dienstfunktionstypen unterstützt, dann ist standardmäßig Erzwingen (Enforce) eingestellt. Diese Einstellung kann nicht geändert werden.
Wenn Sie einen Guest Introspection-Dienst in einer Sicherheitsrichtlinie erzwingen, erfordern andere Richtlinien, die diese Sicherheitsrichtlinie übernehmen, dass diese Richtlinie vor den anderen untergeordneten Richtlinien angewendet wird. Wenn dieser Dienst nicht erzwungen wird, würde bei Auswahl der Vererbung die übergeordnete Richtlinie hinzugefügt, nachdem die untergeordneten Richtlinien angewendet wurden.
- Klicken Sie auf OK.
Sie können weitere Guest Introspection-Dienste hinzufügen, indem Sie die oben beschriebenen Schritte ausführen. Die Guest Introspection-Dienste können mithilfe der Symbole oberhalb der Diensttabelle verwaltet werden.
In NSX 6.4.0 können Sie die Dienste auf dieser Seite exportieren oder kopieren, indem Sie unten rechts auf der Seite „Guest Introspection-Dienste“ auf das Symbol klicken.
- Klicken Sie auf Weiter (Next).
- Auf der Seite „Firewall“ definieren Sie die Firewallregeln für die Sicherheitsgruppe(n), auf die diese Sicherheitsrichtlinie angewendet wird.
Wenn Sie eine Sicherheitsrichtlinie für die identitätsbasierte Firewall für RDSH erstellen, müssen Sie die Einstellung Benutzeridentität an der Quelle aktivieren aktivieren. Beachten Sie, dass damit die Option der zustandslosen Firewall deaktiviert wird, da der Zustand der TCP-Verbindung zum Identifizieren des Kontexts nachverfolgt wird. Dieses Flag kann nicht geändert werden, während die Richtlinie aktualisiert wird. Nach dem Erstellen einer Sicherheitsrichtlinie mit Benutzeridentität an der Quelle aktivieren wird keine Vererbung unterstützt.
- Klicken Sie auf das Kontrollkästchen, um die folgenden optionalen Parameter zu aktivieren:
Option |
Beschreibung |
Benutzeridentität an der Quelle aktivieren |
Wenn Sie eine identitätsbasierte Firewall für RDSH verwenden, muss die Einstellung Benutzeridentität an der Quelle aktivieren aktiviert sein. Beachten Sie, dass damit die Option der zustandslosen Firewall deaktiviert wird, da der Zustand der TCP-Verbindung zum Identifizieren des Kontexts nachverfolgt wird. |
Striktes TCP aktivieren |
Ermöglicht es Ihnen, striktes TCP für jeden Firewallabschnitt festzulegen. |
Zustandslose Firewall aktivieren |
Aktiviert für jeden Firewallabschnitt eine zustandslose Firewall. |
- Klicken Sie auf Hinzufügen (Add) oder auf das Symbol Firewallregel hinzufügen (Add Firewall Rule) ().
- Geben Sie einen Namen und eine Beschreibung für die Firewallregel ein, die Sie hinzufügen.
- Wählen Sie Zulassen (Allow), Blockieren (Block) oder Ablehnen (Reject) aus, um festzulegen, ob die Regel den Datenverkehr zum ausgewählten Ziel zulassen, blockieren oder ablehnen soll.
- Wählen Sie die Quelle für die Regel aus. Standardmäßig gilt die Regel für den Datenverkehr, der von den Sicherheitsgruppen stammt, auf die diese Richtlinie angewendet wird. Zum Ändern der Standardquelle klicken Sie auf Auswählen (Select) oder Ändern (Change) und wählen die entsprechenden Sicherheitsgruppen aus.
- Wählen Sie das Ziel für die Regel aus.
Hinweis: Entweder das Ziel oder die Quelle (oder beide) müssen Sicherheitsgruppen sein, auf die diese Richtlinie angewendet wird.
Angenommen, Sie erstellen eine Regel mit der Standardquelle, geben als Ziel „Gehaltsabrechnung“ an und wählen
Ziel ablehnen (Negate Destination) aus. Dann wenden Sie diese Sicherheitsrichtlinie auf die Sicherheitsgruppe „Technik“ an. Dies würde bewirken, dass „Technik“ auf alles zugreifen kann, mit Ausnahme des Servers „Gehaltsabrechnung“.
- Wählen Sie die Dienste und/oder Dienstgruppen aus, für die die Regel gilt.
- Wählen Sie Aktiviert (Enabled) oder Deaktiviert (Disabled), um den Status der Regel anzugeben.
- Klicken Sie auf Protokoll (Log), um die Sitzungen, die unter diese Regel fallen, zu protokollieren.
Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.
- Geben Sie den Text ein, den Sie im Textfeld Tag hinzufügen möchten, während Sie die Firewallregel hinzufügen oder bearbeiten.
- Klicken Sie auf OK.
Sie können weitere Firewallregeln hinzufügen, indem Sie die oben beschriebenen Schritte ausführen. Die Firewallregeln können mithilfe der Symbole oberhalb der Firewalltabelle verwaltet werden.
In NSX 6.4.0 können Sie die Regeln auf dieser Seite exportieren oder kopieren, indem Sie unten rechts auf der Seite „Firewall“ auf das Symbol klicken.
Die Firewallregeln, die Sie hier hinzufügen, werden in der Firewalltabelle angezeigt. VMware empfiehlt, die Service Composer-Regeln in der Firewalltabelle nicht zu bearbeiten. Wenn Sie dies für eine Fehlerbehebung im Notfall tun müssen, müssen Sie die Service Composer-Regeln mit den Firewallregeln wie folgt erneut synchronisieren:
- Wählen Sie in NSX 6.4.1 und höher auf der Registerkarte „Sicherheitsrichtlinien“ Synchronisieren (Synchronize) aus.
- Wählen Sie in NSX 6.4.0 Firewallregeln synchronisieren (Synchronize Firewall Rules) im Menü Aktionen (Actions) auf der Registerkarte „Sicherheitsrichtlinien“ aus.
- Klicken Sie auf Weiter (Next).
Auf der Seite „Netzwerk-Introspektionsdienste“ werden NetX-Dienste angezeigt, die Sie in Ihre virtuelle VMware-Umgebung integriert haben.
- Klicken Sie auf das Kontrollkästchen, um die folgenden optionalen Parameter zu aktivieren:
Option |
Beschreibung |
Striktes TCP aktivieren |
Ermöglicht es Ihnen, striktes TCP für jeden Firewallabschnitt festzulegen. |
Zustandslose Firewall aktivieren |
Aktiviert für jeden Firewallabschnitt eine zustandslose Firewall. |
- Klicken Sie auf Hinzufügen (Add) oder auf das Symbol Netzwerk-Introspektionsdienst hinzufügen (Add Network Introspection Service) ().
- Geben Sie einen Namen und eine Beschreibung für den Dienst ein, den Sie hinzufügen.
- Geben Sie an, ob der Dienst umgeleitet werden soll oder nicht.
- Wählen Sie den Dienstnamen und das Dienstprofil aus.
- Wählen Sie die Quelle und das Ziel aus.
- Wählen Sie den gewünschten Netzwerkdienst zum Hinzufügen aus.
Je nach ausgewähltem Dienst stehen Ihnen weitere Auswahloptionen zur Verfügung.
- Wählen Sie aus, ob der Dienst aktiviert oder deaktiviert sein soll.
- Klicken Sie auf „Protokoll“, um die Sitzungen, die unter diese Regel fallen, zu protokollieren.
- Geben Sie den Text ein, den Sie im Textfeld Tag hinzufügen möchten.
- Klicken Sie auf OK.
Sie können weitere Netzwerk-Introspektionsdienste hinzufügen, indem Sie die oben beschriebenen Schritte ausführen. Die Netzwerk-Introspektionsdienste können mithilfe der Symbole oberhalb der Diensttabelle verwaltet werden.
In NSX 6.4.0 können Sie die Dienste auf dieser Seite exportieren oder kopieren, indem Sie unten rechts auf der Seite „Netzwerk-Introspektionsdienste“ auf das Symbol klicken.
Hinweis: In den Richtlinien für Service Composer verwendete manuell erstellte Bindungen für die Dienstprofile werden überschrieben.
- Klicken Sie auf Beenden (Finish).
Die Sicherheitsrichtlinie wird der Richtlinientabelle hinzugefügt. Durch Klicken auf den Namen der Richtlinie und Auswahl der entsprechenden Registerkarte können Sie eine Übersicht der der Richtlinie zugeordneten Dienste anzeigen, Dienstfehler anzeigen oder einen Dienst bearbeiten.
Nächste Maßnahme
Weisen Sie die Sicherheitsrichtlinie einer Sicherheitsgruppe zu.