Sie können benutzerdefinierte Edge-Firewallregeln auf den NSX Edge-Dienst-Gateways hinzufügen, um bestimmte Datenverkehrstypen zu akzeptieren, abzulehnen oder zu verweigern. Sie können jedoch keine benutzerdefinierten Firewallregeln auf einem Distributed Logical Router hinzufügen.

Die Edge-Firewall-Benutzeroberfläche bietet die folgenden Methoden zum Hinzufügen einer Edge-Firewall-Regel:
  • Hinzufügen einer Regel oberhalb oder unterhalb einer vorhandenen Regel in der Firewall-Tabelle.
  • Hinzufügen einer Regel durch Kopieren einer vorhandenen Regel.
  • Hinzufügen einer Regel über das Symbol Hinzufügen.
Nicht vergessen: Wenn Sie verteilte Firewall-Regeln erstellt und auf das Edge angewendet haben, werden diese Firewallregeln in einem Nur-Lesen-Modus in der Edge-Firewall-Benutzeroberfläche angezeigt. Die Edge-Firewallregeln, die Sie über die Edge-Firewall-Benutzeroberfläche erstellen, werden jedoch nicht in der Firewall-Benutzeroberfläche angezeigt, über die Sie die verteilten Firewall-Regeln erstellt haben ( Netzwerk und Sicherheit > Sicherheit > Firewall).

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Netzwerk und Sicherheit (Networking & Security) > NSX Edges.
  3. Doppelklicken Sie auf eine NSX Edge-Instanz.
  4. Klicken Sie auf Verwalten > Firewall.
  5. Verwenden Sie eine der folgenden drei Methoden, um den Vorgang zum Hinzufügen einer Edge-Firewall-Regel zu starten.
    Methode Nr. 1: Hinzufügen einer Regel oberhalb oder unterhalb einer vorhandenen Regel in der Firewall-Tabelle.

    NSX legt die Spalten „Quelle“, „Ziel“ und „Dienst“ der neu hinzugefügten Regel als „Alle“ fest. Wenn die Firewalltabelle nur die systemgenerierte Standardregel enthält, wird die neue Regel über der Standardregel eingefügt. Diese neue Regel ist standardmäßig aktiviert.

    NSX-Version Schritte
    6.4.6 und höher
    1. Wählen Sie die gewünschte Regel aus.
    2. Klicken Sie auf das Menü Aktionen und wählen Sie Oben hinzufügen (Add Above) oder Unten hinzufügen (Add Below) aus.
    6.4.5 und früher
    1. Wählen Sie die gewünschte Regel aus.
    2. Klicken Sie in der Spalte „Nr.“ auf Hinzufügen und wählen Sie dann Oben hinzufügen oder Unten hinzufügen aus.
    Methode Nr. 2: Hinzufügen einer Regel durch Kopieren einer vorhandenen Regel.

    In NSX 6.4.5 und früher können Sie eine Regel erstellen, indem Sie eine einzelne andere Regel kopieren. Ab NSX 6.4.6 können Sie mehrere Regeln auswählen, die gleichzeitig kopiert werden sollen. Die kopierten Regeln sind standardmäßig aktiviert, und Sie können die Regeleigenschaften nach Bedarf bearbeiten.

    Hinweis: Wenn Sie vom System generierte „interne“ Regeln und die „Standardregel“ kopieren und einfügen, wird den neu erstellten Regeln automatisch der Regeltyp „Benutzer“ zugewiesen.
    NSX-Version Schritte
    6.4.6 und höher
    1. Aktivieren Sie das Kontrollkästchen neben den Regeln, die Sie kopieren möchten.
    2. Klicken Sie auf Mehr > Ausgewählte Regel(n) kopieren.
    3. Wählen Sie die Regel aus, in die die kopierten Regeln eingefügt werden sollen.
    4. Klicken Sie auf das Menü Aktionen und wählen Sie Regel(n) oberhalb einfügen oder Regel(n) unterhalb einfügen aus.
    6.4.5 und früher
    1. Wählen Sie die gewünschte Regel aus.
    2. Klicken Sie auf das Symbol „Kopieren“ (Kopieren) oder auf Hinzufügen und wählen Sie dannKopieren aus.
    3. Wählen Sie eine Regel aus, in die die kopierte Regel eingefügt werden soll.
    4. Klicken Sie in der Spalte „Nr.“ Klicken Sie auf Hinzufügen und wählen Sie Oben einfügen oder Unten einfügen aus.
    Methode 3: Fügen Sie eine Regel hinzu, indem Sie auf das Symbol Hinzufügen ( Hinzufügen oder Hinzufügen) klicken.

    In der Firewall-Tabelle wird eine neue Zeile hinzugefügt. NSX legt die Spalten „Quelle“, „Ziel“ und „Dienst“ der neu hinzugefügten Regel als „Alle“ fest. Wenn die Firewalltabelle nur die systemgenerierte Standardregel enthält, wird die neue Regel über der Standardregel eingefügt. Diese neue Regel ist standardmäßig aktiviert.

  6. (Optional) Geben Sie einen Regelnamen an.
    • Klicken Sie in NSX 6.4.6 und höher auf die Spalte Name der neuen Regel und geben Sie einen Regelnamen ein.
    • Fahren Sie in NSX 6.4.5 und früher mit der Maustaste über die Spalte Name der neuen Regel und klicken Sie auf Bearbeiten. Geben Sie einen Regelnamen ein und klicken Sie auf OK.
  7. (Optional) Legen Sie die Quelle der Firewall-Regel fest.
    Sie können IP-Adressen, vCenter-Objekte und Gruppierungs-Objekte als Quelle festlegen. Wenn keine Quelle hinzugefügt wird, wird die Quelle auf „Alle“ festgelegt. Sie können mehrere NSX Edge-Schnittstellen und IP-Adressgruppen als Quelle für Firewallregeln hinzufügen.

    Sie können entscheiden, ob Sie einen neuen IP-Set oder eine neue Sicherheitsgruppe erstellen möchten. Nachdem der IP-Set oder die Sicherheitsgruppe erstellt wurde, wird er/sie automatisch in der Spalte Quelle der Regel hinzugefügt.

    1. Wählen Sie ein oder mehrere Objekte aus, die als Quellen in der Firewallregel verwendet werden sollen.
      NSX-Version Schritte
      6.4.6 und höher
      So wählen Sie Objekte aus:
      1. Fahren Sie mit dem Mauszeiger über die Spalte Quelle der neuen Regel und klicken Sie auf Bearbeiten.
      2. Wählen Sie auf der Registerkarte Objekte einen Objekttyp aus dem Dropdown-Menü Objekttyp aus.
      3. Wählen Sie die Objekte aus der Liste Verfügbare Objekte aus und verschieben Sie sie in die Liste Ausgewählte Objekte.
      6.4.5 und früher
      So wählen Sie Objekte aus:
      1. Fahren Sie mit dem Mauszeiger über die Spalte Quelle (Source) der neuen Regel und klicken Sie auf Bearbeiten.
      2. Wählen Sie im Dropdown-Menü Objekttyp einen Objekttyp aus.
      3. Wählen Sie die Objekte aus der Liste Verfügbare Objekte aus und verschieben Sie sie in die Liste Ausgewählte Objekte.
      In den folgenden beiden Situationen können Sie beispielsweise den Objekttyp „vNIC-Gruppe“ als Quelle verwenden:
      Wählen Sie den gesamten vom NSX Edge generierten Datenverkehr aus.
      Wählen Sie in dieser Situation vNIC-Gruppe aus dem Dropdown-Menü Objekttyp aus und wählen Sie in der Liste Verfügbare Objekte die Option vse aus.
      Wählen Sie den gesamten Datenverkehr aus, der von einer internen oder (externen) Uplink-Schnittstelle des ausgewählten NSX Edge stammt.
      Wählen Sie in dieser Situation vNIC-Gruppe aus dem Dropdown-Menü Objekttyp aus und wählen Sie in der Liste Verfügbare Objekte entweder intern oder extern aus.

      Die Regel wird automatisch aktualisiert, wenn Sie weitere Schnittstellen auf dem Edge konfigurieren.

      Nicht vergessen: In internen Schnittstellen definierte Firewallregeln können nicht für einen Distributed Logical Router verwendet werden.
    2. Geben Sie die IP-Adresse ein, die als Quelle für die Firewallregel verwendet werden soll.
      Sie können über eine mit Kommas getrennte Liste mehrere IP-Adressen eingeben oder einen IP-Adressbereich eingeben. Sowohl IPv4- als auch IPv6-Adressen werden unterstützt.
      • Klicken Sie in NSX 6.4.6 und höher auf Bearbeiten. Klicken Sie auf die Registerkarte IP-Adressen und dann auf Hinzufügen, um die IP-Adressen einzugeben.
      • Klicken Sie in NSX 6.4.5 und früher auf IP-Adressen und geben Sie die IP-Adressen ein.
    3. (Optional) Negieren Sie die in Ihrer Firewallregel definierten Quellen.
      • Wenn die Option Quelle ablehnen aktiviert oder ausgewählt ist, gilt die Regel für Datenverkehr aus allen Quellen außer den in dieser Regel definierten Quellen.
      • Wenn die Option Quelle ablehnen deaktiviert oder nicht ausgewählt ist, gilt die Regel für Datenverkehr aus den in dieser Regel definierten Quellen.
  8. (Optional) Legen Sie das Ziel für die Firewallregel fest.
    Sie können IP-Adressen, vCenter-Objekte und Gruppierungs-Objekte als Ziel festlegen. Wenn kein Ziel hinzugefügt wird, wird das Ziel auf „Alle“ festgelegt. Sie können mehrere NSX Edge-Schnittstellen und IP-Adressgruppen als Ziel für Firewallregeln hinzufügen.

    Das Verfahren zum Hinzufügen von Objekten und IP-Adressen im Regelziel bleibt unverändert, wie in den Teilschritten zum Hinzufügen der Regelquelle erläutert.

    Tipp: Ab NSX 6.4.6 können Sie Objekte und IP-Adressen aus der Spalte Quelle in die Spalte Ziel ziehen und umgekehrt. Darüber hinaus können Sie Objekte und IP-Adressen aus einer Regel in eine andere Regel ziehen.
  9. (Optional) Legen Sie den Dienst zur Verwendung in der Firewallregel aus.
    1. Fügen Sie einen oder mehrere Dienste oder Dienstgruppen in der Firewallregel hinzu.
      Sie können entweder einen vordefinierten Dienst oder eine Dienstgruppe in der Regel hinzufügen oder einen neuen Dienst oder eine Dienstgruppe erstellen, die in der Regel verwendet werden soll. NSX Edge unterstützt Dienste, die nur mit L3-Protokollen definiert sind.
      NSX-Version Schritte
      6.4.6 und höher
      1. Zeigen Sie auf die Spalte Dienst der neuen Regel und klicken Sie auf Bearbeiten.
      2. Wählen Sie in der Registerkarte Dienst/Dienstgruppen entweder einen Dienst oder eine Dienstgruppe aus dem Dropdown-Menü Objekttyp aus.
      3. Wählen Sie die Objekte aus der Liste Verfügbare Objekte aus und verschieben Sie sie in die Liste Ausgewählte Objekte.
      6.4.5 und früher
      1. Zeigen Sie auf die Spalte Dienst der neuen Regel und klicken Sie auf Bearbeiten.
      2. Wählen Sie im Dropdown-Menü Objekttyp einen Dienst oder eine Dienstgruppe aus.
      3. Wählen Sie die Objekte aus der Liste Verfügbare Objekte aus und verschieben Sie sie in die Liste Ausgewählte Objekte.
      Tipp: In NSX 6.4.6 und höher können Sie Dienst- und Dienstgruppen-Objekte aus einer benutzerdefinierten Regel in eine andere benutzerdefinierte Regel ziehen.
    2. Fügen Sie in der Firewallregel einen oder mehrere Dienste als Port-Protokoll-Kombination hinzu.
      Einschränkung: Das SCTP-Protokoll (Stream Control Transmission Protocol) wird auf einer Edge-Firewall nicht unterstützt.
      NSX-Version Schritte
      6.4.6 und höher
      1. Zeigen Sie auf die Spalte Dienst der neuen Regel und klicken Sie auf Bearbeiten.
      2. Klicken Sie auf die Registerkarte RAW-Port-Protokoll und anschließend auf Hinzufügen.
      3. Wählen Sie ein Protokoll aus.
      4. Geben Sie in der Spalte Quellport die Portnummern ein.
      6.4.5 und früher
      1. Zeigen Sie auf die Spalte Dienst der neuen Regel und klicken Sie auf Bearbeiten.
      2. Wählen Sie ein Protokoll aus.
      3. Erweitern Sie Erweiterte Optionen und geben Sie die Quellportnummern ein.
  10. Geben Sie die Regelaktion an.
    • Wählen Sie in NSX 6.4.6 und höher eine Aktion aus dem Dropdown-Menü aus.
    • Zeigen Sie in NSX 6.4.5 und älter auf die Spalte Aktion (Action) der neuen Regel und klicken Sie auf Bearbeiten. Wählen Sie eine Aktion aus und klicken Sie auf OK.
    In der folgenden Tabelle sind die Regelaktionen erläutert.
    Aktion Beschreibung
    Akzeptieren oder zulassen Lässt Datenverkehr zwischen den angegebenen Quellen, Zielen und Diensten zu. Standardmäßig ist die Aktion auf „Datenverkehr akzeptieren“ festgelegt.
    Verweigern oder blockieren Blockiert Datenverkehr zwischen den angegebenen Quellen, Zielen und Diensten.
    Ablehnen Versendet Ablehnungsmeldungen für nicht angenommene Pakete.
    • RST-Pakete werden für TCP-Verbindungen versendet.
    • ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet.
  11. (Optional) Geben Sie an, ob Sitzungen, die mit dieser neuen Firewallregel übereinstimmen, protokolliert werden müssen.
    Standardmäßig ist die Protokollierung für die Regel deaktiviert. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.
    • Klicken Sie in NSX 6.4.6 und höher auf den Schalter in der Spalte Protokoll, um die Protokollierung zu aktivieren.
    • Fahren Sie in NSX 6.4.5 und früher mit dem Mauszeiger über die Spalte Aktion der neuen Regel und klicken Sie auf Bearbeiten. Wählen Sie Protokollieren oder Nicht protokollieren aus.
  12. (Optional) Legen Sie die erweiterten Einstellungen für die Firewallregel fest.
    • Klicken Sie in NSX 6.4.6 und höher auf das Symbol Erweiterte Einstellungen (Erweiterte Einstellungen).
    • Fahren Sie in NSX 6.4.5 und früher mit dem Mauszeiger über die Spalte Aktion der neuen Regel und klicken Sie auf Bearbeiten. Erweitern Sie die Optionen unter Erweitert.
    In der folgenden Tabelle sind die erweiterten Optionen erläutert.
    Option Beschreibung
    Richtung Wählen Sie aus, ob die Regel für eingehenden oder ausgehenden Datenverkehr oder beides angewendet werden soll. Der Standardwert ist „Ein-/Ausgehend“, was bedeutet, dass die Regel symmetrisch über Quelle und Ziel hinweg angewendet wird.

    VMware rät davon ab, die Richtung der Firewallregeln anzugeben, da die Richtung „Eingehend“ oder „Ausgehend“ dazu führen kann, dass die Regeln asymmetrisch werden.

    Angenommen, Sie haben eine Firewallregel erstellt, um den Datenverkehr von Quelle A zu Ziel B „zuzulassen“, und die Regelrichtung ist auf „ausgehend“ festgelegt.
    • Wenn A ein Paket an B sendet, wird ein Status basierend auf dieser Regel auf A erstellt, da die Richtung des Datenverkehrs für A „ausgehend“ ist.
    • Wenn das Paket auf B empfangen wird, lautet die tatsächliche Datenverkehrsrichtung „Eingehend“. Da die Regelrichtung so festgelegt ist, dass nur „ausgehender Datenverkehr“ zugelassen wird, wird die Regel an Ziel B nicht auf dieses Paket angewendet.
    Dieses Beispiel zeigt, dass das Festlegen der Richtung „Ausgehend“ für die Regel dazu führt, dass die Regel asymmetrisch wird.
    Abgleich mit Verwenden Sie diese Option, um anzugeben, wann die Firewallregel angewendet werden soll.
    • Wählen Sie Original aus, wenn die Regel auf die ursprüngliche IP-Adresse und die ursprünglichen Dienste angewendet werden soll, bevor eine Netzwerkadressübersetzung durchgeführt wird.
    • Wählen Sie Übersetzt aus, wenn die Regel auf übersetzte IP-Adresse und Dienste angewendet werden soll, nachdem eine Netzwerkadressübersetzung durchgeführt wurde.
  13. Klicken Sie auf Änderungen veröffentlichen (Publish Changes), um die neue Regel für NSX Edgezu veröffentlichen.

Beispiel: Beispiel-Firewallregeln

Abbildung 1. Firewallregel für den Datenverkehr von einer NSX Edge-Schnittstelle zu einem HTTP-Server
Regelquelle ist die vNIC-Schnittstelle eines NSX Edge. Regelziel ist eine HTTP-Servergruppe. Dienst ist TCP-Port 8080.
Abbildung 2. Firewallregel für den ausgehenden Datenverkehr aller internen Schnittstellen (Subnetze auf mit internen Schnittstellen verbundenen Portgruppen) einer NSX Edge-Instanz zu einem HTTP-Server
Regelquelle sind alle internen Schnittstellen eines NSX Edge. Regelziel ist eine HTTP-Servergruppe. Dienst ist TCP-Port 8080.
Abbildung 3. Firewallregel für den Datenverkehr, die SSH in einen Computer in einem internen Netzwerk zulässt
Regelquelle ist beliebig. Regelziel ist eine VM in einem internen Netzwerk. Dienst ist TCP-Port 22.

Nächste Maßnahme

Während der Arbeit mit Edge-Firewallregeln können Sie mehrere zusätzliche Aufgaben in der Firewall-Tabelle durchführen. Beispiel:
  • Filtern Sie die Liste der Regeln in der Tabelle, indem Sie die vom System generierten standardmäßigen und internen Regeln ausblenden oder die vordefinierten Regeln für die verteilte Firewall ausblenden, die auf das Edge angewendet wurden.
  • Suchen Sie Regeln, die mit einer bestimmten Zeichenfolge übereinstimmen, indem Sie das Textfeld Suche verwenden. Wenn Sie beispielsweise alle Regeln durchsuchen möchten, die die Zeichenfolge „133“ enthalten, geben Sie 133 in das Textfeld Suche ein.
  • Anzeigen der Statistik für die veröffentlichten Regeln.
    • Klicken Sie in NSX 6.4.6 und höher auf das Symbol Statistiken (Regelstatistiken).
    • Stellen Sie in NSX 6.4.5 und früher sicher, dass die Spalte Statistik in der Firewall-Tabelle angezeigt wird. Wenn die Spalte Statistik nicht angezeigt wird, klicken Sie auf Spalten auswählen und wählen Sie die Spalte Statistik aus. Um die Regelstatistik anzuzeigen, klicken Sie auf Regelstatistik.
  • Ändern Sie die Reihenfolge der benutzerdefinierten Regeln, indem Sie auf das Symbol Nach oben (Regel nach oben verschieben oder Regel nach oben verschieben) oder Nach unten (Regel nach unten verschieben oder Regel nach unten verschieben) klicken. In NSX 6.4.6 und höher können Sie benutzerdefinierte Regeln ziehen, um die Reihenfolge zu ändern. Fahren Sie mit dem Mauszeiger über die benutzerdefinierte Regel, die Sie ziehen möchten. Ein Symbol für den Ziehpunkt (Regel ziehen) wird links neben der Regel angezeigt. Klicken Sie auf diesen Handle und ziehen Sie ihn, um die Regel an eine zulässige Position in der Firewall-Tabelle zu verschieben.
    Wichtig: Sie können die Reihenfolge weder für automatisch generierte Regeln noch für die Standardregel ändern.
  • Deaktivieren einer Regel.
    • Klicken Sie in NSX 6.4.6 und höher auf den Schalter links neben dem Regelnamen.
    • Klicken Sie in NSX 6.4.5 und früher auf Deaktivieren in der Spalte Nr. (No.).
  • Rückgängig machen und erneutes Anwenden von Regeländerungen bis zur Veröffentlichung der Regel. Diese Funktion ist in NSX 6.4.6 und höheren Versionen verfügbar. Nachdem die Regel veröffentlicht wurde, geht der Verlauf der Regeländerungen verloren und Sie können die Änderungen nicht rückgängig machen oder wiederherstellen.