Eine kontextbezogene Firewall eignet sich speziell für OST-WEST-Anwendungsfälle und nicht für allgemeine Web-Browsing-Fälle. Anwendungen können auf bestimmte, in Datencentern eingesetzte Anwendungen wie SSH, FTP, TFTP, SQL, DNS, PCoIP usw. begrenzt werden.

Im Folgenden sind einige Anwendungsfälle für eine kontextbezogene Firewall aufgeführt:

  • Anwendungsfall 1: Daniel, der IT-Leiter eines Teams, weist seinen NSX-Administrator an, den GESAMTEN HTTP-Datenverkehr für eine bestimmte virtuelle Maschine zu beschränken. Daniel möchte diesen Datenverkehr beschränken, unabhängig von dem jeweiligen Port, aus dem dieser stammt.
  • Anwendungsbeispiel 2: Robert, der IT-Leiter eines Teams, möchte den HTTP-Datenverkehr zu einer bestimmten virtuellen Maschine beschränken, unter der Bedingung, dass der Datenverkehr nicht vom TCP-Port 8080 stammt.
  • Anwendungsbeispiel 3: Es wurde eine kontextbezogene Firewall eingerichtet, die nun auf identitätsbasierte Anmeldungen ausgeweitet werden kann. So kann beispielsweise ein Active Directory-Benutzer, wenn er bei seinem virtuellen Desktop angemeldet ist, nur auf HTTP-Anforderungen über den Port 8080 zugreifen. Ein Manager möchte, dass sein Mitarbeiter Peter nur über den Port 8080 auf HTTP zugreifen kann – und auch nur dann, wenn Peter bei Active Directory angemeldet ist.

Szenario 1: Webdatenverkehr auf einem bestimmten Port zulassen

Sie möchten den Webdatenverkehr nur für Port 80 zulassen.

Führen Sie die folgenden Schritte aus, um eine kontextbezogene Firewallregel zu erstellen:

  1. Fügen Sie einen neuen Firewallregelabschnitt hinzu, falls erforderlich.
  2. Erstellen Sie eine Firewallregel, z. B. HTTP zu Webserver.
  3. Wählen Sie den gewünschten Webserver als Ziel (Destination) aus.
  4. Erstellen Sie einen Dienst zur Anwendungsidentifikation mit den folgenden Parametern:
    Parameter Option
    Schicht Schicht 7
    App-ID HTTP
    Protokoll TCP
    Zielport 80
  5. Ändern Sie die standardmäßige Firewallregel auf Blockieren (Block).
  6. Veröffentlichen Sie die Änderungen.

Mit der kontextbezogenen Firewallregel wird als einziger Datenverkehr der Web-Datenverkehr auf Port 80 zugelassen.

Szenario 2: SSH-Datenverkehr auf jedem Port zulassen

Sie möchten SSH-Datenverkehr für jeden beliebigen Port zulassen.

Führen Sie die folgenden Schritte aus, um eine kontextspezifische Firewallregel erstellen:

  1. Fügen Sie einen neuen Firewallregelabschnitt hinzu, falls erforderlich.
  2. Erstellen Sie eine Firewallregel, beispielsweise SSH zu SSH-Server.
  3. Wählen Sie den erforderlichen SSH-Server als Ziel (Destination)aus.
  4. Erstellen Sie einen Dienst zur Anwendungsidentifikation mit den folgenden Parametern:
    Parameter Option
    Schicht Schicht 7
    App-ID SSH
    Protokoll TCP
    Zielport Lassen Sie das Textfeld leer.
  5. Ändern Sie die standardmäßige Firewallregel auf Blockieren (Block).
  6. Veröffentlichen Sie die Änderungen.

Mit der kontextbezogenen Firewallregel wird nur SSH-Datenverkehr auf den einzelnen Ports als zulässiger Datenverkehr erlaubt.

Beispiel

Detaillierte Schritte zum Erstellen einer kontextbezogenen Firewallregel mithilfe von vSphere Web Client finden Sie unter Beispiel: Erstellen einer kontextbezogenen Firewallregel.