Sie können in der Firewalltabelle Abschnitte hinzufügen, um Ihre Regeln zu organisieren oder um einen globalen Abschnitt zur Verwendung in Cross-vCenter NSX-Umgebungen zu erstellen.

Voraussetzungen

Legen Sie den entsprechenden NSX Manager fest, bei dem Sie Änderungen durchführen möchten.
  • In einer eigenständigen oder einzelnen vCenter NSX-Umgebung gibt es nur einen NSX Manager, sodass Sie keinen auswählen müssen.
  • Universelle Objekte müssen vom primären NSX Manager verwaltet werden.
  • Lokale Objekte einer NSX Manager-Instanz müssen von diesem NSX Manager aus verwaltet werden.
  • In einer Cross-vCenter NSX-Umgebung, in der der erweiterte verknüpfte Modus nicht aktiviert ist, müssen Sie Konfigurationsänderungen von der vCenter-Instanz aus vornehmen, die mit dem NSX Manager verknüpft ist, den Sie ändern möchten.
  • In einer Cross-vCenter NSX-Umgebung im erweiterten verknüpften Modus können Sie Konfigurationsänderungen an beliebigen NSX Manager-Instanzen von jeder verknüpften vCenter-Instanz aus vornehmen. Wählen Sie den geeigneten NSX Manager aus dem Dropdown-Menü „NSX Manager“ aus.

Prozedur

  1. Navigieren Sie im vSphere Web Clientzu Netzwerk und Sicherheit (Networking & Security) > Sicherheit (Security) > Firewall.
  2. Sofern mehr als ein NSX Manager verfügbar ist, wählen Sie einen aus. Sie müssen zum Hinzufügen eines universellen Abschnitts den primären NSX Manager auswählen.
  3. Stellen Sie sicher, dass Sie sich auf der Registerkarte Konfiguration (Configuration) > Allgemein (General) befinden, um einen Abschnitt für L3, L4 oder L7-Regeln hinzuzufügen. Klicken Sie auf die Registerkarte Ethernet, um einen Abschnitt für L2-Regeln hinzuzufügen.
  4. Klicken Sie auf Abschnitt hinzufügen (Add Section) (Symbol „Abschnitt hinzufügen“ oder Symbol „Abschnitt hinzufügen“).
  5. Geben Sie einen Namen für den Abschnitt ein. Abschnittsnamen müssen in NSX Manager eindeutig sein.
  6. (Optional) In einer Cross-vCenter NSX-Umgebung können Sie den Abschnitt als globalen Firewallregelabschnitt konfigurieren.
    • Klicken Sie in NSX 6.4.1 und höher auf die Schaltfläche Globale Synchronisierung (Universal Synchronization).
    • Wählen Sie in NSX 6.4.0 Diesen Abschnitt für globale Synchronisierung markieren (Mark this section for Universal Synchronization) aus.
  7. (Optional) Konfigurieren Sie Firewallregeleigenschaften für den Firewallabschnitt, indem Sie die entsprechenden Kontrollkästchen aktivieren.
    Eigenschaften des Firewallregelabschnitts Beschreibung
    Benutzeridentität an der Quelle aktivieren (Enable User Identity at Source)

    Wenn Sie eine identitätsbasierte Firewall für RDSH verwenden, muss die Einstellung Benutzeridentität an der Quelle aktivieren aktiviert sein. Beachten Sie, dass damit die Option der zustandslosen Firewall deaktiviert wird, da der Zustand der TCP-Verbindung zum Identifizieren des Kontexts nachverfolgt wird.

    Striktes TCP aktivieren (Enable TCP Strict) „Striktes TCP“ legt fest, ob eine hergestellte TCP-Verbindung verworfen werden soll, wenn die Firewall den ersten Dreiwege-Handshake nicht erkennt. Falls „true“ festgelegt wird, wird die Verbindung getrennt.
    Zustandslose Firewall aktivieren (Enable Stateless Firewall) Sie können für den Firewallabschnitt „Zustandslose Firewall“ aktivieren.
  8. Klicken Sie auf OK und anschließend auf Änderungen veröffentlichen (Publish Changes).

Nächste Maßnahme

Fügen Sie Regeln zum Abschnitt hinzu. Weitere Informationen dazu finden Sie unter Hinzufügen einer Firewallregel.