Nach der Erfassung einer Flow-Überwachungssitzung werden die Ergebnisse analysiert. Diese können für die Gruppierung von Objekten und Firewallregeln gefiltert werden. ARM empfiehlt automatisch Firewall-Regeln und Sicherheitsgruppen, die auf analysierten Flows basieren.

Die analysierten Flows lassen sich zur Reduzierung der Anzahl der Flows in einem Arbeits-Set filtern. Das Symbol für die Filteroption befindet sich auf der rechten Seite neben dem Dropdown-Menü „Verarbeitete Ansicht“.

Voraussetzungen

Damit eine Analyse durchgeführt werden kann, muss eine Flow-Überwachungssitzung aus ausgewählten vNICs oder VMs erfasst werden.

Prozedur

  1. Nach der Erfassung der Flows klicken Sie auf Analysieren (Analyze).
    Die definierten Dienste werden aufgelöst, die Übersetzung der IP-Adresse in die VM startet und Duplikate werden entfernt.
  2. Nach dem Abschluss der Analyse werden die folgenden Daten zu den Flows angezeigt:
    Feld Optionen
    Richtung

    Eingehend – Der Flow fließt in eine VM und vNIC, die als Teil der Eingabe ausgewählt wurden.

    Ausgehend – Der Flow wird generiert von einer VM und vNIC, die als Teil der Eingabe ausgewählt wurden.

    INTRA – Der Flow fließt zwischen der VM und vNIC, die als Teil der Eingabe ausgewählt wurden.

    Quelle

    VM-Name, wenn die Quell-IP-Adresse des Flow-Datensatzes in eine VM im NSX-Bestand aufgelöst wurde. Beachten Sie, dass die IP-Adresse nur in VMs aufgelöst werden kann, wenn VM Tools auf diesen VMs aktiviert sind.

    RAW-IP, wenn für diese Quell-IP-Adresse keine VM im NSX-Bestand vorhanden ist. Beachten Sie, dass Multicast- und Broadcast-IP-Adressen nicht in VMs aufgelöst werden.

    Anzahl der VMs (z. B. 2 virtuelle Maschinen), wenn es sich um eine überlappende IP-Adresse handelt, die mehreren VMs in unterschiedlichen Netzwerken zugeordnet ist. Der Benutzer muss virtuelle Maschinen in die korrekte virtuelle Maschine auflösen, die zu diesem Flow-Datensatz gehört.

    Ziel Identische Werte wie im Feld „Quelle“.
    Dienst

    NSX-definierter Dienst für Protokoll/Port.

    RAW-Protokoll/Port, wenn im NSX Manager kein definierter Dienst vorhanden ist.

    Anzahl der Dienste. Wenn einem Protokoll/Port mehrere Dienste zugeordnet sind, muss der Benutzer diese in einen Dienst auflösen, der für den Flow-Datensatz angewendet werden kann.

  3. Wählen Sie die Registerkarte Firewallregeln (Firewall Rules) aus, um die automatisch empfohlenen, von ARM gruppierten Workflows und die erstellten Richtlinien sowie die basierend auf den ausgewählten Flows ausgewählten Firewall-Regeln anzuzeigen. Benutzer können die empfohlenen Regeln bearbeiten, um sie intuitiver zu gestalten. Dies gilt insbesondere für die Benennung der Gruppen und Regeln.
    Nach der Flow-Analyse empfiehlt ARM automatisch Folgendes:
    • Gruppierung und IP Set-Empfehlungen der Workflows basierend auf Flow-Muster und Diensten. Bei einer Anwendung mit 3 Ebenen bekämen Sie als Ergebnis beispielsweise vier empfohlene Sicherheitsgruppen – eine Gruppe für jede Ebene der Anwendung sowie eine für alle VMs in der Anwendung. ARM empfiehlt außerdem IP Sets für Ziele basierend auf Diensten, die von Anwendungs-VMs wie z. B. DNS/NTP-Server verwendet werden, wenn sich die Ziel-IPs außerhalb der vCenter-Domäne befinden.
    • Sicherheitsgruppen-Empfehlung basierend auf analysierten Flow-Daten. Bei einer Anwendung mit 3 Ebenen bekämen Sie als Ergebnis möglicherweise vier Regeln mit LB zu WEB auf https, WEB zu APP auf https, APP zu DB auf MYSQL sowie einer allgemeinen Regel für Infra-Dienste, beispielsweise DNS.
    • Identifizieren Sie den Anwendungskontext (Schicht 7) für den Flow zwischen Anwendungsebenen. Beispielsweise eine unabhängig von den verwendeten TCP/UDP-Ports und der für https verwendeten TLS-Version ausgeführte L7-Anwendung.
  4. Klicken Sie auf Veröffentlichen (Publish), um die Richtlinie für die jeweilige Anwendung als Abschnitt in der Tabelle der Firewall-Regeln zu veröffentlichen. Oder bearbeiten Sie die Regeln nach Bedarf. Beachten Sie, dass die empfohlene Firewall-Regel den Umfang der Erzwingung (Angewendet auf) auf mit der Anwendung verbundene VMs beschränkt. Geben Sie den Namen des Firewallregelabschnitts ein und klicken Sie auf das Kontrollkästchen, um die folgenden optionalen Parameter zu aktivieren:
    Option Beschreibung
    Striktes TCP aktivieren Ermöglicht es Ihnen, striktes TCP für jeden Firewallabschnitt festzulegen.
    Zustandslose Firewall aktivieren Aktiviert für jeden Firewallabschnitt eine zustandslose Firewall.