Eine Firewall ist ein Netzwerksicherheitssystem, das den eingehenden und ausgehenden Datenverkehr des Netzwerks auf der Grundlage vordefinierter Firewallregeln überwacht und kontrolliert.

Firewallregeln werden dem NSX Manager-Bereich hinzugefügt. Wenn Sie das Feld „Angewendet auf“ verwenden, können Sie den Geltungsbereich einschränken, in dem Sie die Regel anwenden möchten. Sie können mehrere Objekte auf Quell- und Zielebene für jede Regel hinzufügen, um so die Gesamtzahl der zu erstellenden Firewallregeln zu verringern.
Hinweis: Standardmäßig gilt eine Regel für den Standard jedes Quell-, Ziel- und Dienstregelelements sowie für alle Schnittstellen und Datenverkehrsrichtungen. Wenn Sie die Gültigkeit der Regel auf bestimmte Schnittstellen sowie Datenverkehrsrichtungen beschränken möchten, müssen Sie dies in der Regel entsprechend festlegen.

Voraussetzungen

Um eine Gruppe von Adressen verwenden zu können, müssen Sie zuerst manuell die IP- und MAC-Adresse jeder VM ihrem logischen Switch zuordnen.

Prozedur

  1. Wählen Sie im Navigationsbereich Sicherheit > Verteilte Firewall.
  2. Klicken Sie auf die Registerkarte Allgemein für L3-Regeln oder auf die Registerkarte Ethernet für L2-Regeln.
  3. Klicken Sie auf einen vorhandenen Abschnitt oder eine vorhandene Regel.
  4. Klicken Sie auf das Menüsymbol in der ersten Spalte einer Regel und wählen Sie Regel oberhalb hinzufügen oder Regel unterhalb hinzufügen aus.
    Eine neue Zeile zur Definition einer Firewallregel wird angezeigt.
    Hinweis: Für jeden Datenverkehr, der die Firewall passieren soll, müssen die Paketinformationen den Regeln in der Reihenfolge genügen, wie Sie in der Regeltabelle angegeben werden. Die Überprüfung beginnt mit den Regeln an oberster Stelle und wird bis zu den Standardregeln unten fortgesetzt. In einigen Fällen kann die Rangfolge von zwei oder mehr Regeln für die Bestimmung der Disposition eines Pakets wichtig sein.
  5. Geben Sie in der Spalte Name den Namen der Regel ein.
  6. Klicken Sie in der Spalte Quelle auf das Symbol „Bearbeiten“ und wählen Sie die Quelle der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Quellen.
    Option Beschreibung
    IP-Adressen Geben Sie mehrere IP- oder MAC-Adressen durch Kommas getrennt ein. Die Liste kann bis zu 255 Zeichen lang sein. Es wird sowohl das IPv4- als auch das IPv6-Format unterstützt.
    Containerobjekte Die verfügbaren Objekte sind IP Set, Logischer Port, Logischer Switch und NS-Gruppe. Wählen Sie die Objekte aus und klicken Sie auf OK.
  7. Klicken Sie in der Spalte Ziel auf das Symbol „Bearbeiten“ und wählen Sie das Ziel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele.
    Option Beschreibung
    IP-Adressen Sie können mehrere IP- oder MAC-Adressen in einer kommagetrennten Liste eingeben. Die Liste kann bis zu 255 Zeichen lang sein. Es wird sowohl das IPv4- als auch das IPv6-Format unterstützt.
    Containerobjekte Die verfügbaren Objekte sind IP Set, Logischer Port, Logischer Switch und NS-Gruppe. Wählen Sie die Objekte aus und klicken Sie auf OK.
  8. Klicken Sie in der Spalte Dienst auf das Symbol „Bearbeiten“ und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste.
  9. Um einen vordefinierten Dienst auszuwählen, wählen Sie einen oder mehrere der verfügbaren Dienste aus.
  10. Um einen neuen Dienst zu definieren, klicken Sie auf die Registerkarte Raw-Port-Protokoll und anschließend auf Hinzufügen.
    Option Beschreibung
    Diensttyp
    • ALG
    • ICMP
    • IGMP
    • IP
    • L4-Port-Satz
    Protokoll Wählen Sie eines der verfügbaren Protokolle aus.
    Quellports Geben Sie den Quellport ein.
    Zielports Wählen Sie den Zielport aus.
  11. Klicken Sie in der Spalte Angewendet auf auf das Symbol „Bearbeiten“ und wählen Sie Objekte aus.
  12. Wählen Sie in der Spalte Protokoll die gewünschte Protokollierungsoption aus.
    Die Protokolldaten werden in der Datei /var/log/dfwpktlogs.log auf ESXI- und KVM-Hosts gespeichert. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.
  13. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten L3- oder L2-Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontextes. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.
    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Das Ablehnen eines Pakets ist der elegantere Weg, um das Senden eines Pakets zu verweigern. Dabei wird an den Sender eine Meldung übermittelt, dass das Ziel nicht erreichbar ist. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die Methode des Ablehnens hat den Vorteil, dass die sendende Anwendung bereits nach einem Versuch benachrichtigt wird, dass die Verbindung nicht aufgebaut werden kann.
  14. Klicken Sie auf das Symbol Erweiterte Einstellungen, um das IP-Protokoll, die Richtung, Regel-Tags und Kommentare anzugeben.
  15. Klicken Sie auf Veröffentlichen.