NSX-T Data Center legt mit Firewallregeln die Handhabung des Datenverkehrs zu und von einem Netzwerk fest.

Eine Firewall bietet mehrere Sets konfigurierbarer Regeln: Schicht-3-Regeln (Registerkarte „Allgemein“) und Schicht-2-Regeln (Registerkarte „Ethernet“). Schicht-2-Firewallregeln werden vor Schicht-3-Regeln verarbeitet. Sie können eine Ausschlussliste mit logischen Switches, logischen Ports oder Gruppen konfigurieren, die von den Firewallregeln ausgeschlossen werden sollen.

Firewallregeln werden wie folgt angewendet:

  • Die Regeln werden von oben nach unten verarbeitet.
  • Jedes Paket wird anhand der obersten Regel in der Regeltabelle überprüft, bevor zu den nächsten Regeln in der Tabelle nach unten übergegangen wird.
  • Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen.

Es können keine nachfolgenden Regeln angewendet werden, da die Suche für dieses Paket dann beendet wird. Aufgrund dieses Verhaltens ist es empfehlenswert, immer die detailliertesten Richtlinien an den Anfang der Regeltabelle zu stellen. Damit wird sichergestellt, dass diese vor den spezifischeren Regeln angewendet werden.

Die am Ende der Regeltabelle platzierte Standardregel ist eine „Catchall“-Regel, die grundsätzlich gilt. Für Pakete, für die keinen anderen Regeln gelten, wird die Standardregel angewendet. Nach der Hostvorbereitung sind gemäß der Standardregel Aktionen möglich. Damit ist sichergestellt, dass die Kommunikation von VM zu VM während der Staging- oder Migrationsphase nicht unterbrochen wird. Als Best Practice sollte dann diese Standardregel geändert werden, um Aktionen zu blockieren und die Zugriffskontrolle über ein positives Kontrollmodell zu erzwingen. In einem solchen Modell ist nur Datenverkehr für das Netzwerk zulässig, der in der Firewallregel definiert ist.
Hinweis: Für das TCP-Protokoll wird bei einer statusbehafteten Regel automatisch die strenge TCP-Überprüfung aktiviert. Dies bedeutet, dass ein Paket nur dann mit der TCP-Regel abgeglichen wird, wenn die Netzwerkverbindung mit einem SYN-Paket gestartet wurde.
Tabelle 1. Eigenschaften einer Firewallregel
Eigenschaft Beschreibung
Name Name der Firewallregel.
ID Eindeutige, systemgenerierte ID für jede Regel.
Quelle Bei der Quelle der Regel kann es sich entweder um eine IP- oder MAC-Adresse oder um ein anderes Objekt als eine IP-Adresse handeln. Wenn nicht definiert, bezieht sich die Regel auf alle Quellen. IPv6 wird für den Quell- und Zielbereich nicht unterstützt.
Ziel Die Ziel-IP- oder -MAC-Adresse/-Netmask der Verbindung, die von der Regel betroffen ist. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. IPv6 wird für den Quell- und Zielbereich nicht unterstützt.
Dienst Bei dem Dienst kann es sich um eine vordefinierte Portprotokollkombination für L3 handeln. Für L2 kann es „Ethernet-Typ“ sein. Sie haben sowohl für L2 wie für L3 die Möglichkeit, einen neuen Dienst oder eine neue Dienstgruppe manuell zu definieren. Wenn nicht angegeben, bezieht sich der Dienst auf alle Regeln.
Angewendet auf Definiert den Bereich, auf den diese Regel anwendbar ist. Wenn die Option nicht definiert ist, besteht der Bereich aus allen logischen Ports. Wenn Sie in einem Abschnitt „Angewendet auf“ hinzugefügt haben, wird die Regel überschrieben.
Protokoll Die Protokollierung lässt sich deaktivieren/aktivieren. Die Protokolle werden in der Datei /var/log/dfwpktlogs.log auf ESX- und KVM-Hosts gespeichert.
Aktion Die Regel kann die Aktionen Zulassen, Verwerfen und Ablehnen anwenden. Die Standardeinstellung ist Zulassen.
IP-Protokoll Die Optionen sind IPv4, IPv6 und IPv4_IPv6. Die Standardeinstellung ist IPv4_IPv6. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen.
Richtung Die Optionen sind Eingehend, Ausgehend und Ein/Aus. Die Standardeinstellung ist Ein/Aus. Dieses Feld bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. Eingehend bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, Ausgehend bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und Ein/Aus bedeutet, dass Datenverkehr in beide Richtungen überprüft wird. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen.
Regel-Tags Tags, die der Regel hinzugefügt wurden. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen.
Flow-Statistik Schreibgeschütztes Feld, das die Bytes, die Paketanzahl und die Sitzungen anzeigt. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Diagrammsymbol.
Hinweis: Wenn SpoofGuard nicht aktiviert ist, kann die Vertrauenswürdigkeit automatisch erkannter Adressbindungen nicht garantiert werden, da eine bösartige virtuelle Maschine die Adresse einer andere virtuellen Maschine beanspruchen kann. SpoofGuard (sofern aktiviert) überprüft jede erkannte Bindung, sodass nur zulässige Bindungen angezeigt werden.