Sie können in Globaler Manager Firewallrichtlinien und -regeln für Gateways erstellen, die auf mehrere Standorte oder ausgewählte Schnittstellen für bestimmte Standorte angewendet werden sollen.

Vom globalen Manager erstellte Tier-0- oder Tier-1-Gateways erstrecken sich über alle oder eine Reihe von Standorten. Beim Anwenden von Gateway-Firewallregeln, die über den globalen Manager erstellt wurden, stehen Ihnen einige Optionen zur Verfügung: Die Firewallregeln für das Gateway können auf alle im Geltungsbereich des Gateways enthaltenen Standorte oder auf alle Schnittstellen eines bestimmten Standorts oder auf bestimmte Schnittstellen von einem oder mehreren Standorten angewendet werden.

Auf dem lokalen Manager werden die Regeln in der folgenden Reihenfolge erzwungen:
  1. Im globalen Manager erstellte Regeln, die erfolgreich auf dem lokalen Manager realisiert werden, werden zuerst erzwungen.
  2. Als Nächstes werden Regeln erzwungen, die Sie aus dem lokalen Manager erstellen.
  3. Die zuletzt erzwungene Regel ist die Firewallregel für das Standard-Gateway. Hierbei handelt es sich um die Regel „Alle zulassen“ oder „Alle verweigern“, die für alle Standorte und alle Arbeitslasten gilt. Sie können das Verhalten für diese Standardregel im globalen Manager bearbeiten.

Prozedur

  1. Melden Sie sich über Ihren Browser mit den Berechtigungen eines Unternehmens- oder Sicherheitsadministrators unter https://<global-manager-ip-address> bei Globaler Manager an.
  2. Wählen Sie Sicherheit > Gateway-Firewall aus.
  3. Stellen Sie sicher, dass Sie sich in der richtigen vordefinierten Kategorie befinden. Nur die Kategorien Vorab-Regeln, Lokales Gateway und Standard werden vom globalen Manager unterstützt. Klicken Sie zum Definieren der Richtlinie unter der Kategorie Lokales Gateway auf den Kategorienamen auf der Registerkarte Alle freigegeben Regeln oder klicken Sie direkt auf die Registerkarte Gateway-spezifische Regeln.

    Wählen Sie im Dropdown-Menü neben Gateway ein Tier-0- oder ein Tier-1-Gateway aus. Der Geltungsbereich des von Ihnen ausgewählten Tier-0- oder Tier-1-Gateways wird zum Standardgeltungsbereich der Firewallrichtlinie und -regel für das Gateway. Sie können den Geltungsbereich reduzieren, aber nicht erweitern.

  4. Klicken Sie auf Richtlinie hinzufügen.
  5. Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
  6. (Optional) Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinieneinstellungen zu konfigurieren:
    Einstellungen Beschreibung
    Strenges TCP Eine TCP-Verbindung beginnt mit einem Dreiwege-Handshake (SYN, SYN-ACK, ACK) und endet in der Regel mit einem Zweiwege-Austausch (FIN, ACK). Unter bestimmten Umständen kann die Firewall den Dreiwege-Handshake für einen bestimmten Flow nicht erkennen (d. h., aufgrund des asymmetrischen Datenverkehrs). Standardmäßig erzwingt die Firewall nicht die Notwendigkeit, einen Dreiwege-Handshake anzuzeigen, und nimmt bereits eingerichtete Sitzungen auf. „Strenges TCP“ kann pro Abschnitt aktiviert werden, um das Abrufen mitten in der Sitzung zu deaktivieren und die Anforderung für einen Dreiwege-Handshake zu erzwingen. Wenn Sie den Modus „Strenges TCP“ für eine bestimmte Firewallrichtlinie aktivieren und eine standardmäßige Blockregel vom Typ ANY-ANY verwenden, werden Pakete, die die Dreiwege-Handshake-Verbindungsanforderungen nicht erfüllen und die mit einer TCP-basierten Regel in diesem Richtlinienabschnitt übereinstimmen, verworfen. „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Ebene der Gateway-Firewallrichtlinie aktiviert. „Strenges TCP“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassung übereinstimmen, wofür kein TCP-Dienst angegeben wurde.
    Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.
  7. Klicken Sie auf Veröffentlichen. Mehrere Richtlinien können hinzugefügt und anschließend in einem Arbeitsschritt zusammen veröffentlicht werden.
    Die neue Richtlinie wird auf dem Bildschirm angezeigt.
  8. Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen.
  9. Geben Sie einen Namen für die Regel ein.
  10. Klicken Sie in der Spalte Quellen auf das Symbol „Bearbeiten“ und wählen Sie die Quelle der Regel aus. Die Quellgruppe muss denselben oder eine Teilmenge des Gateway-Geltungsbereichs aufweisen.
  11. Klicken Sie in der Spalte Ziele auf das Symbol „Bearbeiten“ und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. Die Zielgruppe muss denselben oder eine Teilmenge des Gateway-Geltungsbereichs aufweisen.
  12. Klicken Sie in der Spalte Dienste auf das Bleistiftsymbol und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste. Klicken Sie zum Speichern auf Übernehmen.
  13. Klicken Sie in der Spalte Profile auf das Symbol „Bearbeiten“ und wählen Sie ein Kontextprofil aus oder klicken Sie auf Neues Kontextprofil hinzufügen. Siehe Hinzufügen eines Kontextprofils.
    Hinweis: Kontextprofile werden für Tier-0-Gateways nicht unterstützt. Sie können L7-Kontextprofile auf Tier-1-Gateways anwenden.
  14. Klicken Sie in der Spalte Angewendet auf auf das Bleistiftsymbol. Im Dialogfeld Angewendet auf:
    Auswahl unter Angewendet auf Ergebnis
    Wählen Sie Regel auf Gateway anwenden aus. Die Gateway-Firewallregel wird auf alle Standorte angewendet, die durch den Gateway-Geltungsbereich abgedeckt werden. Wenn Sie dem Gateway einen weiteren Standort hinzufügen, wird die Firewallregel dieses Gateways automatisch auf den Standort angewendet.
    Wählen Sie einen Standort aus und wählen Sie dann Regeln auf alle Entitäten anwenden aus. Wenden Sie diese Regel auf alle Schnittstellen am ausgewählten Standort an.
    Wählen Sie einen Standort aus und wählen Sie dann Schnittstellen für diesen Standort aus. Wenden Sie die Regel nur auf ausgewählte Schnittstellen an einem oder mehreren Standorten an.
    Hinweis: Es gibt keine Standardauswahl für Angewendet auf. Sie müssen eine Auswahl treffen, um diese Regel veröffentlichen zu können.
  15. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.
    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen

    Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Durch das Ablehnen eines Pakets wird eine Meldung über ein nicht erreichbares Ziel an den Absender gesendet. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die sendende Anwendung wird nach einem Versuch benachrichtigt, dass die Verbindung nicht hergestellt werden kann.

  16. Mit einem Klick auf den Schalter „Status“ können Sie die Regel aktivieren bzw. deaktivieren.
  17. Klicken Sie auf das Zahnradsymbol, um Protokollierung, Richtung, IP-Protokoll, Tag und Hinweise festzulegen.
    Option Beschreibung
    Protokollierung Die Protokollierung lässt sich deaktivieren/aktivieren. Sie können auf Protokolle zugreifen, indem Sie den folgenden NSX CLI-Befehl auf NSX Edge verwenden:
    get log-file syslog | find datapathd.firewallpkt
    Protokolle können auch an einen externen Syslog-Server gesendet werden.
    Richtung Die Optionen sind Ein, Aus und Ein/Aus. Die Standardeinstellung ist Ein/Aus. Dieses Feld bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. Eingehend bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, Ausgehend bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und Ein/Aus bedeutet, dass Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Die Optionen sind IPv4, IPv6 und IPv4_IPv6. Die Standardeinstellung ist IPv4_IPv6.
    Protokollbezeichnung Protokollbezeichnung, die der Regel hinzugefügt wurde.
    Hinweis: Klicken Sie auf das Diagrammsymbol, um die Datenstromstatistik der Firewallregel anzuzeigen. Sie können Informationen anzeigen, wie z. B. die Byte- und Paketanzahl sowie Sitzungen.
  18. Klicken Sie auf Veröffentlichen. Mehrere Regeln können hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
  19. Klicken Sie auf Status prüfen, um den Realisierungsstatus der Richtlinie anzuzeigen, die auf Gateways über Edge-Knoten an verschiedenen Speicherorten angewendet wird. Sie können auf Erfolgreich oder Fehlgeschlagen klicken, um das Richtlinien-Statusfenster zu öffnen.