Sie können Sicherheitsrichtlinien und DFW-Regeln erstellen, die auf mehrere bei Globaler Manager registrierte Speicherorte angewendet werden.

Voraussetzungen

Stellen Sie sicher, dass Sie bereits angepasste Regionen erstellt haben, die Sie für Firewallregeln verwenden möchten. Siehe Erstellen einer Region aus Globaler Manager.

Prozedur

  1. Melden Sie sich über Ihren Browser mit den Berechtigungen eines Unternehmens- oder Sicherheitsadministrators unter https://<global-manager-ip-address> bei einem Globaler Manager an.
  2. Wählen Sie Sicherheit > Verteilte Firewall aus.
  3. Vergewissern Sie sich, dass Sie sich in der richtigen vordefinierten Kategorie befinden, und klicken Sie auf Richtlinie hinzufügen. Weitere Informationen über Kategorien finden Sie unter Verteilte Firewall.
    Hinweis: Ethernet- und Notfallkategorien werden in Globaler Manager nicht unterstützt.
  4. Klicken Sie auf Richtlinie hinzufügen.
  5. Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
  6. Klicken Sie auf das Bleistiftsymbol neben Angewendet auf, um den Geltungsbereich dieser Richtlinie festzulegen.
  7. Im Dialogfeld Angewendet auf können Sie die folgende Auswahl treffen:
    • Region: Wählen Sie die Lokaler Manager aus, auf die die Richtlinie angewendet werden soll. Jeder Lokaler Manager wird automatisch als Region hinzugefügt. Sie können auch benutzerdefinierte Regionen erstellen. Siehe Erstellen einer Region aus Globaler Manager.
    • „Angewendet auf“ auswählen: Standardmäßig wird die Richtlinie auf DFW angewendet, das heißt, die Richtlinie wird an alle Lokaler Manager übertragen, die in der von Ihnen ausgewählten Region enthalten sind. Sie können auch Gruppen auswählen und die Gruppen angeben, auf die Sie die Richtlinie anwenden möchten. In Gültige Quelle und gültiges Ziel einer DFW-Regel basierend auf dem Geltungsbereich der DFW-Richtlinie in 3.0.0 können Sie nachvollziehen, wie anhand des Geltungsbereichs der Richtlinie festgelegt wird, ob Ihre DFW-Regel gültig oder ungültig ist.
  8. Klicken Sie zum Konfigurieren der folgenden Richtlinieneinstellungen auf das Zahnradsymbol:
    Option Beschreibung
    Strenges TCP Eine TCP-Verbindung beginnt mit einem Dreiwege-Handshake (SYN, SYN-ACK, ACK) und endet in der Regel mit einem Zweiwege-Austausch (FIN, ACK). Unter bestimmten Umständen erkennt die verteilte Firewall (DFW) möglicherweise nicht den Dreiwege-Handshake für einen bestimmten Flow (aufgrund des asymmetrischen Datenverkehrs oder der aktivierten verteilten Firewall, während ein Flow vorhanden ist). Standardmäßig erzwingt die verteilte Firewall nicht die Notwendigkeit, einen Dreiwege-Handshake anzuzeigen und nimmt bereits eingerichtete Sitzungen auf. „Strenges TCP“ kann pro Abschnitt aktiviert werden, um das Abrufen mitten in der Sitzung zu deaktivieren und die Anforderung für einen 3-Wege-Handshake zu erzwingen.

    Wenn Sie den Modus „Strenges TCP“ für eine bestimmte DFW-Richtlinie aktivieren und eine standardmäßige Blockregel vom Typ ANY-ANY verwenden, werden Pakete, die die Dreiwege-Handshake-Verbindungsanforderungen nicht erfüllen und die mit einer TCP-basierten Regel in diesem Abschnitt übereinstimmen, verworfen. „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Richtlinienebene der verteilten Firewall aktiviert. „Strenges TCP“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassung übereinstimmen, wofür kein TCP-Dienst angegeben wurde.

    Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.

    Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden. Siehe Rollenbasierte Zugriffssteuerung.

  9. Klicken Sie auf Veröffentlichen. Mehrere Richtlinien können hinzugefügt und anschließend in einem Arbeitsschritt zusammen veröffentlicht werden.
    Die neue Richtlinie wird auf dem Bildschirm angezeigt.
  10. Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen.
  11. Geben Sie einen Namen für die Regel ein.
  12. Klicken Sie in der Spalte Quellen auf das Bleistiftsymbol und wählen Sie die Quelle der Regel aus. Weitere Informationen hierzu finden Sie unter Sicherheit in Verbund.
    Hinweis: Active Directory und IDFW werden für Verbund nicht unterstützt. Das heißt, Sie können diese Funktionen nicht in Globaler Manager verwenden.
  13. Klicken Sie in der Spalte Ziele auf das Bleistiftsymbol und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. Weitere Informationen hierzu finden Sie unter Sicherheit in Verbund.
  14. Klicken Sie in der Spalte Dienste auf das Bleistiftsymbol und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste.
  15. Klicken Sie in der Spalte Profile auf das Symbol „Bearbeiten“ und wählen Sie ein Kontextprofil aus oder klicken Sie auf Neues Kontextprofil hinzufügen. Siehe Hinzufügen eines Kontextprofils.
    Kontextprofile verwenden App-ID-Attribute der Ebene 7 für die Verwendung in Regeln für eine verteilte Firewall und in Gateway-Firewallregeln. Mehrere App-ID-Kontextprofile können in einer Firewallregel mit Diensten verwendet werden, die auf Beliebig festgelegt sind. Für ALG-Profile (FTP, ORACLE, DCERPC, TFTP) wird pro Regel ein Kontextprofil unterstützt.
    Hinweis: Für Verbund werden nur L7-App-ID-Kontextprofile unterstützt.
  16. Klicken Sie auf Anwenden, um das Kontextprofil auf die Regel anzuwenden.
  17. Standardmäßig ist für die Spalte Angewendet auf der Wert „DFW“ festgelegt und die Regel wird auf alle Arbeitslasten angewendet. Sie können die Regel auch auf ausgewählte Gruppen anwenden. Angewendet auf definiert den Durchsetzungsumfang für jede Regel und wird hauptsächlich für die Optimierung der Ressourcen auf ESXi- und KVM-Hosts verwendet. Diese Einstellung ist hilfreich, wenn eine gezielte Richtlinie für bestimmte Zonen und Mandanten definiert werden soll, ohne dass es zu Konflikten mit einer anderen Richtlinie kommt, die für andere Mandanten und Zonen definiert wurde.
  18. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten L3- oder L2-Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.
    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Das Ablehnen eines Pakets ist der elegantere Weg, um das Senden eines Pakets zu verweigern. Dabei wird an den Sender eine Meldung übermittelt, dass das Ziel nicht erreichbar ist. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die Methode des Ablehnens hat den Vorteil, dass die sendende Anwendung bereits nach einem Versuch benachrichtigt wird, dass die Verbindung nicht aufgebaut werden kann.
  19. Klicken Sie auf die Umschaltfläche, um die Regel zu aktivieren oder zu deaktivieren.
  20. Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinienoptionen zu konfigurieren:
    Option Beschreibung
    Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der Datei „/var/log/dfwpktlogs.log“ auf ESXi- und KVM-Hosts gespeichert.
    Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. „Eingehend“ bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, „Ausgehend“ bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und „Eingehend/Ausgehend“ bedeutet, dass Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
    Protokollbezeichnung Sie können eine Beschreibung eingeben, die auf der Schnittstelle auf dem Host angezeigt werden kann.
  21. Klicken Sie auf Veröffentlichen. Mehrere Regeln können hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
  22. Klicken Sie in jeder Richtlinie auf Status prüfen, um den Status der darin enthaltenen Regeln pro Standort anzuzeigen. Sie können auf Erfolgreich oder Fehlgeschlagen klicken, um das Richtlinien-Statusfenster zu öffnen.
  23. Die Umsetzungsstatus-API wurde auf Sicherheitsrichtlinienebene erweitert, um zusätzliche Informationen zum Status der Umsetzung bereitzustellen. Dies kann erreicht werden, indem der Abfrageparameter include_enforced_status = true zusammen mit intent_path angegeben wird. Führen Sie den folgenden API-Aufruf aus:
    https://<global-manger-IP>/global-manager/api/v1/global-infra/realized-state/status?intent_path=/global-infra/domains/default/security-policies/<security-policy-id>