Implementieren Sie Regeln für eine Gateway-Firewall, indem Sie sie unter einem Abschnitt der Firewallrichtlinie hinzufügen, der zu einer vordefinierten Kategorie gehört.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie Sicherheit > Vertikale Sicherheit > Gateway-Firewall aus.
  3. Wenn Sie die Gateway-Firewall aktivieren möchten, wählen Sie Aktionen > Allgemeine Einstellungen aus und klicken Sie auf die Schaltfläche „Status“. Klicken Sie auf Speichern.
  4. Klicken Sie auf Richtlinie hinzufügen. Weitere Informationen zu Kategorien finden Sie unter Gateway-Firewall.
  5. Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
  6. Wählen Sie das Ziel für die Richtlinie aus.
  7. Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinieneinstellungen zu konfigurieren:
    Einstellungen Beschreibung
    Strenges TCP Eine TCP-Verbindung beginnt mit einem Dreiwege-Handshake (SYN, SYN-ACK, ACK) und endet in der Regel mit einem Zweiwege-Austausch (FIN, ACK). Unter bestimmten Umständen kann die Firewall den Dreiwege-Handshake für einen bestimmten Flow nicht erkennen (d. h., aufgrund des asymmetrischen Datenverkehrs). Standardmäßig erzwingt die Firewall nicht die Notwendigkeit, einen Dreiwege-Handshake anzuzeigen und nimmt bereits eingerichtete Sitzungen auf. „Strenges TCP“ kann pro Abschnitt aktiviert werden, um das Abrufen mitten in der Sitzung zu deaktivieren und die Anforderung für einen Dreiwege-Handshake zu erzwingen. Wenn Sie den Modus „Strenges TCP“ für eine bestimmte Firewallrichtlinie aktivieren und eine standardmäßige Blockregel vom Typ ANY-ANY verwenden, werden Pakete, die die Dreiwege-Handshake-Verbindungsanforderungen nicht erfüllen und die mit einer TCP-basierten Regel in diesem Richtlinienabschnitt übereinstimmen, verworfen. „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Ebene der Gateway-Firewallrichtlinie aktiviert. „Strenges TCP“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassung übereinstimmen, wofür kein TCP-Dienst angegeben wurde.
    Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.
  8. Klicken Sie auf Veröffentlichen. Mehrere Richtlinien können hinzugefügt und anschließend in einem Arbeitsschritt zusammen veröffentlicht werden.
    Die neue Richtlinie wird auf dem Bildschirm angezeigt.
  9. Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen.
  10. Geben Sie einen Namen für die Regel ein. IPv4-, IPv6- und Multicast-Adresse werden unterstützt.
  11. Klicken Sie in der Spalte Quellen auf das Symbol „Bearbeiten“ und wählen Sie die Quelle der Regel aus. Weitere Informationen hierzu finden Sie unter Hinzufügen einer Gruppe.
  12. Klicken Sie in der Spalte Ziele auf das Symbol „Bearbeiten“ und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. Weitere Informationen hierzu finden Sie unter Hinzufügen einer Gruppe.
  13. Klicken Sie in der Spalte Dienste auf das Bleistiftsymbol und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste.
  14. Klicken Sie in der Spalte Profile auf das Symbol „Bearbeiten“ und wählen Sie ein Kontextprofil aus oder klicken Sie auf Neues Kontextprofil hinzufügen. Siehe Hinzufügen eines Kontextprofils.
    • Kontextprofile werden in der Tier-0-Gateway-Firewallrichtlinie nicht unterstützt.
    • Gateway-Firewallregeln unterstützen keine Kontextprofile mit FQDN-Attributen oder anderen Unterattributen.
    Kontextprofile verwenden App-ID-Attribute der Ebene 7 für die Verwendung in Regeln für eine verteilte Firewall und in Gateway-Firewallregeln. Mehrere App-ID-Kontextprofile können in einer Firewallregel mit Diensten verwendet werden, die auf Beliebig festgelegt sind. Für ALG-Profile (FTP und TFTP) wird ein Kontextprofil pro Regel unterstützt.
  15. Klicken Sie auf Übernehmen.
  16. Die Spalte Angewendet auf definiert den Geltungsbereich der Erzwingung pro Regel und ermöglicht Benutzern die selektive Anwendung von Regeln auf eine oder mehrere Uplink-Schnittstellen oder Dienstschnittstellen. Standardmäßig werden Gateway-Firewallregeln auf alle verfügbaren Uplinks und Dienstschnittstellen auf einem ausgewählten Gateway angewendet.
  17. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.
    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen

    Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Durch das Ablehnen eines Pakets wird eine Meldung über ein nicht erreichbares Ziel an den Absender gesendet. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die sendende Anwendung wird nach einem Versuch benachrichtigt, dass die Verbindung nicht hergestellt werden kann.

  18. Mit einem Klick auf den Schalter „Status“ können Sie die Regel aktivieren bzw. deaktivieren.
  19. Klicken Sie auf das Zahnradsymbol, um die Protokollierung, die Richtung, das IP-Protokoll und Kommentare festzulegen.
    Option Beschreibung
    Protokollierung Die Protokollierung lässt sich deaktivieren/aktivieren. Protokolle werden unter „/var/log/syslog“ auf dem Edge gespeichert.
    Richtung Die Optionen sind Ein, Aus und Ein/Aus. Die Standardeinstellung ist Ein/Aus. Dieses Feld bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. Eingehend bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, Ausgehend bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und Ein/Aus bedeutet, dass Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Die Optionen sind IPv4, IPv6 und IPv4_IPv6. Die Standardeinstellung ist IPv4_IPv6.
    Hinweis: Klicken Sie auf das Diagrammsymbol, um die Datenstromstatistik der Firewallregel anzuzeigen. Sie können Informationen anzeigen, wie z. B. die Byte- und Paketanzahl sowie Sitzungen.
  20. Klicken Sie auf Veröffentlichen. Mehrere Regeln können hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
  21. Klicken Sie in jedem Richtlinienabschnitt auf das Symbol Info, um den aktuellen Status der Edge-Firewallregeln anzuzeigen, die an Edge-Knoten übertragen werden. Beim Übertragen von Regeln an Edge-Knoten generierte Alarme werden ebenfalls angezeigt.
  22. Wenn Sie den konsolidierten Status von Richtlinienregeln anzeigen möchten, die auf Edge-Knoten angewendet werden, führen Sie den API-Aufruf aus.
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true