Ein Firewallregelabschnitt lässt sich separat bearbeiten bzw. speichern und wird zur Anwendung eigener Firewallkonfigurationen für Mandanten verwendet.

Voraussetzungen

Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren von Benutzeroberflächeneinstellungen.

Prozedur

  1. Wählen Sie Sicherheit > Verteilte Firewall aus.
  2. Klicken Sie auf die Registerkarte Allgemein für Schicht-3-(L3-)Regeln oder auf die Registerkarte Ethernet für Schicht-2-(L2-)Regeln.
  3. Klicken Sie auf einen vorhandenen Abschnitt oder eine vorhandene Regel.
  4. Klicken Sie in der Menüleiste auf das Symbol „Abschnitt“ und wählen Sie Abschnitt oben hinzufügen oder Abschnitt unten hinzufügen aus.
    Hinweis: Für jeden Datenverkehr, der die Firewall passieren soll, müssen die Paketinformationen den Regeln in der Reihenfolge genügen, wie Sie in der Regeltabelle angegeben werden. Die Überprüfung beginnt mit den Regeln an oberster Stelle und wird bis zu den Standardregeln unten fortgesetzt. In einigen Fällen kann die Rangfolge von zwei oder mehr Regeln für die Bestimmung der Disposition eines Pakets wichtig sein.
  5. Geben Sie den Abschnittsnamen ein.
  6. Um eine Stateless Firewall zu erzwingen, wählen Sie die Option Stateless Firewall aktivieren aus. Diese Option steht nur für L3 zur Verfügung.
    Stateless Firewalls überwachen den Netzwerkdatenverkehr und beschränken oder blockieren Pakete auf der Grundlage von Quell- und Zieladressen oder anderen statischen Werten. Für TCP- und UDP-Flows wird nach dem ersten Paket ein Cache für das Verkehrstupel in beide Richtungen erstellt und beibehalten, wenn das Firewall-Ergebnis ZULASSEN lautet. Das bedeutet, dass der Datenverkehr nicht mehr mit den Firewall-Regeln abgeglichen werden muss, was zu einer geringeren Latenz führt. Statusfreie Firewalls sind daher in der Regel schneller und bieten eine bessere Leistung bei höherem Datenverkehrsaufkommen.

    Zustandsbehaftete Firewalls ermöglichen eine End-to-End-Überwachung von Datenverkehr-Streams. Die Firewall wird für jedes Paket konsultiert, um den Status und die Sequenznummern zu validieren. Mit zustandsbehafteten Firewalls lässt sich eine unberechtigte oder gefälschte Kommunikation besser ermitteln.

    Nach der Definition einer Firewall kann diese nicht von zustandsfrei auf zustandsbehaftet und umgekehrt geändert werden.
  7. Wählen Sie ein oder mehrere Objekte zur Anwendung des Abschnitts aus.
    Die Objekttypen sind logische Ports, logische Switches und NSGroups. Wenn Sie eine NSGroup auswählen, muss sie einen oder mehrere logische Switches oder logische Ports enthalten. Wenn die NSGroup nur IP Sets oder MAC Sets enthält, wird sie ignoriert.
    Hinweis: Die Option Angewendet auf in einem Abschnitt hat Vorrang vor jeglichen Einstellungen für Angewendet auf in den Regeln dieses Abschnitts.
  8. Klicken Sie auf OK.

Nächste Maßnahme

Fügen Sie dem Abschnitt Firewallregeln hinzu.