Konfigurieren Sie Ost-West- und Nord-Süd-Firewallrichtlinien unter vordefinierten Kategorien für Ihre Umgebung.
Verteilte Firewall (Ost-West) und Gateway-Firewall (Nord-Süd) bieten mehrere Sätze konfigurierbarer Regeln, die in Kategorien unterteilt sind. Sie können eine Ausschlussliste mit logischen Switches, logischen Ports oder Gruppen konfigurieren, die von der Firewallerzwingung ausgeschlossen werden sollen.
Sicherheitsrichtlinien werden wie folgt durchgesetzt:
- Regeln werden in Kategorien und von links nach rechts verarbeitet.
- Die Regeln werden von oben nach unten verarbeitet.
- Jedes Paket wird anhand der obersten Regel in der Regeltabelle überprüft, bevor zu den nächsten Regeln in der Tabelle nach unten übergegangen wird.
- Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen.
Es können keine nachfolgenden Regeln angewendet werden, da die Suche für dieses Paket dann beendet wird. Aufgrund dieses Verhaltens ist es empfehlenswert, immer die detailliertesten Richtlinien an den Anfang der Regeltabelle zu stellen. Damit wird sichergestellt, dass diese vor den generischeren Regeln erzwungen werden.
Ob eine horizontale oder eine vertikale Firewall bei einem Fehler ein Fail-Close oder Fail-Open ausführt, hängt von der letzten Regel in der Firewall ab. Um sicherzustellen, dass eine Firewall bei einem Fehler ein Fail-Close ausführt, konfigurieren Sie die letzte Regel so, dass alle Pakete abgewiesen oder verworfen werden.