Sie können die standardmäßigen Firewalleinstellungen, die für den Datenverkehr gelten, der unter keine der benutzerdefinierten Firewallregeln fällt, bearbeiten.

Die standardmäßigen Firewallregeln gelten für den Datenverkehr, der unter keine der benutzerdefinierten Firewallregeln fällt. Die standardmäßige Schicht-3-Regel finden Sie auf der Registerkarte Allgemein, die standardmäßige Schicht-2-Regel auf der Registerkarte Ethernet.

Die standardmäßigen Firewallregeln lassen die Durchleitung von L3- und L2-Datenverkehr durch alle vorbereiteten Cluster in Ihrer Infrastruktur zu. Die Standardregel befindet sich immer am Ende der Regeltabelle und kann nicht gelöscht werden. Sie können jedoch für die Regel das Element Aktionvon Zulassen in Verwerfen oder Ablehnen ändernund angeben, ob der Datenverkehr für diese Regel protokolliert werden soll.

Die standardmäßige Schicht-3-Firewallregel gilt für den gesamten Datenverkehr, einschließlich DHCP. Wenn Sie die Aktion in Verwerfen oder Ablehnen ändern, wird der DHCP-Datenverkehr blockiert. Sie müssen eine Regel erstellen, um DHCP-Datenverkehr zuzulassen.

Voraussetzungen

Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren von Benutzeroberflächeneinstellungen.

Prozedur

  1. Wählen Sie Sicherheit > Verteilte Firewall aus.
  2. Klicken Sie auf die Registerkarte Allgemein für L3-Regeln oder auf die Registerkarte Ethernet für L2-Regeln.
  3. Geben Sie in der Spalte Name einen neuen Namen ein.
  4. Wählen Sie in der Spalte Aktion eine der Optionen aus.
    • Zulassen – Ermöglicht dem gesamten L3- oder L2-Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontextes. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.
    • Verwerfen – Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    • Ablehnen – Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Das Ablehnen eines Pakets ist der elegantere Weg, um das Senden eines Pakets zu verweigern. Dabei wird an den Sender eine Meldung übermittelt, dass das Ziel nicht erreichbar ist. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die Methode des Ablehnens hat den Vorteil, dass die sendende Anwendung bereits nach einem Versuch benachrichtigt wird, dass die Verbindung nicht aufgebaut werden kann.
  5. Aktivieren oder deaktivieren Sie die Protokollierung in der Spalte Protokoll.
    Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.
  6. Klicken Sie auf Veröffentlichen.