Eine verteilte Firewall überwacht den gesamten Ost-West-Datenverkehr auf Ihren virtuellen Maschinen.
In diesem Thema wird der Workflow zum Hinzufügen von Firewallrichtlinien erläutert, die auf die verteilte NSX-Firewall oder auf bestimmte Gruppen mit NSX-verwalteten Objekten angewendet werden.
Wenn in Ihrer
NSX-T Data Center-Umgebung
Antrea-Container registriert sind, können Sie Richtlinien für verteilte Firewalls erstellen und diese auf
Antrea-Container-Cluster anwenden. Weitere Informationen finden Sie unter:
Hinweis:
NSX-T Data Center unterstützt keine Kombination der mit NSX-verwalteten Objekten und mit
Antrea-Container-Clusterobjekten erstellten Regeln in derselben Richtlinie für die verteilte Firewall. Das bedeutet, dass sich die Firewallregeln, die Sie auf die verteilte NSX-Firewall und auf
Antrea-Container-Cluster anwenden, in verschiedenen Richtlinien befinden müssen.
Voraussetzungen
Um DFW-geschützt zu sein, muss vor NSX-T Data Center 3.2 die vNIC von VMs mit einem NSX-Overlay oder VLAN-Segment verbunden sein. In NSX-T Data Center 3.2 schützt die verteilte Firewall Arbeitslasten, die nativ mit einer verteilten VDS-Portgruppe (DVPG) verbunden sind. Weitere Informationen finden Sie unter Verteilte Sicherheit für vSphere Distributed Switch.
Wenn Sie Regeln für die identitätsbasierte Firewall erstellen, müssen Sie zuerst eine Gruppe mit Active Directory-Mitgliedern erstellen. Informationen zu den für IDFW unterstützten Protokollen finden Sie unter
Von der identitätsbasierten Firewall unterstützte Konfigurationen. Stellen Sie beim Erstellen einer DFW-Regel mithilfe von Guest Introspection sicher, dass das Feld
Angewendet auf für die Zielgruppe gilt.
Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst
ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.
Beachten Sie, dass Sie bei Verwendung einer Kombination aus Ebene 7 und ICMP oder anderen Protokollen die Firewallregeln der Ebene 7 zuletzt einfügen müssen. Regeln über einer Schicht 7-„any/any“-Regel werden nicht ausgeführt.
Verbundspezifische Details zur Richtlinien und Regelerstellung für verteilte Firewalls finden Sie unter Erstellen von DFW-Richtlinien und -Regeln in Globaler Manager.