Eine verteilte Firewall überwacht den gesamten Ost-West-Datenverkehr auf Ihren virtuellen Maschinen.

In diesem Thema wird der Workflow zum Hinzufügen von Firewallrichtlinien erläutert, die auf die verteilte NSX-Firewall oder auf bestimmte Gruppen mit NSX-verwalteten Objekten angewendet werden.

Wenn in Ihrer NSX-T Data Center-Umgebung Antrea-Container registriert sind, können Sie Richtlinien für verteilte Firewalls erstellen und diese auf Antrea-Container-Cluster anwenden. Weitere Informationen finden Sie unter:
Hinweis: NSX-T Data Center unterstützt keine Kombination der mit NSX-verwalteten Objekten und mit Antrea-Container-Clusterobjekten erstellten Regeln in derselben Richtlinie für die verteilte Firewall. Das bedeutet, dass sich die Firewallregeln, die Sie auf die verteilte NSX-Firewall und auf Antrea-Container-Cluster anwenden, in verschiedenen Richtlinien befinden müssen.

Voraussetzungen

Um DFW-geschützt zu sein, muss vor NSX-T Data Center 3.2 die vNIC von VMs mit einem NSX-Overlay oder VLAN-Segment verbunden sein. In NSX-T Data Center 3.2 schützt die verteilte Firewall Arbeitslasten, die nativ mit einer verteilten VDS-Portgruppe (DVPG) verbunden sind. Weitere Informationen finden Sie unter Verteilte Sicherheit für vSphere Distributed Switch.

Wenn Sie Regeln für die identitätsbasierte Firewall erstellen, müssen Sie zuerst eine Gruppe mit Active Directory-Mitgliedern erstellen. Informationen zu den für IDFW unterstützten Protokollen finden Sie unter Von der identitätsbasierten Firewall unterstützte Konfigurationen. Stellen Sie beim Erstellen einer DFW-Regel mithilfe von Guest Introspection sicher, dass das Feld Angewendet auf für die Zielgruppe gilt.
Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.

Beachten Sie, dass Sie bei Verwendung einer Kombination aus Ebene 7 und ICMP oder anderen Protokollen die Firewallregeln der Ebene 7 zuletzt einfügen müssen. Regeln über einer Schicht 7-„any/any“-Regel werden nicht ausgeführt.

Verbundspezifische Details zur Richtlinien und Regelerstellung für verteilte Firewalls finden Sie unter Erstellen von DFW-Richtlinien und -Regeln in Globaler Manager.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie im Navigationsbereich Sicherheit > Verteilte Firewall.
  3. Vergewissern Sie sich, dass Sie sich in der richtigen vordefinierten Kategorie befinden, und klicken Sie auf Richtlinie hinzufügen.
    Weitere Informationen über Kategorien finden Sie unter Verteilte Firewall.
  4. Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
  5. (Optional) Verwenden Sie Angewendet auf, um die Regeln innerhalb der Richtlinie auf eine ausgewählte Gruppe anzuwenden. Standardmäßig ist das Richtlinienfeld Angewendet auf auf den Wert „DFW“ festgelegt, und die Richtlinienregeln werden auf alle Arbeitslasten angewendet. Wenn bei Änderung des Standardwerts sowohl für die Richtlinie als auch für die darin enthaltenen Regeln Angewendet auf für eine Gruppe festgelegt ist, hat Angewendet auf auf der Richtlinienebene Vorrang vor Angewendet auf auf der Regelebene.
    Hinweis: Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.

    Angewendet auf definiert den Erzwingungsumfang für jede Richtlinie und wird hauptsächlich für die Optimierung der Ressourcen auf ESXi- und KVM-Hosts verwendet. Diese Einstellung ist hilfreich, wenn eine gezielte Richtlinie für bestimmte Zonen,Mandanten oder Anwendungen definiert werden soll, ohne dass es zu Konflikten mit einer anderen Richtlinie kommt, die für andere Mandanten und Zonen definiert wurde.

  6. (Optional) Klicken Sie zum Konfigurieren der folgenden Richtlinieneinstellungen auf das Zahnradsymbol.
    Option Beschreibung
    Strenges TCP Eine TCP-Verbindung beginnt mit einem Dreiwege-Handshake (SYN, SYN-ACK, ACK) und endet in der Regel mit einem Zweiwege-Austausch (FIN, ACK). Unter bestimmten Umständen erkennt die verteilte Firewall (DFW) möglicherweise nicht den Dreiwege-Handshake für einen bestimmten Flow (aufgrund des asymmetrischen Datenverkehrs oder der aktivierten verteilten Firewall, während ein Flow vorhanden ist). Standardmäßig erzwingt die verteilte Firewall nicht die Notwendigkeit, einen Dreiwege-Handshake anzuzeigen und nimmt bereits eingerichtete Sitzungen auf. „Strenges TCP“ kann pro Abschnitt aktiviert werden, um das Abrufen mitten in der Sitzung zu deaktivieren und die Anforderung für einen 3-Wege-Handshake zu erzwingen.

    Wenn Sie den Modus „Strenges TCP“ für eine bestimmte DFW-Richtlinie aktivieren und eine standardmäßige Blockregel vom Typ ANY-ANY verwenden, werden Pakete, die die Dreiwege-Handshake-Verbindungsanforderungen nicht erfüllen und die mit einer TCP-basierten Regel in diesem Abschnitt übereinstimmen, verworfen. „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Richtlinienebene der verteilten Firewall aktiviert. „Strenges TCP“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassung übereinstimmen, wofür kein TCP-Dienst angegeben wurde.
    Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.

    Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden. Siehe Rollenbasierte Zugriffssteuerung.

  7. Klicken Sie auf Veröffentlichen. Mehrere Richtlinien können hinzugefügt und anschließend in einem Arbeitsschritt zusammen veröffentlicht werden.
    Die neue Richtlinie wird auf dem Bildschirm angezeigt.
  8. Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen. Geben Sie anschließend einen Regelnamen ein.
  9. Klicken Sie in der Spalte Quellen auf das Symbol „Bearbeiten“ und wählen Sie die Quelle der Regel aus. Gruppen mit Active Directory-Mitgliedern können für das Quelltextfeld einer IDFW-Regel verwendet werden.
    Weitere Informationen hierzu finden Sie unter Hinzufügen einer Gruppe.

    IPv4-, IPv6- und Multicast-Adresse werden unterstützt.

    Hinweis: IPv6-Firewall muss über die auf einem verbundenen Segment aktivierte IP Discovery für IPv6 verfügen. Weitere Informationen finden Sie unter Grundlegendes zum Segmentprofil für die IP Discovery.

  10. Klicken Sie in der Spalte Ziele auf das Symbol „Bearbeiten“ und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele.
    Weitere Informationen hierzu finden Sie unter Hinzufügen einer Gruppe.

    IPv4-, IPv6- und Multicast-Adresse werden unterstützt.

  11. Klicken Sie in der Spalte Dienste auf das Symbol „Bearbeiten“ und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste. Weitere Informationen hierzu finden Sie unter Hinzufügen eines Diensts.
  12. Die Spalte Profile ist nicht verfügbar, wenn Sie der Ethernet-Kategorie eine Regel hinzufügen. Klicken Sie für alle anderen Regelkategorien in der Spalte Profile auf das Symbol „Bearbeiten“ und wählen Sie ein Kontextprofil aus oder klicken Sie auf Neues Kontextprofil hinzufügen. Weitere Informationen hierzu finden Sie unter Kontextprofile.

    Kontextprofile unterstützen die Profile mit dem Attributtyp APP-ID und Domänenname (FQDN) für die Verwendung in Regeln für verteilte Firewalls. Mehrere Kontextprofile mit dem Attributtyp App-ID oder Domänenname (FQDN) können in einer Regel für verteilte Firewalls mit Diensten verwendet werden, die auf Any festgelegt sind.

    Kontextprofile werden beim Erstellen von IDS-Regeln nicht unterstützt.

  13. Klicken Sie auf Anwenden, um das Kontextprofil auf die Regel anzuwenden.
  14. Verwenden Sie Angewendet auf, um die Regel auf eine ausgewählte Gruppe anzuwenden. Stellen Sie beim Erstellen einer DFW-Regel mithilfe von Guest Introspection sicher, dass das Feld Angewendet auf für die Zielgruppe gilt. Standardmäßig ist für die Spalte Angewendet auf der Wert „DFW“ festgelegt und die Regel wird auf alle Arbeitslasten angewendet. Wenn bei Änderung des Standardwerts sowohl für die Richtlinie als auch für die darin enthaltenen Regeln Angewendet auf auf Gruppen festgelegt ist, hat Angewendet auf auf der Richtlinienebene Vorrang vor Angewendet auf auf der Regelebene.
    Hinweis: Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.
  15. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten L3- oder L2-Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.
    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Das Ablehnen eines Pakets ist der elegantere Weg, um das Senden eines Pakets zu verweigern. Dabei wird an den Sender eine Meldung übermittelt, dass das Ziel nicht erreichbar ist. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die Methode des Ablehnens hat den Vorteil, dass die sendende Anwendung bereits nach einem Versuch benachrichtigt wird, dass die Verbindung nicht aufgebaut werden kann.
    Wechseln zur Anwendung
    Hinweis: Diese Aktion ist nur für die Kategorie „Umgebung“ verfügbar.

    Gestattet, dass der Datenverkehr, der mit den Regeln der Kategorie „Umgebung“ übereinstimmt, weitergeleitet werden, damit die Regeln der Kategorie „Anwendung“ angewendet werden. Verwenden Sie diese Aktion, wenn der Datenverkehr mit den Regeln der Kategorie „Umgebung“ übereinstimmt und beendet wird, die Regeln der Kategorie „Anwendung“ jedoch angewendet werden sollen.

    Wenn beispielsweise eine Regel der Kategorie „Umgebung“ mit der Aktion „Zulassen“ für eine bestimmte Quelle und eine Regel der Kategorie „Anwendung“ mit der Aktion „Verwerfen“ für dieselbe Quelle vorhanden ist, dürfen Pakete, die mit der Kategorie „Umgebung“ übereinstimmen, die Firewall passieren, und es werden keine weiteren Regeln angewendet. Mit der Aktion „Wechseln zur Anwendung“ entsprechen die Pakete der Regel der Kategorie „Umgebung“, sie werden aber weiter zu den Regeln der Kategorie „Anwendung“ weitergeleitet, was dazu führt, dass diese Pakete verworfen werden.
  16. Mit einem Klick auf den Schalter „Status“ können Sie die Regel aktivieren bzw. deaktivieren.
  17. Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinienoptionen zu konfigurieren:
    Option Beschreibung
    Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der Datei „/var/log/dfwpktlogs.log“ auf ESXi- und KVM-Hosts gespeichert.
    Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. „Eingehend“ bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, „Ausgehend“ bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und „Ein-/Ausgehend“ bedeutet, dass Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
    Protokollbezeichnung

    Die Protokollbezeichnung wird in das Firewallprotokoll übertragen, wenn die Protokollierung aktiviert ist. Es werden nur die ersten 31 Zeichen im generierten Protokoll unterstützt, obwohl Sie eine längere Bezeichnung eingeben können.
  18. Klicken Sie auf Veröffentlichen. Mehrere Regeln können hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
  19. Der Status der Datenpfadrealisierung der Richtlinie mit den Details der Transportknoten, die auf der rechten Seite der Richtlinientabelle angezeigt werden.