Sie können Sicherheitsrichtlinien und DFW-Regeln erstellen, die auf mehrere bei Globaler Manager registrierte Speicherorte angewendet werden.
Voraussetzungen
Stellen Sie sicher, dass Sie bereits angepasste Regionen erstellt haben, die Sie für Firewallregeln verwenden möchten. Siehe Erstellen einer Region aus Globaler Manager.
Prozedur
- Melden Sie sich über Ihren Browser mit den Berechtigungen eines Unternehmens- oder Sicherheitsadministrators unter https://<global-manager-ip-address> bei einem Globaler Manager an.
- Wählen Sie Sicherheit > Verteilte Firewall aus.
- Vergewissern Sie sich, dass Sie sich in der richtigen vordefinierten Kategorie befinden, und klicken Sie auf Richtlinie hinzufügen. Weitere Informationen über Kategorien finden Sie unter Verteilte Firewall.
Hinweis: Ethernet- und Notfallkategorien sowie Standardrichtlinien werden im Globaler Manager nicht unterstützt.
- Klicken Sie auf Richtlinie hinzufügen.
- Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
- Klicken Sie auf das Bleistiftsymbol neben Angewendet auf, um den Geltungsbereich dieser Richtlinie festzulegen.
- Im Dialogfeld Angewendet auf können Sie die folgende Auswahl treffen:
- Region: Wählen Sie die Lokaler Manager aus, auf die die Richtlinie angewendet werden soll. Jeder Lokaler Manager wird automatisch als Region hinzugefügt. Sie können auch benutzerdefinierte Regionen erstellen. Siehe Erstellen einer Region aus Globaler Manager.
- „Angewendet auf“ auswählen: Standardmäßig wird die Richtlinie auf DFW angewendet, das heißt, dass die Richtlinie auf alle Arbeitslasten auf den Lokaler Manager basierend auf der ausgewählten Region für diese Richtlinie angewendet wird. Sie können eine Richtlinie auch auf ausgewählte Gruppen anwenden. „Angewendet auf“ definiert den Erzwingungsumfang für die einzelne Richtlinie und wird hauptsächlich für die Ressourcenoptimierung auf ESXi- und KVM-Hosts verwendet. Diese Einstellung ist hilfreich, wenn eine gezielte Richtlinie für bestimmte Zonen, Mandanten und Anwendungen definiert werden soll, ohne dass es zu Konflikten mit einer anderen Richtlinie kommt, die für andere Mandanten, Zonen und Anwendungen definiert wurde. In DFW-Richtlinien und -Regeln können Sie nachvollziehen, wie anhand des Geltungsbereichs der Richtlinie festgelegt wird, ob Ihre DFW-Regel gültig oder ungültig ist.
- Klicken Sie zum Konfigurieren der folgenden Richtlinieneinstellungen auf das Zahnradsymbol:
Option Beschreibung Strenges TCP Eine TCP-Verbindung beginnt mit einem Dreiwege-Handshake (SYN, SYN-ACK, ACK) und endet in der Regel mit einem Zweiwege-Austausch (FIN, ACK). Unter bestimmten Umständen erkennt die verteilte Firewall (DFW) möglicherweise nicht den Dreiwege-Handshake für einen bestimmten Flow (aufgrund des asymmetrischen Datenverkehrs oder der aktivierten verteilten Firewall, während ein Flow vorhanden ist). Standardmäßig erzwingt die verteilte Firewall nicht die Notwendigkeit, einen Dreiwege-Handshake anzuzeigen und nimmt bereits eingerichtete Sitzungen auf. „Strenges TCP“ kann pro Abschnitt aktiviert werden, um das Abrufen mitten in der Sitzung zu deaktivieren und die Anforderung für einen 3-Wege-Handshake zu erzwingen. Wenn Sie den Modus „Strenges TCP“ für eine bestimmte DFW-Richtlinie aktivieren und eine standardmäßige Blockregel vom Typ ANY-ANY verwenden, werden Pakete, die die Dreiwege-Handshake-Verbindungsanforderungen nicht erfüllen und die mit einer TCP-basierten Regel in diesem Abschnitt übereinstimmen, verworfen. „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Richtlinienebene der verteilten Firewall aktiviert. „Strenges TCP“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassung übereinstimmen, wofür kein TCP-Dienst angegeben wurde.
Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen. Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen. Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden. Siehe Rollenbasierte Zugriffssteuerung.
- Klicken Sie auf Veröffentlichen. Mehrere Richtlinien können hinzugefügt und anschließend in einem Arbeitsschritt zusammen veröffentlicht werden.
Die neue Richtlinie wird auf dem Bildschirm angezeigt.
- Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen.
- Geben Sie einen Namen für die Regel ein.
- Quelle und Ziel werden basierend auf der Reichweite der DFW-Richtlinie validiert. Weitere Informationen hierzu finden Sie unter DFW-Richtlinien und -Regeln.
-
Wenn die DFW-Richtlinie auf einen Speicherort angewendet wird, z. B. auf Loc1 , kann als Quelle oder Ziel entweder das Schlüsselwort BELIEBIG oder eine Gruppe verwendet werden, die zu Loc1 gehört.
-
Wenn die DFW-Richtlinie auf eine vom Benutzer erstellte Region angewendet wird, z. B. Region1, kann als Quelle oder Ziel entweder das Schlüsselwort Beliebig oder eine Gruppe verwendet werden, die dieselbe Reichweite aufweist wie Region1 oder einen Speicherort in Region1 umfasst.
-
Wenn die DFW-Richtlinie global angewendet wird, kann eine beliebige Quelle oder ein beliebiges Ziel verwendet werden.
Hinweis: Active Directory und IDFW werden für NSX-Verbund nicht unterstützt. Das heißt, Sie können diese Funktionen nicht in Globaler Manager verwenden.- Klicken Sie in der Spalte Quellen auf das Bleistiftsymbol und wählen Sie die Quelle der Regel aus.
- Klicken Sie in der Spalte Ziele auf das Bleistiftsymbol und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele.
-
- Klicken Sie in der Spalte Dienste auf das Bleistiftsymbol und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste.
- Klicken Sie in der Spalte Profile auf das Symbol „Bearbeiten“ und wählen Sie ein Kontextprofil aus oder klicken Sie auf Neues Kontextprofil hinzufügen. Siehe Profile.
- Klicken Sie auf Anwenden, um das Kontextprofil auf die Regel anzuwenden.
- Standardmäßig ist für die Spalte Angewendet auf der Wert „DFW“ festgelegt und die Regel wird auf alle Arbeitslasten angewendet. Sie können die Regel oder Richtlinie auch auf eine ausgewählte Gruppe anwenden. Angewendet auf definiert den Durchsetzungsumfang für jede Regel und wird hauptsächlich für die Optimierung der Ressourcen auf ESXi- und KVM-Hosts verwendet. Diese Einstellung ist hilfreich, wenn eine gezielte Richtlinie für bestimmte Zonen, Mandanten und Anwendungen definiert werden soll, ohne dass es zu Konflikten mit einer anderen Richtlinie kommt, die für andere Mandanten, Zonen und Anwendungen definiert wurde.
Hinweis: Sie können in Angewendet auf die folgenden Typen von Gruppen nicht auswählen:
- Eine Gruppe mit IP- oder MAC-Adressen
- Eine Active Directory-Benutzergruppe
- Wählen Sie eine Aktion in der Spalte Aktion aus.
Option Beschreibung Zulassen Ermöglicht dem gesamten L3- oder L2-Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall. Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird. Ablehnen Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Das Ablehnen eines Pakets ist der elegantere Weg, um das Senden eines Pakets zu verweigern. Dabei wird an den Sender eine Meldung übermittelt, dass das Ziel nicht erreichbar ist. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die Methode des Ablehnens hat den Vorteil, dass die sendende Anwendung bereits nach einem Versuch benachrichtigt wird, dass die Verbindung nicht aufgebaut werden kann. - Klicken Sie auf die Umschaltfläche, um die Regel zu aktivieren oder zu deaktivieren.
- Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinienoptionen zu konfigurieren:
Option Beschreibung Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der Datei /var/log/dfwpktlogs.log auf ESXi- und KVM-Hosts gespeichert. Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. „Eingehend“ bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, „Ausgehend“ bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und „Eingehend/Ausgehend“ bedeutet, dass Datenverkehr in beide Richtungen überprüft wird. IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6). Protokollbezeichnung Die Protokollbezeichnung wird im Firewallprotokoll angezeigt, wenn die Protokollierung aktiviert ist. - Klicken Sie auf Veröffentlichen. Mehrere Regeln können hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
- Klicken Sie in jeder Richtlinie auf Status prüfen, um den Status der darin enthaltenen Regeln pro Standort anzuzeigen. Sie können auf Erfolgreich oder Fehlgeschlagen klicken, um das Richtlinien-Statusfenster zu öffnen.
- Klicken Sie auf Status prüfen, um den Realisierungsstatus der Richtlinien zu überprüfen, die an verschiedenen Speicherorten auf Transportknoten angewendet werden..