Navigieren Sie zum Aktivieren der identitätsbasierten Firewall zu Sicherheit > Gateway-Firewall und klicken Sie auf Aktionen > Allgemeine Einstellungen. Schalten Sie die Leiste um, um die identitätsbasierte Firewall zu aktivieren, und beachten Sie, dass Sie über Active Directory verfügen müssen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Sicherheit > Gateway-Firewall aus.
  3. Wenn Sie die Gateway-Firewall aktivieren möchten, wählen Sie Aktionen > Allgemeine Einstellungen aus und klicken Sie auf die Schaltfläche „Status“. Klicken Sie auf Speichern.
  4. Klicken Sie auf Richtlinie hinzufügen. Weitere Informationen zu Kategorien finden Sie unter Gateway-Firewall.
  5. Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
  6. Wählen Sie das Ziel für die Richtlinie aus.
  7. Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinieneinstellungen zu konfigurieren:
    Einstellungen Beschreibung
    Strenges TCP Eine TCP-Verbindung beginnt mit einem Dreiwege-Handshake (SYN, SYN-ACK, ACK) und endet in der Regel mit einem Zweiwege-Austausch (FIN, ACK). Unter bestimmten Umständen kann die Firewall den Dreiwege-Handshake für einen bestimmten Flow nicht erkennen (d. h., aufgrund des asymmetrischen Datenverkehrs). Standardmäßig erzwingt die Firewall nicht die Notwendigkeit, einen Dreiwege-Handshake anzuzeigen und nimmt bereits eingerichtete Sitzungen auf. „Strenges TCP“ kann pro Abschnitt aktiviert werden, um das Abrufen mitten in der Sitzung zu deaktivieren und die Anforderung für einen Dreiwege-Handshake zu erzwingen. Wenn Sie den Modus „Strenges TCP“ für eine bestimmte Firewallrichtlinie aktivieren und eine standardmäßige Blockregel vom Typ ANY-ANY verwenden, werden Pakete, die die Dreiwege-Handshake-Verbindungsanforderungen nicht erfüllen und die mit einer TCP-basierten Regel in diesem Richtlinienabschnitt übereinstimmen, verworfen. „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Ebene der Gateway-Firewallrichtlinie aktiviert. „Strenges TCP“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassung übereinstimmen, wofür kein TCP-Dienst angegeben wurde.
    Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.
  8. Klicken Sie auf Veröffentlichen.
    Mehrere Richtlinien können hinzugefügt und anschließend in einem Arbeitsschritt zusammen veröffentlicht werden.
    Die neue Richtlinie wird auf dem Bildschirm angezeigt.
  9. Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen.
  10. Geben Sie einen Namen für die Regel ein. IPv4- und IPv6-Adressen werden unterstützt.
  11. Klicken Sie in der Spalte Quellen auf das Symbol „Bearbeiten“ und wählen Sie die Quelle der Regel aus. Gruppen mit Active Directory-Mitgliedern können für das Quellfeld einer IDFW-Regel verwendet werden. Siehe Hinzufügen einer Gruppe.
  12. Klicken Sie in der Spalte Ziele auf das Symbol „Bearbeiten“ und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. Siehe Hinzufügen einer Gruppe.
  13. Klicken Sie in der Spalte Dienste auf das Bleistiftsymbol und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste. Siehe Hinzufügen eines Diensts.
  14. Klicken Sie für Tier-1-Gateways in der Spalte Profile auf das Bearbeitungssymbol und wählen Sie ein Kontext- oder L7-Zugriffsprofil aus. Oder erstellen Sie neue Profile. Siehe Profile.
    • Eine Sicherheitsregel kann entweder ein Kontextprofil oder ein L7-Zugriffsprofil enthalten, aber nicht beides.
    • Kontextprofile und L7-Zugriffsprofile werden in der Firewallrichtlinie des Tier-0-Gateways nicht unterstützt.
    • Gateway-Firewallregeln unterstützen keine Kontextprofile mit Attributtyp „Domänenname“ (FQDN).
    • Gateway-Firewallregeln unterstützen L7-Zugriffsprofile mit Attributtyp „App-ID“, „URL-Kategorie“, „Benutzerdefinierte URL“ und „URL-Reputation“. Der Attributtyp „App-ID“ unterstützt mehrere Unterattribute.
    Mehrere App-ID-Kontextprofile können in einer Firewallregel mit Diensten verwendet werden, die auf Beliebig festgelegt sind. Innerhalb einer einzelnen Gateway-Firewallregel kann nur ein einzelnes L7-Zugriffsprofil verwendet werden.
  15. Klicken Sie auf Übernehmen.
  16. Klicken Sie auf das Bleistiftsymbol für die Spalte Angewendet auf, um den Geltungsbereich für die Erzwingung für jede Regel zu ändern. Klicken Sie im Dialogfeld Angewendet auf | Neue Regel auf das Dropdown-Menü Kategorien, um nach Objekttyp zu filtern, z. B. nach Schnittstellen, Bezeichnungen und VTIs, um speziell diese Objekte auszuwählen.
    Standardmäßig werden Gateway-Firewallregeln auf alle verfügbaren Uplinks und Dienstschnittstellen auf einem ausgewählten Gateway angewendet.

    Für die URL-Filterung kann sich Angewendet auf nur auf Tier-1-Gateways beziehen.

  17. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.

    Die Regelaktion mit einem L7-Zugriffsprofil muss Zulassen lauten.

    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen

    Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Durch das Ablehnen eines Pakets wird eine Meldung über ein nicht erreichbares Ziel an den Absender gesendet. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die sendende Anwendung wird nach einem Versuch benachrichtigt, dass die Verbindung nicht hergestellt werden kann.
  18. Mit einem Klick auf die Umschaltfläche „Status“ können Sie die Regel aktivieren bzw. deaktivieren.
  19. Klicken Sie auf das Zahnradsymbol, um die Protokollierung, die Richtung, das IP-Protokoll und Kommentare festzulegen.
    Option Beschreibung
    Protokollierung

    Die Protokollierung lässt sich aktivieren/deaktivieren. Gateway-Firewallprotokolle enthalten die Gateway-VRF (Virtual Routing and Forwarding) und Gateway-Schnittstelleninformationen sowie Flow-Details. Gateway-Firewallprotokolle finden Sie in der Datei „firewallpkt.log“ im Verzeichnis „/var/log“.
    Richtung Die Optionen sind Ein, Aus und Ein/Aus. Die Standardeinstellung ist Ein/Aus. Dieses Feld bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. Eingehend bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, Ausgehend bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und Ein/Aus bedeutet, dass Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Die Optionen sind IPv4, IPv6 und IPv4_IPv6. Die Standardeinstellung ist IPv4_IPv6.
    Hinweis: Klicken Sie auf das Diagrammsymbol, um die Datenstromstatistik der Firewallregel anzuzeigen. Sie können Informationen anzeigen, wie z. B. die Byte- und Paketanzahl sowie Sitzungen.
  20. Klicken Sie auf Veröffentlichen. Mehrere Regeln können hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
  21. Klicken Sie in jedem Richtlinienabschnitt auf das Symbol Info, um den aktuellen Status der Edge-Firewallregeln anzuzeigen, die an Edge-Knoten übertragen werden. Beim Übertragen von Regeln an Edge-Knoten generierte Alarme werden ebenfalls angezeigt.
  22. Wenn Sie den konsolidierten Status von Richtlinienregeln anzeigen möchten, die auf Edge-Knoten angewendet werden, führen Sie den API-Aufruf aus.
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true