Um die Konfiguration der ersten TLS-Prüfung-Richtlinie zu vereinfachen, können Sie den Assistenten für die TLS-Prüfung verwenden oder Ihre Richtlinie manuell über die Benutzeroberfläche erstellen. In diesem Thema wird nicht die Konfiguration mit dem Assistenten beschrieben, sondern nur die manuellen Konfigurationsschritte.

Der Assistent bietet einen Überblick über den Workflow für die Konfiguration der TLS-Prüfung für Ihre Tier-1-Gateway-Firewalls. Der Assistent wird auf der Startseite der TLS-Prüfung nur für die erste Richtlinie angezeigt. Sie können jedoch über die Registerkarten „Alle freigegebenen Regeln“ und „Gateway-spezifische Regeln“ auf den Assistenten zugreifen. Sie können den Konfigurationsassistenten überspringen und die Richtlinienerstellung und die Einrichtung des Aktionsprofils für die Entschlüsselung manuell abschließen. Klicken Sie dazu auf Überspringen, wenn die Seite geöffnet wird.

Voraussetzungen

Diese Voraussetzungen gelten für TLS-Prüfung-Richtlinien.

Aktivieren Sie die folgenden Einstellungen. Sie sind standardmäßig deaktiviert.
  • Aktivieren Sie die TLS-Prüfung-Einstellungen pro Gateway.

    Navigieren Sie zu Sicherheit > TLS-Prüfung und wählen Sie die Registerkarte Einstellungen aus. Wählen Sie ein oder mehrere Gateways aus der Liste der TLS-fähigen Gateways aus und klicken Sie auf Einschalten.

  • URL-Datenbank wird auf dem Edge-Cluster aktiviert.

    Navigieren Sie zu Sicherheit > Allgemeine Einstellungen > URL-Datenbank. Edge-Knoten müssen über Internetkonnektivität verfügen, damit der NSX Threat Intelligence Cloud Service (NTICS) die URL-Datenbankdownloads abschließen kann.

  • Um Statistiken zur TLS-Prüfung über das Dashboard „Sicherheit“ anzuzeigen, stellen Sie NSX Application Platform in Ihrer NSX-T Data Center 3.2-Umgebung (oder höher) bereit und vergewissern Sie sich, dass es sich in einem funktionsfähigen Zustand befindet. Für die Zeitreihenüberwachung ist eine bestimmte Lizenz erforderlich. Weitere Informationen finden Sie im Handbuch für die Bereitstellung und Verwaltung von NSX Application Platform und Überwachen von Sicherheitsstatistiken.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Klicken Sie auf Sicherheit > TLS-Prüfung.
  3. Wählen Sie die Kategorie zum Definieren der Richtlinie aus und klicken Sie dann auf Richtlinie hinzufügen.
  4. Geben Sie einen Namen für die neue Richtlinie ein.
  5. (Optional) Wenn Sie verhindern möchten, dass mehrere Benutzer Änderungen am Abschnitt vornehmen, klicken Sie auf das Symbol Erweiterte Konfiguration. Klicken Sie dann auf Gesperrt und auf Anwenden.
  6. Wählen Sie die von Ihnen erstellte Richtlinie aus und klicken Sie dann auf Regel hinzufügen.
    Variable Beschreibung
    Quell-, Ziel- und L4-Dienste Entspricht denselben Feldern des eingehenden Datenverkehrs wie die Gateway-Firewallregel.
    Kontextprofil Definieren Sie ein Kontextprofil für die Klassifizierung des Datenverkehrs anhand der URL-Kategorie, der Reputation und des Domänennamens und wählen Sie es aus. Einzelheiten dazu finden Sie unter Kontextprofile.
    Aktionsprofil für die Entschlüsselung Definieren Sie ein Entschlüsselungsprofil für den übereinstimmenden Datenverkehr und wählen Sie es aus. Hierbei kann es sich um ein externes, internes oder ein Umgehungsprofil handeln. Einzelheiten dazu finden Sie unter Erstellen von TLS-Entschlüsselungsaktionsprofilen.
    Angewendet auf Wählen Sie ein oder mehrere Tier-1-Gateways aus.
  7. Klicken Sie auf Veröffentlichen.
    Sie haben die Erstellung Ihrer Richtlinie abgeschlossen.