Eine Sicherheitsrichtlinie ist ein Satz von Guest Introspection-, Firewall- und Netzwerk-Introspektionsdiensten, die auf eine Sicherheitsgruppe angewendet werden können. Die Anzeigereihenfolge der Sicherheitsrichtlinien richtet sich nach ihrer Gewichtung. Standardmäßig wird einer neuen Richtlinie die höchste Gewichtung zugewiesen, sodass die Richtlinie sich ganz oben in der Tabelle befindet. Sie können die standardmäßig zugewiesene Gewichtung jedoch ändern und so die Reihenfolge der neuen Richtlinie ändern.

Vorbereitungen

Stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:

  • Die erforderlichen integrierten VMware-Dienste müssen installiert sein (beispielsweise Distributed Firewall, Data Security und Guest Introspection).

  • Die erforderlichen Partnerdienste müssen bei NSX Manager registriert worden sein.

  • Der gewünschte Standardwert für „Angewendet auf“ wurde für Service Composer-Firewallregeln festgelegt. Weitere Informationen dazu finden Sie unter Bearbeiten der Einstellung „Angewendet auf“ für die Service Composer-Firewall.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Networking & Security und dann auf Service Composer.
  3. Klicken Sie auf die Registerkarte Sicherheitsrichtlinien (Security Policies).
  4. Klicken Sie auf das Symbol Sicherheitsrichtlinie erstellen (Create Security Policy) (Hinzufügen).
  5. Geben Sie im Dialogfeld „Sicherheitsrichtlinie hinzufügen“ einen Namen für die Sicherheitsrichtlinie ein.
  6. Geben Sie eine Beschreibung für die Sicherheitsrichtlinie ein.

    NSX weist der Richtlinie eine Standardgewichtung zu (höchste Gewichtung +1000). Wenn die höchste Gewichtung der vorhandenen Richtlinien beispielsweise 1200 ist, wird der neuen Richtlinie die Gewichtung 2200 zugewiesen.

    Sicherheitsrichtlinien werden anhand ihrer Gewichtung angewendet. Richtlinien mit höherer Gewichtung haben Vorrang vor Richtlinien mit niedrigerer Gewichtung.

  7. Wählen Sie Sicherheitsrichtlinie von angegebener Richtlinie übernehmen (Inherit security policy from specified policy), wenn die neu erstellte Richtlinie Dienste von einer anderen Sicherheitsrichtlinie übernehmen soll. Wählen Sie die übergeordnete Richtlinie aus.

    Die neue Richtlinie übernimmt alle Dienste der übergeordneten Richtlinie.

  8. Klicken Sie auf Weiter (Next).
  9. Klicken Sie auf der Seite für Guest Introspection-Dienste auf das Symbol Guest Introspection-Dienst hinzufügen (Add Guest Introspection Service) (Symbol „Hinzufügen“).
    1. Geben Sie im Dialogfeld „Guest Introspection-Dienst hinzufügen“ einen Namen und eine Beschreibung für den Dienst ein.
    2. Geben Sie an, ob Sie den Dienst anwenden oder blockieren möchten.

      Wenn Sie eine Sicherheitsrichtlinie übernehmen, können Sie festlegen, dass ein Dienst der übergeordneten Richtlinie blockiert werden soll.

      Falls Sie einen Dienst übernehmen möchten, wählen Sie einen Dienst und ein Dienstprofil aus. Falls Sie einen Dienst blockieren möchten, wählen Sie den Diensttyp aus, der blockiert werden soll.

    3. Falls Sie sich dafür entschieden haben, einen Dienst zu blockieren, wählen Sie den Diensttyp aus.

      Wenn Sie Data Security auswählen, müssen Sie über eine Datensicherheitsrichtlinie verfügen. Weitere Informationen dazu finden Sie unter Data Security.

    4. Falls Sie einen Guest Introspection-Dienst übernehmen möchten, wählen Sie den Dienstnamen aus.

      Das voreingestellte Dienstprofil für den ausgewählten Dienst wird angezeigt. Darin finden Sie Informationen zu Dienstfunktionstypen, die von der entsprechenden Anbietervorlage unterstützt werden.

    5. Geben Sie unter Zustand (State) an, ob der ausgewählte Guest Introspection-Dienst aktiviert oder deaktiviert sein soll.

      Sie können Guest Introspection-Dienste als Platzhalter für Dienste hinzufügen, die zu einem späteren Zeitpunkt aktiviert werden sollen. Dies ist besonders nützlich, wenn Dienste bei Bedarf angewendet werden müssen (beispielsweise neue Anwendungen).

    6. Geben Sie an, ob der Guest Introspection-Dienst erzwungen werden soll (in diesem Fall kann er nicht außer Kraft gesetzt werden). Falls das ausgewählte Dienstprofil mehrere Dienstfunktionstypen unterstützt, dann ist standardmäßig Erzwingen (Enforce) eingestellt. Diese Einstellung kann nicht geändert werden.

      Wenn Sie einen Guest Introspection-Dienst in einer Sicherheitsrichtlinie erzwingen, erfordern andere Richtlinien, die diese Sicherheitsrichtlinie übernehmen, dass diese Richtlinie vor den anderen untergeordneten Richtlinien angewendet wird. Wenn dieser Dienst nicht erzwungen wird, würde bei Auswahl der Vererbung die übergeordnete Richtlinie hinzugefügt, nachdem die untergeordneten Richtlinien angewendet wurden.

    7. Klicken Sie auf OK.

    Sie können weitere Guest Introspection-Dienste hinzufügen, indem Sie die oben beschriebenen Schritte ausführen. Die Guest Introspection-Dienste können mithilfe der Symbole oberhalb der Diensttabelle verwaltet werden.

    Sie können die Dienste auf dieser Seite exportieren oder kopieren, indem Sie unten rechts auf der Seite „Guest Introspection-Dienste“ auf das Symbol Exportieren klicken.

  10. Klicken Sie auf Weiter (Next).
  11. Klicken Sie auf der Seite „Firewall“ auf das Symbol Firewallregel hinzufügen (Add Firewall Rule) (Symbol „Hinzufügen“).

    Hier definieren Sie die Firewallregeln für die Sicherheitsgruppe(n), auf die diese Sicherheitsrichtlinie angewendet wird.

    1. Geben Sie einen Namen und eine Beschreibung für die Firewallregel ein, die Sie hinzufügen.
    2. Wählen Sie Zulassen (Allow) oder Blockieren (Block), um festzulegen, ob die Regel den Datenverkehr zum ausgewählten Ziel zulassen oder blockieren soll.
    3. Wählen Sie die Quelle für die Regel aus. Standardmäßig gilt die Regel für den Datenverkehr, der von den Sicherheitsgruppen stammt, auf die diese Richtlinie angewendet wird. Zum Ändern der Standardquelle klicken Sie auf Ändern (Change) und wählen die entsprechenden Sicherheitsgruppen aus.
    4. Wählen Sie das Ziel für die Regel aus.
      Anmerkung:

      Entweder das Ziel oder die Quelle (oder beide) müssen Sicherheitsgruppen sein, auf die diese Richtlinie angewendet wird.

      Angenommen, Sie erstellen eine Regel mit der Standardquelle, geben als Ziel „Gehaltsabrechnung“ an und wählen Ziel ablehnen (Negate Destination) aus. Dann wenden Sie diese Sicherheitsrichtlinie auf die Sicherheitsgruppe „Technik“ an. Dies würde bewirken, dass „Technik“ auf alles zugreifen kann, mit Ausnahme des Servers „Gehaltsabrechnung“.

    5. Wählen Sie die Dienste und/oder Dienstgruppen aus, für die die Regel gilt.
    6. Wählen Sie Aktiviert (Enabled) oder Deaktiviert (Disabled), um den Status der Regel anzugeben.
    7. Klicken Sie auf Protokoll (Log), um die Sitzungen, die unter diese Regel fallen, zu protokollieren.

      Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.

    8. Klicken Sie auf OK.

    Sie können weitere Firewallregeln hinzufügen, indem Sie die oben beschriebenen Schritte ausführen. Die Firewallregeln können mithilfe der Symbole oberhalb der Firewalltabelle verwaltet werden.

    Sie können die Regeln auf dieser Seite exportieren oder kopieren, indem Sie unten rechts auf der Seite „Firewall“ auf das Symbol Exportieren klicken.

    Die Firewallregeln, die Sie hier hinzufügen, werden in der Firewalltabelle angezeigt. VMware empfiehlt, die Service Composer-Regeln in der Firewalltabelle nicht zu bearbeiten. Wenn dies zur Fehlerbehebung im Notfall erforderlich ist, müssen Sie die Service Composer-Regeln mit den Firewallregeln neu synchronisieren, indem Sie auf der Registerkarte „Sicherheitsrichtlinien“ im Menü Aktionen (Synchronize Firewall Rules) die Option Firewallregeln synchronisieren (Actions) auswählen.

  12. Klicken Sie auf Weiter (Next).

    Auf der Seite „Netzwerk-Introspektionsdienste“ werden NetX-Dienste angezeigt, die Sie in Ihre virtuelle VMware-Umgebung integriert haben.

  13. Klicken Sie auf das Symbol Netzwerk-Introspektionsdienst hinzufügen (Add Network Introspection Service) (Symbol „Hinzufügen“).
    1. Geben Sie im Dialogfeld „Netzwerk-Introspektionsdienst hinzufügen“ einen Namen und eine Beschreibung für den Dienst ein, den Sie hinzufügen.
    2. Geben Sie an, ob der Dienst umgeleitet werden soll oder nicht.
    3. Wählen Sie den Dienstnamen und das Dienstprofil aus.
    4. Wählen Sie die Quelle und das Ziel aus.
    5. Wählen Sie den gewünschten Netzwerkdienst zum Hinzufügen aus.

      Je nach ausgewähltem Dienst stehen Ihnen weitere Auswahloptionen zur Verfügung.

    6. Wählen Sie aus, ob der Dienst aktiviert oder deaktiviert sein soll.
    7. Klicken Sie auf „Protokoll“, um die Sitzungen, die unter diese Regel fallen, zu protokollieren.
    8. Klicken Sie auf OK.

    Sie können weitere Netzwerk-Introspektionsdienste hinzufügen, indem Sie die oben beschriebenen Schritte ausführen. Die Netzwerk-Introspektionsdienste können mithilfe der Symbole oberhalb der Diensttabelle verwaltet werden.

    Sie können die Dienste auf dieser Seite exportieren oder kopieren, indem Sie unten rechts auf der Seite „Netzwerk-Introspektionsdienste“ auf das Symbol Exportieren klicken.

    Anmerkung:

    In den Richtlinien für Service Composer verwendete manuell erstellte Bindungen für die Dienstprofile werden überschrieben.

  14. Klicken Sie auf Beenden (Finish).

    Die Sicherheitsrichtlinie wird der Richtlinientabelle hinzugefügt. Durch Klicken auf den Namen der Richtlinie und Auswahl der entsprechenden Registerkarte können Sie eine Übersicht der der Richtlinie zugeordneten Dienste anzeigen, Dienstfehler anzeigen oder einen Dienst bearbeiten.

Nächste Maßnahme

Weisen Sie die Sicherheitsrichtlinie einer Sicherheitsgruppe zu.