Distributed Firewall ist eine im Hypervisor-Kernel eingebettete Firewall, die Zugriff und Steuerung für virtualisierte Arbeitslasten und Netzwerke bietet. Sie können auf der Grundlage von VMware vCenter-Objekten wie Datencentern und Clustern, Namen und Tags virtueller Maschinen, Netzwerkkonstrukten wie IP-/IPSet-Adressen, VLAN (DVS Portgruppen), VXLAN (logische Switches), Sicherheitsgruppen sowie Benutzergruppen-Identität von Active Directory Richtlinien für die Zugriffssteuerung erstellen. Firewallregeln werden auf der vNIC-Ebene der einzelnen virtuellen Maschinen erzwungen, um eine konsistente Zugriffssteuerung zu ermöglichen, selbst wenn die virtuelle Maschine Gegenstand von vMotion wird. Dadurch, dass die Firewall in den Hypervisor eingebettet wird, wird ein Durchsatz fast mit Leitungsgeschwindigkeit erzielt. Dies ermöglicht wiederum höhere Arbeitslasten auf physischen Servern. Die verteilte Eigenschaft der Firewall liefert eine Architektur mit horizontaler Skalierung, die automatisch die Firewall-Kapazitäten erweitert, wenn zusätzliche Hosts zu einem Datencenter hinzugefügt werden.

Für L2-Pakete erstellt Distributed Firewall zwecks Leistungssteigerung einen Cache. L3-Pakete werden in der folgenden Reihenfolge bearbeitet:

  1. Alle Pakete werden auf den gegenwärtigen Zustand überprüft. Dieser Schritt wird ebenfalls für SYNs durchgeführt, damit unechte oder wiedergesendete SYNs für bestehende Sitzungen erkannt werden können.

  2. Wird keine Zustandsübereinstimmung gefunden, werden die Pakete bearbeitet.

  3. Wenn keine Zustandsübereinstimmung gefunden wird, wird das Paket den Regeln entsprechend bearbeitet, bis eine Übereinstimmung gefunden wird.

    • Für TCP-Pakete wird ein Zustand nur für Pakete mit einer SYN-Markierung gesetzt. Regeln, in denen kein Protokoll angegeben wird (service ANY), können Übereinstimmungen für TCP-Pakete mit jeder beliebigen Kombination an Markierungen finden.

    • Für UDP-Pakete werden 5-Tupel-Details aus dem Paket extrahiert. Ist ein Zustand nicht in der Zustandstabelle vorhanden, so wird mithilfe der extrahierten 5-Tupel-Details ein neuer Zustand erstellt. Nachfolgend erhaltene Pakete werden mit dem aktuell erstellten Zustand abgeglichen.

    • Für ICMP-Pakete werden der ICMP-Typ, Code sowie die Paketrichtung zum Erstellen eines Zustands verwendet.

Distributed Firewall kann außerdem beim Erstellen identitätsbasierter Regeln helfen. Administratoren können die Zugriffssteuerung anhand der Gruppenmitgliedschaft des Benutzers gemäß der Definition im Active Directory des Unternehmens erzwingen. Es folgen einige Szenarien, bei denen identitätsbasierte Firewallregeln verwendet werden können:

  • Ein Benutzer, der mit einem Laptop oder einem Mobilgerät auf virtuelle Anwendungen zugreift, wobei die Benutzerauthentifizierung über AD erfolgt

  • Ein Benutzer, der mit einer VDI-Infrastruktur auf virtuelle Anwendungen zugreift, wobei die virtuellen Maschinen auf Microsoft Windows basieren

Falls in Ihrer Umgebung eine Firewall-Lösung von Drittanbietern eingesetzt wird, siehe Umleiten des Datenverkehrs zu einer Anbieterlösung über die logische Firewall.

Der Betrieb offener VMware Tools auf Gast- oder Arbeitslast-VMs wurde für Distributed Firewall nicht validiert.

ESXi-Schwellenwertparameter für die Ressourcenauslastung von Distributed Firewall

Jeder ESXi-Host wird mit drei Schwellenwertparametern für die DFW-Ressourcennutzung konfiguriert: CPU, RAM und CPS (Connections per Second = Verbindungen pro Sekunde). Ein Alarm wird ausgelöst, wenn während eines Zeitraums von 200 Sekunden der jeweilige Schwellenwert 20 Mal aufeinanderfolgend überschritten wird. Eine Prüfung erfolgt alle 10 Sekunden.

100 Prozent CPU entspricht der gesamten auf dem Host verfügbaren CPU.

100 Prozent RAM entspricht dem für Distributed Firewall („Gesamte Maximalgröße“) zugeteilten Arbeitsspeicher, der von der Gesamtmenge des auf dem Host installierten RAM abhängig ist.

Tabelle 1. Gesamte Maximalgröße

Physischer Arbeitsspeicher

Gesamte Maximalgröße (MB)

0 – 8 GB

160

8 GB – 32 GB

608

32 GB – 64 GB

992

64 GB – 96 GB

1920

96 GB – 128 GB

2944

128 GB

4222

Der Arbeitsspeicher wird von den internen Datenstrukturen von Distributed Firewall verwendet. Dazu gehören Filter, Regeln, Container, Verbindungsstatus, ermittelte IP-Adressen und Drop Flow-Pakete. Diese Parameter können mithilfe des folgenden API-Aufrufs bearbeitet werden:

https://NSX-MGR-IP/api/4.0/firewall/stats/eventthresholds

Request body:

<eventThresholds>
  <cpu>
    <percentValue>100</percentValue> 
  </cpu>
  <memory>
    <percentValue>100</percentValue> 
  </memory>
  <connectionsPerSecond>
    <value>100000</value> 
  </connectionsPerSecond>
</eventThresholds>