Die Registerkarte „Edge-Firewall“ zeigt die in der zentralisierten Firewall-Registerkarte erstellten Regeln im Modus „Nur Lesen“ an. Regeln, die Sie hier hinzufügen, werden nicht in der zentralisierten Firewall-Registerkarte angezeigt.

Warum und wann dieser Vorgang ausgeführt wird

Sie können mehrere NSX Edge-Schnittstellen und/oder IP-Adressgruppen als Quelle und Ziel für Firewallregeln hinzufügen.

Abbildung 1. Firewallregel für den Datenverkehr von einer NSX Edge-Schnittstelle zu einem HTTP-Server
Regel

Abbildung 2. Firewallregel für den ausgehenden Datenverkehr aller internen Schnittstellen (Subnetze auf mit internen Schnittstellen verbundenen Portgruppen) einer NSX Edge-Instanz zu einem HTTP-Server
Regel

Anmerkung:

Wenn Sie als Quelle Intern (internal) auswählen, wird die Regel automatisch aktualisiert, wenn Sie weitere interne Schnittstellen konfigurieren.

Abbildung 3. Firewallregel für den Datenverkehr, die SSH in einem m/c in einem internen Netzwerk zulässt
Regel

Prozedur

  1. Navigieren Sie im vSphere Web Client zu Networking & Security > NSX Edges.
  2. Doppelklicken Sie auf eine NSX Edge-Instanz.
  3. Klicken Sie auf die Registerkarte Verwalten (Manage) und anschließend auf die Registerkarte Firewall.
  4. Führen Sie einen der folgenden Schritte aus:

    Option

    Beschreibung

    So fügen Sie eine Regel an einer bestimmten Stelle der Firewalltabelle ein

    1. Wählen Sie die gewünschte Regel aus.

    2. Klicken Sie in der Spalte „Nr.“ auf Bearbeiten und wählen Sie Oben hinzufügen (Add Above) oder Unten hinzufügen (Add Below).

    Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt.

    So fügen Sie eine Regel durch Kopieren hinzu

    1. Wählen Sie die gewünschte Regel aus.

    2. Klicken Sie auf das Symbol „Kopieren“ (Kopieren).

    3. Wählen Sie die gewünschte Regel aus.

    4. Klicken Sie in der Spalte „Nr.“ auf Bearbeiten und wählen Sie Oben einfügen (Paste Above) oder Unten einfügen (Paste Below) aus.

    So fügen Sie eine Regel an einer beliebigen Stelle der Firewalltabelle hinzu

    1. Klicken Sie auf das Symbol Hinzufügen (Add) (Symbol „Hinzufügen“).

    Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt.

    Diese neue Regel ist standardmäßig aktiviert.

  5. Zeigen Sie auf die Zelle Name der neuen Regel und klicken Sie auf Bearbeiten.
  6. Geben Sie einen Namen für die neue Regel ein.
  7. Zeigen Sie auf die Zelle Quelle (Source) der neuen Regel und klicken Sie auf Bearbeiten oder .

    Wenn Sie auf geklickt haben, geben Sie eine IP-Adresse ein.

    1. Wählen Sie im Dropdown-Menü ein Objekt aus und nehmen Sie anschließend die entsprechende Auswahl vor.

      Wenn Sie vNIC-Gruppe (vNIC Group) und dann VSE wählen, gilt die Regel für den Datenverkehr, der von der NSX Edge-Instanz generiert wird. Wenn Sie Intern (internal) oder Extern (external) wählen, gilt die Regel für den Datenverkehr, der von einer internen oder Uplink-Schnittstelle der ausgewählten NSX Edge-Instanz kommt. Die Regel wird automatisch aktualisiert, wenn Sie weitere Schnittstellen konfigurieren. Beachten Sie, dass die Firewallregeln für interne Schnittstellen nicht für einen logischen Router gelten.

      Wenn Sie IP-Sätze (IP Sets) wählen, können Sie eine neue IP-Adressgruppe erstellen. Sobald Sie die neue Gruppe erstellt haben, wird sie automatisch zur Spalte „Quelle“ hinzugefügt. Weitere Informationen zum Erstellen eines IP Set finden Sie unter Erstellen einer IP-Adressgruppe.

    2. Klicken Sie auf OK.
  8. Zeigen Sie auf die Zelle Ziel (Destination) der neuen Regel und klicken Sie auf Bearbeiten oder .
    1. Wählen Sie im Dropdown-Menü ein Objekt aus und nehmen Sie anschließend die entsprechende Auswahl vor.

      Wenn Sie vNIC-Gruppe (vNIC Group) und dann VSE wählen, gilt die Regel für den Datenverkehr, der von der NSX Edge-Instanz generiert wird. Wenn Sie Intern (internal) oder Extern (external) wählen, gilt die Regel für den Datenverkehr, der zu einer internen oder Uplink-Schnittstelle der ausgewählten NSX Edge-Instanz kommt. Die Regel wird automatisch aktualisiert, wenn Sie weitere Schnittstellen konfigurieren. Beachten Sie, dass die Firewallregeln für interne Schnittstellen nicht für einen logischen Router gelten.

      Wenn Sie IP-Sätze (IP Sets) wählen, können Sie eine neue IP-Adressgruppe erstellen. Sobald Sie die neue Gruppe erstellt haben, wird sie automatisch zur Spalte „Quelle“ hinzugefügt. Weitere Informationen zum Erstellen eines IP Set finden Sie unter Erstellen einer IP-Adressgruppe.

    2. Klicken Sie auf OK.
  9. Zeigen Sie auf die Zelle Dienst (Service) der neuen Regel und klicken Sie auf Bearbeiten oder .
    • Wenn Sie auf Bearbeiten geklickt haben, wählen Sie einen Dienst aus. Zum Erstellen eines neuen Dienstes oder einer neuen Dienstgruppe klicken Sie auf Neu (New). Sobald Sie den neuen Dienst erstellt haben, wird er automatisch zur Spalte „Dienst“ hinzugefügt. Weitere Informationen zum Erstellen eines neuen Diensts finden Sie unter Erstellen eines Diensts.

    • Wenn Sie auf geklickt haben, wählen Sie ein Protokoll aus. Sie können den Quellport angeben, indem Sie neben „Erweiterte Optionen“ auf den Pfeil klicken. Es wird empfohlen, ab Version 5.1 den Quellport nicht anzugeben. Sie können stattdessen einen Dienst für eine Protokoll-Port-Kombination erstellen.

    Anmerkung:

    NSX Edge unterstützt nur Dienste, die mit L3-Protokollen definiert sind.

  10. Zeigen Sie auf die Zelle Aktion (Action) der neuen Regel und klicken Sie auf Bearbeiten. Treffen Sie eine entsprechende Auswahl, wie in der nachfolgenden Tabelle beschrieben, und klicken Sie auf OK.

    Ausgewählte Aktion

    Ergebnis

    Zulassen

    Lässt Datenverkehr zwischen der angegebenen Quelle und dem Ziel zu.

    Blockieren

    Blockiert den Datenverkehr zwischen der angegebenen Quelle und dem Ziel.

    Ablehnen

    Versendet Ablehnungsmeldungen für nicht angenommene Pakete.

    RST-Pakete werden für TCP-Pakete gesendet.

    ICMP-unerreichbare (administrativ eingeschränkte) Pakete werden für andere Pakete gesendet.

    Protokoll

    Protokolliert alle Sitzungen, auf die diese Regel zutrifft. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.

    Nicht protokollieren

    Protokolliert keine Sitzungen.

    Anmerkungen

    Geben Sie bei Bedarf Kommentare ein.

    Erweiterte Optionen > Abgleich mit Übersetzt

    Wendet die Regel auf die übersetzten IP-Adressen und Dienste für eine NAT-Regel an

    Regelrichtung aktivieren

    Gibt an, ob es sich um eine ein- oder ausgehende Regel handelt.

    Es wird nicht empfohlen, die Richtung für Firewallregeln anzugeben.

  11. Klicken Sie auf Änderungen veröffentlichen (Publish Changes), um die neue Regel für die NSX Edge-Instanz zu veröffentlichen.

Nächste Maßnahme

  • Deaktivieren Sie eine Regel durch Klicken auf Deaktivieren neben der Regelnummer in der Spalte Nr. (No.).

  • Blenden Sie erstellte Regeln oder Vorab-Regeln (auf der zentralisierten Firewall-Registerkarte hinzugefügte Regeln) aus, indem Sie auf Erstellte Regeln ausblenden (Hide Generated rules) oder auf Vorab-Regeln ausblenden (Hide Pre rules) klicken.

  • Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf Spalten auswählen klicken und die entsprechenden Spalten auswählen.

    Spaltenname

    Angezeigte Informationen

    Regel-Tag

    Eindeutige, systemgenerierte ID für jede Regel

    Protokoll

    Datenverkehr für diese Regel wird protokolliert bzw. nicht protokolliert

    Statistik

    Durch Klicken auf Statistikenwird der von dieser Regel betroffene Datenverkehr angezeigt (Anzahl der Sitzungen, Datenverkehrspakete und Größe)

    Anmerkungen

    Anmerkungen zur Regel

  • Suchen Sie nach Regeln, indem Sie Text in das Feld „Suche“ eingeben.