In einer Cross-vCenter NSX-Umgebung beziehen sich universelle Regeln auf die Regeln für die Verteilte Firewall, die auf dem primären NSX Manager im Abschnitt der universellen Regeln definiert wurden. Diese Regeln werden auf allen sekundären NSX Managern in Ihrer Umgebung repliziert, wodurch Sie eine einheitliche Firewallrichtlinie über vCenter-Grenzen hinweg beibehalten können. Edge-Firewallregeln werden für vMotion zwischen mehreren vCenter Servern nicht unterstützt.

Warum und wann dieser Vorgang ausgeführt wird

Der primäre NSX Manager kann mehrere universelle Abschnitte für universelle L2-Regeln sowie mehrere universelle Abschnitte für universelle L3-Regeln beinhalten. Universelle Abschnitte befinden sich über allen lokalen Abschnitten und Service Composer-Abschnitten. Universelle Abschnitte und universelle Regeln können auf den sekundären NSX Managern angezeigt, aber nicht bearbeitet werden. Die Platzierung des universellen Abschnitts in Bezug auf den lokalen Abschnitt beeinträchtigt nicht die Priorität der Regeln.

Tabelle 1. Für universelle Firewallregeln unterstützte Objekte

Quelle und Ziel

Angewendet auf

Dienst

  • universelles MAC Set

  • universelles IP Set

  • universelle Sicherheitsgruppe, die ein universelles Sicherheits-Tag, ein IP Set, ein MAC Set oder eine universelle Sicherheitsgruppe enthalten kann

  • Globaler logischer Switch

  • universelle Sicherheitsgruppe, die ein universelles Sicherheits-Tag, ein IP Set, ein MAC Set oder eine universelle Sicherheitsgruppe enthalten kann

  • Globaler logischer Switch

  • Verteilte Firewall – wendet Regeln auf allen Clustern an, auf denen die Verteilte Firewall installiert ist

  • vorab erstellte universelle Dienste und Dienstgruppen

  • vom Benutzer erstellte universelle Dienste und Dienstgruppen

Beachten Sie, dass andere vCenter-Objekte nicht für universelle Regeln unterstützt werden.

Voraussetzungen

Sie müssen einen Abschnitt für eine universelle Regel erstellen, bevor Sie universelle Regeln erstellen können. Weitere Informationen dazu finden Sie unter Hinzufügen eines Firewallregelabschnitts.

Prozedur

  1. Navigieren Sie im vSphere Web Client zu Networking & Security > Firewall.
  2. Stellen Sie in NSX Manager sicher, dass der primäre NSX Manager ausgewählt ist.

    Universelle Regeln können nur auf dem primären NSX Manager hinzugefügt werden.

  3. Achten Sie beim Hinzufügen einer universellen L3-Regel darauf, dass Sie sich auf der Registerkarte Allgemein (General) befinden. Klicken Sie auf die Registerkarte Ethernet, um eine universelle L2-Regel hinzuzufügen.
  4. Klicken Sie im universellen Abschnitt auf das Symbol Regel hinzufügen (Add rule) (Symbol „Hinzufügen“) und klicken Sie anschließend auf Änderungen veröffentlichen (Publish Changes).

    Die neue Regel wird an oberster Stelle im universellen Abschnitt eingefügt.

  5. Zeigen Sie auf die Zelle Name der neuen Regel und klicken Sie auf . Geben Sie einen Namen für die Regel ein.
  6. Zeigen Sie auf die Zelle Quelle (Source) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.

    Option

    Beschreibung

    Klicken Sie auf IP.

    Zur Angabe der Quelle als IP-Adresse.

    1. Wählen Sie das IP-Adressenformat aus.

      Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.

    2. Geben Sie die IP-Adresse ein.

    Klicken Sie auf

    So geben Sie ein universelles IP Set, ein MAC Set oder eine Sicherheitsgruppe als Quelle an.

    1. Wählen Sie unter Objekttyp (Object Type) den Container des Ursprungs der Kommunikation aus.

      Die Objekte des ausgewählten Containers werden angezeigt.

    2. Wählen Sie mindestens ein Objekt aus und klicken Sie auf Hinzufügen.

      Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Quelle“ hinzugefügt. Weitere Informationen zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter Netzwerk- und Sicherheitsobjekte.

    3. Klicken Sie zum Ausschließen einer Quelle von der Regel auf Erweiterte Optionen (Advanced options).

    4. Wählen Sie Quelle ablehnen (Negate Source), um diese Quelle von der Regel auszuschließen.

      Wenn Quelle ablehnen (Negate Source) ausgewählt ist, gilt die Regel für den Datenverkehr, der aus allen Quellen außer der Quelle stammt, die Sie im vorherigen Schritt angegeben haben.

      Wenn Quelle ablehnen (Negate Source) nicht ausgewählt ist, gilt die Regel für den Datenverkehr, der aus den Quellen stammt, die Sie im vorherigen Schritt angegeben haben.

    5. Klicken Sie auf OK.

  7. Zeigen Sie auf die Zelle Ziel (Destination) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.

    Option

    Beschreibung

    Klicken Sie auf IP.

    Zur Angabe des Ziels als IP-Adresse.

    1. Wählen Sie das IP-Adressenformat aus.

      Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.

    2. Geben Sie die IP-Adresse ein.

    Klicken Sie auf

    So geben Sie ein universelles IP Set, ein MAC Set oder eine Sicherheitsgruppe als Ziel an.

    1. Wählen Sie unter Objekttyp (Object Type) den Container des Ziels der Kommunikation aus.

      Die Objekte des ausgewählten Containers werden angezeigt.

    2. Wählen Sie mindestens ein Objekt aus und klicken Sie auf Hinzufügen.

      Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Ziel“ hinzugefügt. Weitere Informationen zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter Netzwerk- und Sicherheitsobjekte.

    3. Klicken Sie zum Ausschließen eines Ziels von der Regel auf Erweiterte Optionen (Advanced options).

    4. Wählen Sie Ziel ablehnen (Negate Destination), um das Ziel von der Regel auszuschließen.

      Wenn Ziel ablehnen (Negate Destination) ausgewählt ist, gilt die Regel für den Datenverkehr, der zu allen Zielen außer dem Ziel geht, das Sie im vorherigen Schritt angegeben haben.

      Wenn Ziel ablehnen (Negate Destination) nicht ausgewählt ist, gilt die Regel für den Datenverkehr, der zum Ziel geht, das Sie im vorherigen Schritt angegeben haben.

    5. Klicken Sie auf OK.

  8. Zeigen Sie auf die Zelle Dienst (Service) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.

    Option

    Beschreibung

    Klicken Sie auf Port.

    So geben Sie einen Dienst als Port-Protokoll-Kombination an.

    1. Wählen Sie das Dienstprotokoll aus.

      Die Verteilte Firewall unterstützt ALG (Application Level Gateway) für die folgenden Protokolle: FTP, CIFS, ORACLE, TNS, MS-RPC und SUN-RPC.

    2. Geben Sie die Portnummer ein und klicken Sie auf OK.

    Klicken Sie auf

    So wählen Sie einen vordefinierten universellen Dienst/eine vordefinierte universelle Dienstgruppe aus oder definieren einen neuen Dienst bzw. eine neue Dienstgruppe.

    1. Wählen Sie mindestens ein Objekt aus und klicken Sie auf Hinzufügen.

      Sie können einen neuen Dienst oder eine neue Dienstgruppe erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Ausgewählte Objekte“ hinzugefügt.

    2. Klicken Sie auf OK.

    Zum Schutz Ihres Netzwerks vor ACK- oder SYN-Überflutung können Sie den Dienst auf TCP-all_ports oder UDP-all_ports setzen und „Zu blockierende Aktion“ als Standardregel festlegen. Weitere Informationen zum Ändern der Standardregel finden Sie unter Bearbeiten der standardmäßigen Regel für die Verteilte Firewall.

  9. Zeigen Sie auf die Zelle Action der neuen Regel und klicken Sie auf . Treffen Sie eine entsprechende Auswahl, wie in der nachfolgenden Tabelle beschrieben, und klicken Sie auf OK.

    Aktion

    Ergebnis

    Zulassen

    Lässt Datenverkehr von oder zu angegebener/n Quelle/n, Ziel/en und Dienst/en zu.

    Blockieren

    Blockiert Datenverkehr von oder zu angegebener/n Quelle/n, Ziel/en und Dienst/en.

    Ablehnen

    Versendet Ablehnungsmeldungen für nicht angenommene Pakete.

    RST-Pakete werden für TCP-Verbindungen versendet.

    ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet.

    Protokoll

    Protokolliert alle Sitzungen, auf die diese Regel zutrifft. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.

    Nicht protokollieren

    Protokolliert keine Sitzungen.

  10. Akzeptieren Sie entweder in der Zelle Angewendet auf (Applied To) die Standardeinstellung „Verteilte Firewall“, um die Regel auf allen Clustern mit aktivierter Verteilter Firewall anzuwenden, oder klicken Sie auf das Symbol „Bearbeiten“ , um die globalen logischen Switches auszuwählen, auf denen die Regel angewendet werden soll.
  11. Klicken Sie auf Änderungen veröffentlichen (Publish Changes).

Ergebnisse

Die universelle Regel wird auf allen sekundären NSX Managern repliziert. Die Regel-ID bleibt über alle NSX-Instanzen hinweg gleich. Um die Regel-ID anzuzeigen, klicken Sie auf Spalten auswählen und klicken Sie anschließend auf „Regel-ID“.

Universelle Regeln können auf dem primären NSX Manager bearbeitet werden und sind auf den sekundären NSX Managern schreibgeschützt.

Firewallregeln mit „Universal Section Layer3“ und „Default Section Layer3“:

Firewallregeln

Nächste Maßnahme

  • Deaktivieren Sie eine Regel, indem Sie in der Spalte „Nr.“ auf Deaktivieren klicken, oder aktivieren Sie eine Regel, indem Sie auf Regel aktivieren klicken.

  • Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf Spalten auswählen klicken und die entsprechenden Spalten auswählen.

    Spaltenname

    Angezeigte Informationen

    Regel-ID

    Eindeutige, systemgenerierte ID für jede Regel

    Protokoll

    Datenverkehr für diese Regel wird protokolliert bzw. nicht protokolliert

    Statistik

    Mit einem Klick auf Statistik wird der auf diese Regel bezogene Datenverkehr angezeigt (Datenverkehrspakete und Größe).

    Anmerkungen

    Anmerkungen zur Regel

  • Suchen Sie nach Regeln, indem Sie Text in das Feld „Suche“ eingeben.

  • Verschieben Sie eine Regel in der Firewalltabelle nach oben oder nach unten.