Sie können die Einstellung „Angewendet auf“ für alle Firewallregeln, die über Service Composer erstellt wurden, entweder auf die Verteilte Firewall oder auf die Sicherheitsgruppen der Richtlinie festlegen. Standardmäßig für „Angewendet auf“ die Verteilte Firewall eingestellt.

Warum und wann dieser Vorgang ausgeführt wird

Wenn für Firewallregeln des Service Composer die Einstellung „Angewendet auf“ auf die Verteilte Firewall festgelegt ist, werden die Regeln auf alle Cluster angewendet, auf denen die Verteilte Firewall installiert ist. Wenn die Firewallregeln auf die Sicherheitsgruppen der Richtlinie angewendet werden, können Sie die Firewallregeln präziser festlegen, benötigen aber eventuell mehrere Sicherheitsrichtlinien oder Firewallregeln für das gewünschte Ergebnis.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Networking & Security, anschließend auf Service Composer und dann auf die Registerkarte Sicherheitsrichtlinien (Security Policies).
  3. Klicken Sie auf Aktionen (Actions) > Richtlinien-Firewalleinstellungen bearbeiten (Edit Firewall Policy Settings). Wählen Sie eine Standardeinstellung für „Angewendet auf“ aus und klicken Sie auf „OK“.

    Option

    Beschreibung

    Verteilte Firewall

    Die Firewallregeln werden auf alle Cluster angewendet, auf denen die Verteilte Firewall installiert ist.

    Sicherheitsgruppen der Richtlinie

    Die Firewallregeln werden auf alle Sicherheitsgruppen angewendet, für die die Sicherheitsrichtlinie gilt.

    Die Standardeinstellung für „Angewendet auf“ kann über die API angezeigt und geändert werden. Weitere Informationen finden Sie unter Handbuch zu NSX-API.

Verhalten von „Angewendet auf“

Im folgenden Beispielszenario wurde als Standardaktion der Firewallregel „Blockieren“ festgelegt. Sie verfügen über zwei Sicherheitsgruppen: web-servers (Webserver) und app-servers (App-Server), die VMs enthalten. Sie erstellen eine Sicherheitsrichtlinie (allow-ssh-from-web), die die im Folgenden aufgeführte Firewallregel enthält und diese auf die App-Server der Sicherheitsgruppe anwendet.

  • Name: allow-ssh-from-web

  • Quelle: web-servers

  • Ziel: Sicherheitsgruppe der Richtlinie

  • Dienst: ssh

  • Aktion: Zulassen

Wenn die Firewallregel auf die Verteilte Firewall angewendet wird, können Sie eine SSH-Verbindung von einer VM in der Sicherheitsgruppe „web-servers“ mit einer VM in der Sicherheitsgruppe „app-servers“ herstellen.

Wenn die Firewallregel auf die Sicherheitsgruppe der Richtlinie angewendet wird, können Sie keine SSH-Verbindung herstellen, da der Datenverkehr zu den App-Servern blockiert ist. Um eine SSH-Verbindung mit den App-Servern zu ermöglichen, müssen Sie eine zusätzliche Sicherheitsrichtlinie erstellen und diese auf die Sicherheitsgruppe „web-servers“ anwenden.

  • Name: allow-ssh-to-app

  • Quelle: Sicherheitsgruppe der Richtlinie

  • Ziel: app-servers

  • Dienst: ssh

  • Aktion: Zulassen