Sie fügen Firewallregeln im Geltungsbereich des NSX Manager hinzu. Wenn Sie das Feld „Angewendet auf“ verwenden, können Sie den Geltungsbereich einschränken, in dem Sie die Regel anwenden möchten. Sie können mehrere Objekte auf Quell- und Zielebene für jede Regel hinzufügen, um so die Gesamtzahl der zu erstellenden Firewallregeln zu verringern.

Warum und wann dieser Vorgang ausgeführt wird

Die folgenden vCenter-Objekte können als Quelle oder Ziel für eine Firewallregel angegeben werden:

Tabelle 1. Für Firewallregeln unterstützte Objekte

Quelle oder Ziel

Angewendet auf

  • Cluster

  • Datencenter

  • verteilte Portgruppe

  • IP Set

  • Legacy-Portgruppe

  • Logischer Switch

  • Ressourcenpool

  • Sicherheitsgruppe

  • vApp

  • virtuelle Maschine

  • vNIC

  • IP-Adresse (IPv4 oder IPv6)

  • Alle Cluster, auf denen die Verteilte Firewall installiert wurde (in anderen Worten: alle Cluster, die für Netzwerkvisualisierung vorbereitet wurden)

  • Alle auf vorbereiteten Clustern installierte Edge Gateways

  • Cluster

  • Datencenter

  • verteilte Portgruppe

  • Edge

  • Legacy-Portgruppe

  • Logischer Switch

  • Sicherheitsgruppe

  • virtuelle Maschine

  • vNIC

Voraussetzungen

Stellen Sie sicher, dass sich die Verteilte Firewall von NSX nicht im Abwärtskompatibilitätsmodus befindet. Um den aktuellen Status zu überprüfen, verwenden Sie den REST API-Aufruf „GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/status“. Wenn der aktuelle Status der Abwärtskompatibilitätsmodus ist, können Sie den Status durch den REST API-Aufruf „PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state“ ändern. Versuchen Sie nicht, eine Regel für eine Verteilte Firewall zu veröffentlichen, während sich die Verteilte Firewall im Abwärtskompatibilitätsmodus befindet.

Weitere Informationen zum Hinzufügen von universellen Firewallregeln finden Sie unter Hinzufügen einer universellen Firewallregel.

Wenn Sie eine identitätsbasierte Firewallregel hinzufügen, stellen Sie Folgendes sicher:

  • Mindestens eine Domäne wurde bei NSX Manager registriert. NSX Manager ruft Gruppen- und Benutzerinformationen sowie die Beziehung zwischen diesen aus jeder Domäne ab, die bei NSX Manager registriert ist. Weitere Informationen dazu finden Sie unter Registrieren einer Windows-Domäne mit NSX Manager.

  • Eine auf Active Directory-Objekten basierte Sicherheitsgruppe wurde erstellt, die als Quelle oder Ziel der Regel verwendet werden kann. Weitere Informationen dazu finden Sie unter Erstellen einer Sicherheitsgruppe.

Wenn Sie eine auf ein VMware vCenter-Objekt basierende Regel hinzufügen, stellen Sie sicher, dass VMware Tools auf den virtuellen Maschinen installiert ist. Weitere Informationen hierzu finden Sie im Installationshandbuch für NSX.

VMs, die von 6.1.5 auf 6.2.3 migriert wurden, bieten keine Unterstützung für TFTP ALG. Um die Unterstützung für TFTP ALG nach der Migration zu aktivieren, fügen Sie die VM hinzu und entfernen Sie diese aus der Ausschlussliste oder starten Sie die VM neu. Ein neuer 6.2.3-Filter wird erstellt, der TFTP ALG unterstützt.

Prozedur

  1. Navigieren Sie im vSphere Web Client zu Networking & Security > Firewall.
  2. Achten Sie beim Hinzufügen einer L3-Regel darauf, dass Sie sich auf der Registerkarte Allgemein (General) befinden. Klicken Sie auf die Registerkarte Ethernet, um eine L2-Regel hinzuzufügen.
  3. Klicken Sie in dem Abschnitt, in dem Sie eine Regel hinzufügen, auf das Symbol Regel hinzufügen (Add rule) (Symbol „Hinzufügen“).
  4. Klicken Sie auf Änderungen veröffentlichen (Publish Changes).

    Die neue Regel wird an oberster Stelle im Abschnitt eingefügt. Wenn der Abschnitt nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt.

    Wenn Sie eine Regel an einer bestimmten Stelle im Abschnitt einfügen möchten, wählen Sie eine Regel aus. Klicken Sie in der Spalte „Nr.“ auf und wählen Sie Oben hinzufügen (Add Above) oder Unten hinzufügen (Add Below) aus.

  5. Zeigen Sie auf die Zelle Name der neuen Regel und klicken Sie auf Bearbeiten.
  6. Geben Sie einen Namen für die neue Regel ein.
  7. Zeigen Sie auf die Zelle Quelle (Source) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.

    Option

    Beschreibung

    Klicken Sie auf IP.

    Zur Angabe der Quelle als IP-Adresse.

    1. Wählen Sie das IP-Adressenformat aus.

      Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.

    2. Geben Sie die IP-Adresse ein.

      Sie können mehrere IP-Adressen in einer kommagetrennten Liste eingeben. Die Liste kann bis zu 255 Zeichen lang sein.

    Klicken Sie auf

    Zur Angabe der Quelle als Objekt und nicht als bestimmte IP-Adresse.

    1. Wählen Sie unter Ansicht (View) den Container des Ursprungs der Kommunikation aus.

      Die Objekte des ausgewählten Containers werden angezeigt.

    2. Wählen Sie mindestens ein Objekt aus und klicken Sie auf Hinzufügen.

      Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Quelle“ hinzugefügt. Weitere Informationen zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter Netzwerk- und Sicherheitsobjekte.

    3. Klicken Sie zum Ausschließen einer Quelle von der Regel auf Erweiterte Optionen (Advanced options).

    4. Wählen Sie Quelle ablehnen (Negate Source), um diese Quelle von der Regel auszuschließen.

      Wenn Quelle ablehnen (Negate Source) ausgewählt ist, gilt die Regel für den Datenverkehr, der aus allen Quellen außer der Quelle stammt, die Sie im vorherigen Schritt angegeben haben.

      Wenn Quelle ablehnen (Negate Source) nicht ausgewählt ist, gilt die Regel für den Datenverkehr, der aus den Quellen stammt, die Sie im vorherigen Schritt angegeben haben.

    5. Klicken Sie auf OK.

  8. Zeigen Sie auf die Zelle Ziel (Destination) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.

    Option

    Beschreibung

    Klicken Sie auf IP.

    Zur Angabe des Ziels als IP-Adresse.

    1. Wählen Sie das IP-Adressenformat aus.

      Firewall unterstützt sowohl das IPv4- als auch das IPv6-Format.

    2. Geben Sie die IP-Adresse ein.

      Sie können mehrere IP-Adressen in einer kommagetrennten Liste eingeben. Die Liste kann bis zu 255 Zeichen lang sein.

    Klicken Sie auf

    Zur Angabe des Ziels als Objekt und nicht als bestimmte IP-Adresse.

    1. Wählen Sie unter Ansicht (View) den Container des Ziels der Kommunikation aus.

      Die Objekte des ausgewählten Containers werden angezeigt.

    2. Wählen Sie mindestens ein Objekt aus und klicken Sie auf Hinzufügen.

      Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Ziel“ hinzugefügt. Weitere Informationen zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter Netzwerk- und Sicherheitsobjekte.

    3. Klicken Sie zum Ausschließen eines Zielports auf Erweiterte Einstellungen (Advanced options).

    4. Wählen Sie Ziel ablehnen (Negate Destination), um das Ziel von der Regel auszuschließen.

      Wenn Ziel ablehnen (Negate Destination) ausgewählt ist, gilt die Regel für den Datenverkehr, der zu allen Zielen außer dem Ziel geht, das Sie im vorherigen Schritt angegeben haben.

      Wenn Ziel ablehnen (Negate Destination) nicht ausgewählt ist, gilt die Regel für den Datenverkehr, der zum Ziel geht, das Sie im vorherigen Schritt angegeben haben.

    5. Klicken Sie auf OK.

  9. Zeigen Sie auf die Zelle Dienst (Service) der neuen Regel. Zusätzliche Symbole werden wie in der Tabelle unten beschrieben angezeigt.

    Option

    Beschreibung

    Klicken Sie auf Port.

    So geben Sie einen Dienst als Port-Protokoll-Kombination an.

    1. Wählen Sie das Dienstprotokoll aus.

      Die Verteilte Firewall unterstützt ALG (Application Level Gateway) für die folgenden Protokolle: TFTP, FTP, ORACLE, TNS, MS-RPC und SUN-RPC.

      Edge unterstützt ein ALG für FTP, TFTP und SNMP_BASIC.

      Hinweis: VMs, die von 6.1.5 auf 6.2.3 migriert wurden, bieten keine Unterstützung für TFTP ALG. Um die Unterstützung für TFTP ALG nach der Migration zu aktivieren, fügen Sie die VM hinzu und entfernen Sie diese aus der Ausschlussliste oder starten Sie die VM neu. Ein neuer 6.2.3-Filter wird erstellt, der TFTP ALG unterstützt.

    2. Geben Sie die Portnummer ein und klicken Sie auf OK.

    Klicken Sie auf

    So wählen Sie einen vordefinierten Dienst/eine vordefinierte Dienstgruppe aus oder definieren einen neuen Dienst bzw. eine neue Dienstgruppe.

    1. Wählen Sie mindestens ein Objekt aus und klicken Sie auf Hinzufügen.

      Sie können einen neuen Dienst oder eine neue Dienstgruppe erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Ausgewählte Objekte“ hinzugefügt.

    2. Klicken Sie auf OK.

    Zum Schutz Ihres Netzwerks vor ACK- oder SYN-Überflutung können Sie den Dienst auf TCP-all_ports oder UDP-all_ports setzen und „Zu blockierende Aktion“ als Standardregel festlegen. Weitere Informationen zum Ändern der Standardregel finden Sie unter Bearbeiten der standardmäßigen Regel für die Verteilte Firewall.

  10. Zeigen Sie auf die Zelle Aktion (Action) der neuen Regel und klicken Sie auf Bearbeiten. Treffen Sie eine entsprechende Auswahl, wie in der nachfolgenden Tabelle beschrieben, und klicken Sie auf OK.

    Aktion

    Ergebnis

    Zulassen

    Lässt Datenverkehr von oder zu angegebener/n Quelle/n, Ziel/en und Dienst/en zu.

    Blockieren

    Blockiert Datenverkehr von oder zu angegebener/n Quelle/n, Ziel/en und Dienst/en.

    Ablehnen

    Versendet Ablehnungsmeldungen für nicht angenommene Pakete.

    RST-Pakete werden für TCP-Verbindungen versendet.

    ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet.

    Protokoll

    Protokolliert alle Sitzungen, auf die diese Regel zutrifft. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.

    Nicht protokollieren

    Protokolliert keine Sitzungen.

  11. Definieren Sie in Angewendet auf (Applied To) die Ebene, auf der diese Regel anwendbar ist. Treffen Sie eine entsprechende Auswahl, wie in der nachfolgenden Tabelle beschrieben, und klicken Sie auf OK.

    Zum Anwenden einer Regel auf

    Führen Sie Folgendes durch

    Alle vorbereiteten Cluster in Ihrer Umgebung

    Wählen Sie Wenden Sie diese Regel auf alle Cluster an, auf denen die Verteilte Firewall aktiviert ist (Apply this rule on all clusters on which Distributed Firewall is enabled). Nachdem Sie auf „OK“ geklickt haben, wird in der Spalte „Angewendet auf“ die Option Verteilte Firewall (Distributed Firewall) angezeigt.

    Alle NSX Edge Gateways in Ihrer Umgebung

    Wählen Sie Wenden Sie diese Regel auf alle Edge-Gateways an (Apply this rule on all Edge gateways). Nachdem Sie auf „OK“ geklickt haben, wird in der Spalte „Angewendet auf“ die Option Alle Edges (All Edges) angezeigt.

    Wenn beide genannten Optionen ausgewählt sind, wird in der Spalte „Angewendet auf“ die Option Beliebig (Any) angezeigt.

    Mindestens ein Cluster, Datencenter, Netzwerk, logischen Switch, eine verteilte virtuelle Portgruppe, NSX Edge, virtuelle Maschine oder vNIC

    1. Wählen Sie unter Containertyp (Container type) das entsprechende Objekt aus.

    2. Wählen Sie in der Liste „Verfügbar“ mindestens ein Objekt aus und klicken Sie auf Hinzufügen.

    Wenn die Regel virtuelle Maschinen/vNICs in den Feldern „Quelle“ und „Ziel“ enthält, müssen Sie sowohl die Quell-VMs/-vNICs als auch die Ziel-VMs/-vNICs zu Angewendet auf (Applied To) hinzufügen, damit die Regel richtig angewandt wird.

  12. Klicken Sie auf Änderungen veröffentlichen (Publish Changes).

    Nach kurzer Zeit wird eine Meldung mit der Angabe angezeigt, ob der Veröffentlichungsvorgang erfolgreich war. Im Falle eines Fehlers werden die Hosts, auf die die Regel nicht angewendet wurde, nicht aufgeführt. Weitere Details zu fehlgeschlagenen Veröffentlichungen finden Sie, wenn Sie zu NSX Manager (NSX Managers) > NSX_Manager_IP_Address > Überwachen (Monitor) > Systemereignisse (System Events) navigieren.

    Wenn Sie auf Änderungen veröffentlichen (Publish Changes) klicken, wird die Konfiguration der Firewall automatisch gespeichert. Informationen zum Wiederherstellen einer früheren Konfiguration finden Sie unter Laden der Firewallkonfiguration.

Nächste Maßnahme

  • Deaktivieren Sie eine Regel durch Klicken auf Deaktivieren oder aktivieren Sie eine Regel durch Klicken auf Regel aktivieren.

  • Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf Spalten auswählen klicken und die entsprechenden Spalten auswählen.

    Spaltenname

    Angezeigte Informationen

    Regel-ID

    Eindeutige, systemgenerierte ID für jede Regel

    Protokoll

    Datenverkehr für diese Regel wird protokolliert bzw. nicht protokolliert

    Statistik

    Mit einem Klick auf Statistik wird der auf diese Regel bezogene Datenverkehr angezeigt (Datenverkehrspakete und Größe).

    Anmerkungen

    Anmerkungen zur Regel

  • Suchen Sie nach Regeln, indem Sie Text in das Feld „Suche“ eingeben.

  • Verschieben Sie eine Regel in der Firewalltabelle nach oben oder nach unten.

  • Führen Sie Abschnitte zusammen, indem Sie auf das Symbol Abschnitt zusammenführen (Merge section) klicken und die Option Mit Abschnitt oben zusammenführen (Merge with above section) oder Mit Abschnitt unten zusammenführen (Merge with below section) auswählen.