NSX legt mit Firewallregeln die Handhabung des Datenverkehrs zu und von einem Netzwerk fest.
Eine Firewall bietet mehrere Sets konfigurierbarer Regeln: Schicht-3-Regeln (Registerkarte „Allgemein“) und Schicht-2-Regeln (Registerkarte „Ethernet“). Layer-2-Firewallregeln werden vor Layer-3-Regeln verarbeitet. Wenn dies in den Layer-2-Regeln zulässig ist, werden sie dann von den Layer-3-Regeln verarbeitet. Sie können eine Ausschlussliste mit logischen Switches, logischen Ports oder Gruppen konfigurieren, die von der Firewallerzwingung ausgeschlossen werden sollen.
Firewallregeln werden wie folgt angewendet:
- Die Regeln werden von oben nach unten verarbeitet.
- Jedes Paket wird anhand der obersten Regel in der Regeltabelle überprüft, bevor zu den nächsten Regeln in der Tabelle nach unten übergegangen wird.
- Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen.
Es können keine nachfolgenden Regeln angewendet werden, da die Suche für dieses Paket dann beendet wird. Aufgrund dieses Verhaltens ist es empfehlenswert, immer die detailliertesten Richtlinien an den Anfang der Regeltabelle zu stellen. Damit wird sichergestellt, dass diese vor den spezifischeren Regeln angewendet werden.
Eigenschaft | Beschreibung |
---|---|
Name | Name der Firewallregel. |
ID | Eindeutige, systemgenerierte ID für jede Regel. |
Quelle | Bei der Quelle der Regel kann es sich entweder um eine IP- oder MAC-Adresse oder um ein anderes Objekt als eine IP-Adresse handeln. Wenn nicht definiert, bezieht sich die Regel auf alle Quellen. Für Quell- und Zielbereich werden sowohl IPv4 als auch IPv6 unterstützt. |
Ziel | Die Ziel-IP- oder -MAC-Adresse/-Netmask der Verbindung, die von der Regel betroffen ist. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. Für Quell- und Zielbereich werden sowohl IPv4 als auch IPv6 unterstützt. |
Dienst | Bei dem Dienst kann es sich um eine vordefinierte Portprotokollkombination für L3 handeln. Für L2 kann es „Ethernet-Typ“ sein. Sie haben sowohl für L2 wie für L3 die Möglichkeit, einen neuen Dienst oder eine neue Dienstgruppe manuell zu definieren. Wenn nicht angegeben, bezieht sich der Dienst auf alle Regeln. |
Angewendet auf | Definiert den Bereich, auf den diese Regel anwendbar ist. Wenn die Option nicht definiert ist, besteht der Bereich aus allen logischen Ports. Wenn Sie in einem Abschnitt „Angewendet auf“ hinzugefügt haben, wird die Regel überschrieben. |
Protokoll | Die Protokollierung lässt sich deaktivieren/aktivieren. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert. |
Aktion | Die Regel kann die Aktionen Zulassen, Verwerfen und Ablehnen anwenden. Die Standardeinstellung ist Zulassen. |
IP-Protokoll | Die Optionen sind IPv4, IPv6 und IPv4_IPv6. Die Standardeinstellung ist IPv4_IPv6. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen. |
Richtung | Die Optionen sind Ein, Aus und Ein/Aus. Die Standardeinstellung ist Ein/Aus. Dieses Feld bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. Eingehend bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, Ausgehend bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und Ein/Aus bedeutet, dass Datenverkehr in beide Richtungen überprüft wird. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen. |
Regel-Tags | Tags, die der Regel hinzugefügt wurden. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen. |
Flow-Statistik | Schreibgeschütztes Feld, das die Bytes, die Paketanzahl und die Sitzungen anzeigt. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Diagrammsymbol. |