NSX legt mit Firewallregeln die Handhabung des Datenverkehrs zu und von einem Netzwerk fest.
Eine Firewall bietet mehrere Sets konfigurierbarer Regeln: Schicht-3-Regeln (Registerkarte „Allgemein“) und Schicht-2-Regeln (Registerkarte „Ethernet“). Layer-2-Firewallregeln werden vor Layer-3-Regeln verarbeitet. Wenn dies in den Layer-2-Regeln zulässig ist, werden sie dann von den Layer-3-Regeln verarbeitet. Sie können eine Ausschlussliste mit logischen Switches, logischen Ports oder Gruppen konfigurieren, die von der Firewallerzwingung ausgeschlossen werden sollen.
Firewallregeln werden wie folgt angewendet:
- Die Regeln werden von oben nach unten verarbeitet.
- Jedes Paket wird anhand der obersten Regel in der Regeltabelle überprüft, bevor zu den nächsten Regeln in der Tabelle nach unten übergegangen wird.
- Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen.
Es können keine nachfolgenden Regeln angewendet werden, da die Suche für dieses Paket dann beendet wird. Aufgrund dieses Verhaltens ist es empfehlenswert, immer die detailliertesten Richtlinien an den Anfang der Regeltabelle zu stellen. Damit wird sichergestellt, dass diese vor den spezifischeren Regeln angewendet werden.
Die am Ende der Regeltabelle platzierte Standardregel ist eine „Catchall“-Regel, die grundsätzlich gilt. Für Pakete, für die keinen anderen Regeln gelten, wird die Standardregel angewendet. Nach der Hostvorbereitung sind gemäß der Standardregel Aktionen möglich. Damit ist sichergestellt, dass die Kommunikation von VM zu VM während der Staging- oder Migrationsphase nicht unterbrochen wird. Als Best Practice sollte dann diese Standardregel geändert werden, um Aktionen zu blockieren und die Zugriffskontrolle über ein positives Kontrollmodell zu erzwingen. In einem solchen Modell ist nur Datenverkehr für das Netzwerk zulässig, der in der Firewallregel definiert ist.
Hinweis: „Strenges TCP“ kann pro Abschnitt aktiviert werden, um das Abrufen mitten in der Sitzung zu deaktivieren und die Anforderung für einen 3-Wege-Handshake zu erzwingen. Wenn Sie den Modus „Strenges TCP“ für einen bestimmten Abschnitt der verteilten Firewall aktivieren und eine standardmäßige Blockregel vom Typ ANY-ANY verwenden, werden Pakete, die die 3-Wege-Handshake-Verbindungsanforderungen nicht erfüllen und die mit einer TCP-basierten Regel in diesem Abschnitt übereinstimmen, verworfen. „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Abschnittsebene der verteilten Firewall aktiviert. „Strenges TCP“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassung übereinstimmen, wofür kein TCP-Dienst angegeben wurde.
| Eigenschaft | Beschreibung |
|---|---|
| Name | Name der Firewallregel. |
| ID | Eindeutige, systemgenerierte ID für jede Regel. |
| Quelle | Bei der Quelle der Regel kann es sich entweder um eine IP- oder MAC-Adresse oder um ein anderes Objekt als eine IP-Adresse handeln. Wenn nicht definiert, bezieht sich die Regel auf alle Quellen. Für Quell- und Zielbereich werden sowohl IPv4 als auch IPv6 unterstützt. |
| Ziel | Die Ziel-IP- oder -MAC-Adresse/-Netmask der Verbindung, die von der Regel betroffen ist. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. Für Quell- und Zielbereich werden sowohl IPv4 als auch IPv6 unterstützt. |
| Dienst | Bei dem Dienst kann es sich um eine vordefinierte Portprotokollkombination für L3 handeln. Für L2 kann es „Ethernet-Typ“ sein. Sie haben sowohl für L2 wie für L3 die Möglichkeit, einen neuen Dienst oder eine neue Dienstgruppe manuell zu definieren. Wenn nicht angegeben, bezieht sich der Dienst auf alle Regeln. |
| Angewendet auf | Definiert den Bereich, auf den diese Regel anwendbar ist. Wenn die Option nicht definiert ist, besteht der Bereich aus allen logischen Ports. Wenn Sie in einem Abschnitt „Angewendet auf“ hinzugefügt haben, wird die Regel überschrieben. |
| Protokoll | Die Protokollierung lässt sich deaktivieren/aktivieren. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert. |
| Aktion | Die Regel kann die Aktionen Zulassen, Verwerfen und Ablehnen anwenden. Die Standardeinstellung ist Zulassen. |
| IP-Protokoll | Die Optionen sind IPv4, IPv6 und IPv4_IPv6. Die Standardeinstellung ist IPv4_IPv6. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen. |
| Richtung | Die Optionen sind Ein, Aus und Ein/Aus. Die Standardeinstellung ist Ein/Aus. Dieses Feld bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. Eingehend bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, Ausgehend bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und Ein/Aus bedeutet, dass Datenverkehr in beide Richtungen überprüft wird. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen. |
| Regel-Tags | Tags, die der Regel hinzugefügt wurden. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Symbol Erweiterte Einstellungen. |
| Flow-Statistik | Schreibgeschütztes Feld, das die Bytes, die Paketanzahl und die Sitzungen anzeigt. Um auf diese Eigenschaft zuzugreifen, klicken Sie auf das Diagrammsymbol. |
Hinweis: Wenn SpoofGuard nicht aktiviert ist, kann die Vertrauenswürdigkeit automatisch erkannter Adressbindungen nicht garantiert werden, da eine bösartige virtuelle Maschine die Adresse einer andere virtuellen Maschine beanspruchen kann. SpoofGuard (sofern aktiviert) überprüft jede erkannte Bindung, sodass nur zulässige Bindungen angezeigt werden.
