Bevor Sie Firewallregeln der Anwendung auf der Tier-0-Gateway-Firewall erstellen, ist es wichtig, Gateway-Firewallregeln manuell hinzuzufügen, um Routing-Protokolle wie BGP, OSPF und das Fehlererkennungsprotokoll BFD zuzulassen. Diese Regeln sollten vor allen Anwendungsregeln hinzugefügt werden, um sicherzustellen, dass das Routing des Peering-Protokolls für die Fehlererkennung beim Ändern der Firewallregeln der Anwendung nicht beeinträchtigt wird.

Voraussetzungen

IPv4- und IPv6-Adressen werden unterstützt.

Um die Gateway-Firewall zu aktivieren, wählen Sie Sicherheit > Gateway-Firewall > Einstellungen aus. Klicken Sie für die Tier-1- oder Tier-0-Gateway-Firewall, die Sie aktivieren möchten, auf AKTIVIEREN.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Sicherheit > Gateway-Firewall aus.
  3. Wählen Sie entweder die Registerkarte Alle freigegebenen Regeln oder Gateway-spezifische Regeln aus. Klicken Sie auf Richtlinie hinzufügen. Weitere Informationen zu Regelkategorien finden Sie unter Gateway-Firewall.
  4. Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
  5. Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinieneinstellungen zu konfigurieren:
    Einstellungen Beschreibung
    Strenges TCP Standardmäßig arbeitet die Gateway-Firewall im strengen TCP-Modus. Der TCP-Modus „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Ebene der Gateway-Firewallrichtlinie aktiviert. „Strenges TCP“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassung übereinstimmen, wofür kein TCP-Dienst angegeben wurde.
    Statusbehaftet Standardmäßig ist die Option „Statusbehaftet“ aktiviert. Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Standardmäßig ist die Option „Gesperrt“ deaktiviert. Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.
  6. Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen.
  7. Geben Sie einen Namen für die Regel ein.
  8. Klicken Sie in der Spalte Quellen auf das Bleistiftsymbol und wählen Sie entweder Gruppen oder IP-Adressen aus. Für IP-Adressen können Sie eine IP-Adresse, CIDR oder einen Bereich von IP-Adressen eingeben. Gruppen mit Active Directory-Mitgliedern können für das Quellfeld einer IDFW-Regel verwendet werden. Siehe Hinzufügen einer Gruppe.
  9. Klicken Sie in der Spalte Ziele auf das Bleistiftsymbol und wählen Sie entweder Gruppen oder IP-Adressen aus. Für IP-Adressen können Sie eine IP-Adresse, CIDR oder einen Bereich von IP-Adressen eingeben. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. Siehe Hinzufügen einer Gruppe.
  10. Klicken Sie in der Spalte Dienste auf das Bleistiftsymbol und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste. Siehe Hinzufügen eines Diensts.
  11. Klicken Sie für Tier-1-Gateways in der Spalte Profile auf das Bleistiftsymbol und wählen Sie ein Kontext- oder L7-Zugriffsprofil aus. Oder erstellen Sie neue Profile. Siehe Profile. Unter Workflow für Firewallregel der Schicht 7 finden Sie Entwurfsrichtlinien für Kontextprofile.
    • Eine Gateway-Firewallregel kann entweder ein Kontextprofil oder ein L7-Zugriffsprofil enthalten, aber nicht beides.
    • Gateway-Firewallregeln unterstützen keine Kontextprofile mit dem Attributtyp „Domänenname (FQDN)“.
    • Innerhalb einer einzelnen Gateway-Firewallregel kann nur ein einzelnes L7-Zugriffsprofil verwendet werden.
  12. Klicken Sie in 4.1.2 und höher für Tier-0-Gateways in der Spalte Profile auf das Bleistiftsymbol und wählen Sie ein L7-Zugriffsprofil aus. Siehe L7-Zugriffsprofile. Kontextprofile werden in der Firewallrichtlinie des Tier-0-Gateways nicht unterstützt.
  13. Klicken Sie auf Übernehmen.
  14. Klicken Sie auf das Bleistiftsymbol für die Spalte Angewendet auf, um den Geltungsbereich für die Erzwingung für jede Regel zu ändern. Klicken Sie im Dialogfeld Angewendet auf auf das Dropdown-Menü Kategorie, um nach Objekttyp zu filtern, z. B. nach Schnittstellen, Bezeichnungen und VTIs, um speziell diese Objekte auszuwählen.
    Standardmäßig werden Gateway-Firewallregeln auf alle verfügbaren Uplinks und Dienstschnittstellen auf einem ausgewählten Gateway angewendet.

    Für die URL-Filterung kann sich Angewendet auf nur auf Tier-1-Gateways beziehen.

  15. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.

    Die Regelaktion mit einem L7-Zugriffsprofil muss Zulassen lauten.

    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen

    Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Durch das Ablehnen eines Pakets wird eine Meldung über ein nicht erreichbares Ziel an den Absender gesendet. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die sendende Anwendung wird nach einem Versuch benachrichtigt, dass die Verbindung nicht hergestellt werden kann.

  16. Mit einem Klick auf die Umschaltfläche „Status“ können Sie die Regel aktivieren bzw. deaktivieren.
  17. Klicken Sie auf das Zahnradsymbol, um die Protokollierung, die Richtung, das IP-Protokoll und Kommentare festzulegen.
    Option Beschreibung
    Protokollierung

    Die Protokollierung lässt sich aktivieren/deaktivieren. Gateway-Firewallprotokolle enthalten die Gateway-VRF (Virtual Routing and Forwarding) und Gateway-Schnittstelleninformationen sowie Flow-Details. Gateway-Firewallprotokolle finden Sie in der Datei „firewallpkt.log“ im Verzeichnis „/var/log“.

    Richtung Die Optionen sind Ein, Aus und Ein/Aus. Die Standardeinstellung ist Ein/Aus. Dieses Feld bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. Eingehend bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, Ausgehend bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und Ein/Aus bedeutet, dass Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Die Optionen sind IPv4, IPv6 und IPv4_IPv6. Die Standardeinstellung ist IPv4_IPv6.
    Protokollbezeichnung Die Protokollbezeichnung ist der Name des Protokolls, wenn die Protokollierung aktiviert ist. Die maximale Anzahl an Zeichen beträgt 39.
    Kommentare Fügen Sie der Firewallregel Kommentare hinzu.
    Hinweis: Klicken Sie auf das Diagrammsymbol, um die Datenstromstatistik der Firewallregel anzuzeigen. Sie können Informationen anzeigen, wie z. B. die Byte- und Paketanzahl sowie Sitzungen.
  18. Klicken Sie auf Veröffentlichen. Mehrere Regeln können hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
  19. Klicken Sie in jedem Richtlinienabschnitt auf das Symbol Info, um den aktuellen Status der Edge-Firewallregeln anzuzeigen, die an Edge-Knoten übertragen werden. Beim Übertragen von Regeln an Edge-Knoten generierte Alarme werden ebenfalls angezeigt.
  20. Um den konsolidierten Status von Gateway-Firewallregeln anzuzeigen, die auf Edge-Knoten angewendet werden, führen Sie den API-Aufruf aus.
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true