Eine verteilte Firewall überwacht den gesamten Ost-West-Datenverkehr auf Ihren virtuellen Maschinen.

In diesem Thema wird der Workflow zum Hinzufügen von Firewallrichtlinien erläutert, die auf die verteilte NSX-Firewall oder auf bestimmte Gruppen mit NSX-verwalteten Objekten angewendet werden.

Wenn in Ihrer NSX-Umgebung Antrea-Container registriert sind, können Sie Richtlinien für verteilte Firewalls erstellen und diese auf Antrea-Container-Cluster anwenden. Weitere Informationen finden Sie unter:
Hinweis: NSX unterstützt in derselben Richtlinie für die verteilte Firewall keine Kombination von Regeln, die mit NSX-verwalteten Objekten und mit Antrea-Container-Clusterobjekten erstellt wurden. Das bedeutet, dass sich die Firewallregeln, die Sie auf die verteilte NSX-Firewall und auf Antrea-Container-Cluster anwenden, in verschiedenen Richtlinien befinden müssen.

Voraussetzungen

Damit VMs DFW-geschützt sein können, muss ihre vNIC mit einem NSX-Overlay oder VLAN-Segment verbunden sein. In NSX schützt die verteilte Firewall Arbeitslasten, die nativ mit einer verteilten VDS-Portgruppe (DVPG) verbunden sind. Weitere Informationen finden Sie unter Verteilte Sicherheit für vSphere Distributed Switch.
Wenn Sie Regeln für die identitätsbasierte Firewall erstellen, müssen Sie zuerst eine Gruppe mit Active Directory-Mitgliedern erstellen. Informationen zu den für IDFW unterstützten Protokollen finden Sie unter Von der identitätsbasierten Firewall unterstützte Konfigurationen. Stellen Sie beim Erstellen einer DFW-Regel mithilfe von Guest Introspection sicher, dass das Feld Angewendet auf für die Zielgruppe gilt.
Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.

Beachten Sie, dass Sie bei Verwendung einer Kombination aus Ebene 7 und ICMP oder anderen Protokollen die Firewallregeln der Ebene 7 zuletzt einfügen müssen. Regeln über einer Schicht 7-„any/any“-Regel werden nicht ausgeführt.

Verbundspezifische Details zur Richtlinien und Regelerstellung für verteilte Firewalls finden Sie unter Erstellen von DFW-Richtlinien und -Regeln in Globaler Manager.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie im Navigationsbereich Sicherheit > Verteilte Firewall.
  3. Vergewissern Sie sich, dass Sie sich in der richtigen vordefinierten Kategorie befinden, und klicken Sie auf Richtlinie hinzufügen.
    Weitere Informationen über Kategorien finden Sie unter Verteilte Firewall.
  4. Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
  5. (Optional) Verwenden Sie Angewendet auf, um die Regeln innerhalb der Richtlinie auf eine ausgewählte Gruppe anzuwenden. Standardmäßig ist das Richtlinienfeld Angewendet auf auf den Wert „DFW“ festgelegt, und die Richtlinienregeln werden auf alle Arbeitslasten angewendet. Wenn bei Änderung des Standardwerts sowohl für die Richtlinie als auch für die darin enthaltenen Regeln Angewendet auf für eine Gruppe festgelegt ist, hat Angewendet auf auf der Richtlinienebene Vorrang vor Angewendet auf auf der Regelebene.
    Hinweis: Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.

    Angewendet auf definiert den Durchsetzungsumfang für jede Richtlinie und wird hauptsächlich für die Optimierung der Ressourcen auf ESXi-Hosts verwendet. Diese Einstellung ist hilfreich, wenn eine gezielte Richtlinie für bestimmte Zonen,Mandanten oder Anwendungen definiert werden soll, ohne dass es zu Konflikten mit einer anderen Richtlinie kommt, die für andere Mandanten und Zonen definiert wurde.

  6. (Optional) Klicken Sie zum Konfigurieren der folgenden Richtlinieneinstellungen auf das Zahnradsymbol.
    Option Beschreibung
    Strenges TCP

    Standardmäßig arbeitet die verteilte Firewall im strengen TCP-Modus. Der TCP-Modus „Streng“ wird nur auf statusbehaftete TCP-Regeln angewendet und auf der Ebene der Gateway-Firewallrichtlinie aktiviert.

    Der TCP-Modus „Streng“ wird nicht für Pakete erzwungen, die mit einer standardmäßigen ANY-ANY-Zulassungsregel übereinstimmen, wofür kein TCP-Dienst angegeben wurde. Wenn Sie eine standardmäßige Blockregel vom Typ ANY-ANY verwenden, werden Pakete, die die Dreiwege-Handshake-Verbindungsanforderungen nicht erfüllen und die mit einer TCP-basierten Regel in diesem Abschnitt übereinstimmen, verworfen.

    Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen. Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden.

    Siehe Rollenbasierte Zugriffssteuerung.

  7. Klicken Sie auf Veröffentlichen. Mehrere Richtlinien können hinzugefügt und anschließend in einem Arbeitsschritt zusammen veröffentlicht werden.
    Die neue Richtlinie wird auf dem Bildschirm angezeigt.
  8. Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen. Geben Sie anschließend einen Regelnamen ein.
  9. Klicken Sie in der Spalte Quellen auf das Symbol „Bearbeiten“ und wählen Sie die Quelle der Regel aus. Gruppen mit Active Directory-Mitgliedern können für das Quelltextfeld einer IDFW-Regel verwendet werden. IPv4-, IPv6- und Multicast-Adressen werden unterstützt. IPv6-Firewall muss über die auf einem verbundenen Segment aktivierte IP Discovery für IPv6 verfügen. Weitere Informationen finden Sie unter Grundlegendes zum Segmentprofil für die IP Discovery.
    Siehe Hinzufügen einer Gruppe.
  10. (Optional) Wenn Auswahlen ablehnen ausgewählt ist, gilt die Regel für Datenverkehr aus allen außer den ausgewählten Quellen. Sie können „Auswahlen ablehnen“ nur auswählen, wenn mindestens eine Quelle oder ein Ziel definiert wurde. Abgelehnte Auswahlen werden mit durchgestrichenem Text angezeigt.
  11. Klicken Sie in der Spalte Ziele auf das Symbol „Bearbeiten“ und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. IPv4-, IPv6- und Multicast-Adressen werden unterstützt.
    Siehe Hinzufügen einer Gruppe.
  12. (Optional) Wenn Auswahlen ablehnen ausgewählt ist, gilt die Regel für Datenverkehr an alle außer den ausgewählten Zielen. Sie können „Auswahlen ablehnen“ nur auswählen, wenn mindestens eine Quelle oder ein Ziel definiert wurde. Abgelehnte Auswahlen werden mit durchgestrichenem Text angezeigt.
  13. Klicken Sie in der Spalte Dienste auf das Symbol „Bearbeiten“ und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste. Siehe Hinzufügen eines Diensts.
  14. Die Spalte Kontextprofile ist nicht verfügbar, wenn Sie der Ethernet-Kategorie eine Regel hinzufügen. Klicken Sie für alle anderen Regelkategorien in der Spalte Kontextprofile auf das Symbol zum Bearbeiten und wählen Sie ein Kontextprofil aus oder klicken Sie auf Kontextprofil hinzufügen.
    Siehe Kontextprofile.

    Kontextprofile unterstützen Profile mit dem Attributtyp „APP-ID“ und „Domänenname (FQDN)“ für die Verwendung in Regeln für verteilte Firewalls. Mehrere App-ID-Kontextprofile mit dem Attributtyp „App-ID“ oder „Domänenname (FQDN)“ können in einer Regel für verteilte Firewalls mit Diensten verwendet werden, die auf Beliebig festgelegt sind.

    Kontextprofile werden beim Erstellen von IDS-Regeln nicht unterstützt.

  15. Klicken Sie auf Anwenden, um das Kontextprofil auf die Regel anzuwenden.
  16. Verwenden Sie Angewendet auf, um die Regel auf eine ausgewählte Gruppe anzuwenden. Stellen Sie beim Erstellen einer DFW-Regel mithilfe von Guest Introspection sicher, dass das Feld Angewendet auf für die Zielgruppe gilt. Standardmäßig ist für die Spalte Angewendet auf der Wert „DFW“ festgelegt und die Regel wird auf alle Arbeitslasten angewendet. Wenn bei Änderung des Standardwerts sowohl für die Richtlinie als auch für die darin enthaltenen Regeln Angewendet auf auf Gruppen festgelegt ist, hat Angewendet auf auf der Richtlinienebene Vorrang vor Angewendet auf auf der Regelebene.
    Hinweis: Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.
  17. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten L3- oder L2-Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.
    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Das Ablehnen eines Pakets ist der elegantere Weg, um das Senden eines Pakets zu verweigern. Dabei wird an den Sender eine Meldung übermittelt, dass das Ziel nicht erreichbar ist. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die Methode des Ablehnens hat den Vorteil, dass die sendende Anwendung bereits nach einem Versuch benachrichtigt wird, dass die Verbindung nicht aufgebaut werden kann.
    Wechseln zur Anwendung
    Hinweis: Diese Aktion ist nur für die Kategorie „Umgebung“ verfügbar.

    Gestattet, dass der Datenverkehr, der mit den Regeln der Kategorie „Umgebung“ übereinstimmt, weitergeleitet werden, damit die Regeln der Kategorie „Anwendung“ angewendet werden. Verwenden Sie diese Aktion, wenn der Datenverkehr mit den Regeln der Kategorie „Umgebung“ übereinstimmt und beendet wird, die Regeln der Kategorie „Anwendung“ jedoch angewendet werden sollen.

    Wenn beispielsweise eine Regel der Kategorie „Umgebung“ mit der Aktion „Zulassen“ für eine bestimmte Quelle und eine Regel der Kategorie „Anwendung“ mit der Aktion „Verwerfen“ für dieselbe Quelle vorhanden ist, dürfen Pakete, die mit der Kategorie „Umgebung“ übereinstimmen, die Firewall passieren, und es werden keine weiteren Regeln angewendet. Mit der Aktion „Wechseln zur Anwendung“ entsprechen die Pakete der Regel der Kategorie „Umgebung“, sie werden aber weiter zu den Regeln der Kategorie „Anwendung“ weitergeleitet, was dazu führt, dass diese Pakete verworfen werden.
  18. Mit einem Klick auf den Schalter „Status“ können Sie die Regel aktivieren bzw. deaktivieren.
  19. Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinienoptionen zu konfigurieren:
    Option Beschreibung
    Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert.
    Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. „Eingehend“ bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, „Ausgehend“ bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und „Ein-/Ausgehend“ bedeutet, dass Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
    Protokollbezeichnung

    Die Protokollbezeichnung wird in das Firewallprotokoll übertragen, wenn die Protokollierung aktiviert ist. Die maximale Anzahl an Zeichen beträgt 39.

  20. Klicken Sie auf Veröffentlichen. 1.000 Regeln können im gleichen Abschnitt hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
  21. Der Status der Datenpfadrealisierung der Richtlinie mit den Details der Transportknoten, die auf der rechten Seite der Richtlinientabelle angezeigt werden.