Ein Firewallregelabschnitt lässt sich separat bearbeiten bzw. speichern und wird zur Anwendung eigener Firewallkonfigurationen für Mandanten verwendet.

Voraussetzungen

Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren der Benutzeroberflächeneinstellungen.

Prozedur

  1. Wählen Sie Sicherheit > Verteilte Firewall aus.
  2. Klicken Sie auf die Registerkarte Allgemein für Schicht-3-(L3-)Regeln oder auf die Registerkarte Ethernet für Schicht-2-(L2-)Regeln.
  3. Klicken Sie auf einen vorhandenen Abschnitt oder eine vorhandene Regel.
  4. Klicken Sie in der Menüleiste auf das Symbol „Abschnitt“ und wählen Sie Abschnitt oben hinzufügen oder Abschnitt unten hinzufügen aus.
    Hinweis: Für jeden Datenverkehr, der die Firewall passieren soll, müssen die Paketinformationen den Regeln in der Reihenfolge genügen, wie Sie in der Regeltabelle angegeben werden. Die Überprüfung beginnt mit den Regeln an oberster Stelle und wird bis zu den Standardregeln unten fortgesetzt. In einigen Fällen kann die Rangfolge von zwei oder mehr Regeln für die Bestimmung der Disposition eines Pakets wichtig sein.
  5. Geben Sie den Abschnittsnamen ein.
    Hinweis: Standardmäßig sind Firewallregelabschnitte (und deren Regeln) als statusbehaftet konfiguriert. In einer statusbehafteten Firewall wird ein Cache für Datenverkehrsflüsse erstellt und verwaltet, die mit einer Firewallregel übereinstimmen, bei der die Aktion auf ZULASSEN festgelegt ist. Nachdem das erste Paket eines neuen Flows anhand des Firewallregelsatzes validiert wurde, müssen nachfolgende Netzwerkpakete, die zu diesem Flow gehören, nicht mehr überprüft werden. Dies führt zu einer geringeren Flow-Latenz und einer besseren Gesamtleistung der Firewall bei höherer Datenverkehrslast. Mit zustandsbehafteten Firewalls lässt sich zudem unberechtigter oder gefälschter Netzwerkverkehr besser ermitteln.

    Für einige Anwendungen ist möglicherweise eine Stateless Firewall erforderlich. Bei einer Stateless Firewall wird jedes Paket eines Flows anhand des Regelsatzes validiert. Für statusfreie Flows wird kein Cache beibehalten. Wenn Sie einem Firewallregelabschnitt so ändern möchten, dass er nur statusfreie Regeln enthält, finden Sie Informationen in Schritt 6, andernfalls fahren Sie mit Schritt 7 fort.

  6. (Optional) Um eine Stateless Firewall zu erzwingen, wählen Sie die Schaltfläche Stateless Firewall aktivieren aus. Diese Option steht nur für L3 zur Verfügung.
    Nach der Definition einer Firewall kann diese nicht von zustandsfrei auf zustandsbehaftet und umgekehrt geändert werden.
  7. Wählen Sie ein oder mehrere Objekte zur Anwendung des Abschnitts aus.
    Die Objekttypen sind logische Ports, logische Switches und NSGroups. Wenn Sie eine NSGroup auswählen, muss sie einen oder mehrere logische Switches oder logische Ports enthalten. Wenn die NSGroup nur IP Sets oder MAC Sets enthält, wird sie ignoriert.
    Hinweis: Wenn für den Abschnitt und die Regeln darin Angewendet auf „NSGroup“ festgelegt ist, überschreibt Angewendet auf in einem Abschnitt alle Angewendet auf-Einstellungen in den Regeln in diesem Abschnitt. Das liegt daran, dass die Firewall-Abschnittsebene Angewendet auf Vorrang vor Angewendet auf auf der Regelebene hat.
  8. Klicken Sie auf OK.

Nächste Maßnahme

Fügen Sie dem Abschnitt Firewallregeln hinzu.