Die folgenden Begriffe werden im Zusammenhang mit verteilten Firewalls verwendet.
Konstrukt | Definition |
---|---|
Angewendet auf | „Angewendet auf“ definiert den Durchsetzungsumfang für jede Richtlinie und wird hauptsächlich für die Optimierung der Ressourcen auf ESXi-Hosts verwendet. Diese Einstellung ist hilfreich, wenn eine gezielte Richtlinie für bestimmte Zonen,Mandanten oder Anwendungen definiert werden soll, ohne dass es zu Konflikten mit einer anderen Richtlinie kommt, die für andere Mandanten und Zonen definiert wurde. Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld „Angewendet auf“ nicht verwendet werden. |
Kontextprofil | Definiert kontextsensitive Attribute, einschließlich APP-ID und Domänenname. Enthält auch Unterattribute, wie z. B. Anwendungsversion oder Verschlüsselungssatz. Firewallregeln können ein Kontextprofil enthalten, um Schicht-7-Firewallregeln zu aktivieren. |
Firewallkategorien | NSX verarbeitet Firewallregeln für verteilte und Gateway-Firewalls in fünf Kategorien: Ethernet, Notfall, Infrastruktur, Umgebung und Anwendung. Kategorien werden von links nach rechts ausgewertet (Ethernet > Notfall > Infrastruktur > Umgebung > Anwendung), und die Regeln für verteilte Firewalls innerhalb der Kategorie werden von oben nach unten ausgewertet. |
Firewallentwurf | Bei einem Entwurf handelt es sich um eine vollständige verteilte Firewall-Konfiguration mit Abschnitten zu Richtlinien und Regeln. Entwürfe können automatisch oder manuell gespeichert und sofort veröffentlicht oder für die Veröffentlichung zu einem späteren Zeitpunkt gespeichert werden. |
Gruppe | Gruppen enthalten verschiedene Objekte, die sowohl statisch als auch dynamisch hinzugefügt werden und als Quell- und Zielfeld einer Firewallregel verwendet werden können. Gruppen können so konfiguriert werden, dass sie eine Kombination aus virtuellen Maschinen, IP Sets, MAC Sets, logischen Ports, logischen Switches, AD-Benutzergruppen und anderen verschachtelten Gruppen enthalten. Gruppen können auf Basis von Tags, Maschinen-, Betriebssystem- oder Computernamen dynamisch aufgenommen werden. Beim Erstellen einer Gruppe müssen Sie eine Domäne einbeziehen, zu der die Gruppe gehört. Hierbei handelt es sich in der Regel um die Standarddomäne. Gruppen wurden zuvor als NSGroup oder Sicherheitsgruppe bezeichnet. |
Umleitungsrichtlinie | Stellt sicher, dass für eine bestimmte Dienstkette klassifizierter Datenverkehr an diese Dienstkette umgeleitet wird. Sie basiert auf Datenverkehrsmustern, die der NSX-Sicherheitsgruppe und einer Dienstkette entsprechen. Der gesamte dem Muster entsprechende Datenverkehr wird entlang der Dienstkette umgeleitet. |
Regel | Eine Gruppe von Parametern, mit denen Abläufe bewertet werden und die die Aktionen definieren, die bei einer Übereinstimmung durchgeführt werden. Regeln enthalten Parameter, wie z. B. Quelle und Ziel, Dienst, Kontextprofil, Protokollierung und Tags. |
Dienst | Definiert eine Kombination aus Port und Protokoll. Wird verwendet, um Datenverkehr basierend auf Port und Protokoll zu klassifizieren. Vordefinierte und benutzerdefinierte Dienste können in Firewallregeln verwendet werden. |
Dienstkette | Eine logische Abfolge von Dienstprofilen, die vom Administrator definiert werden. Dienstprofile überprüfen Netzwerkdatenverkehr gemäß der in der Dienstkette angegebenen Reihenfolge. Das erste Dienstprofil ist beispielsweise „Firewall“, das zweite Dienstprofil ist „Überwachung“ usw. Dienstketten können verschiedene Dienstprofilabfolgen für unterschiedliche Richtungen des Datenverkehrs (Egress/Ingress) angeben. |
Richtlinie | Eine Sicherheitsrichtlinie enthält verschiedene Sicherheitselemente, einschließlich Firewallregeln und Dienstkonfigurationen. Richtlinien wurden zuvor als Firewallabschnitte bezeichnet. |