Die Firewall-Regeltabelle implementiert die NSX Security-Richtlinie, die Sie mithilfe der NSX Manager-GUI oder des REST API-Frameworks erstellen können.

Im Folgenden finden Sie die allgemeinen Schritte zum Verständnis und zur Vorbereitung der Definition der Sicherheitsrichtlinie.
  • VM Inventory Collection: Sie können eine Liste aller gehosteten virtualisierten Arbeitslasten auf den NSX-Transportknoten identifizieren und organisieren. Die Bestandsliste wird dynamisch erfasst und von NSX Manager als ESXi- oder KVM-Knoten gespeichert, die als NSX-Transportknoten hinzugefügt werden. Sie können eine Liste der Bestandslisten anzeigen, indem Sie zum Menü Bestand > Virtuelle Maschinen navigieren.
  • Tag: NSX ermöglicht das Taggen von virtuellen Maschinen, Segmenten und Segmentports. Um diese Objekte mit Tags zu versehen, wechseln Sie zur entsprechenden Objektseite oder zu Bestand > Tags. Objekte können ein oder mehrere Tags aufweisen. Beispielsweise kann eine VM Tag = PROD, Tag = HR-APP oder Tag = WEB-Tier aufweisen.
  • Group Workloads: Sie können das logische NSX-Gruppierungskonstrukt mit dynamischen oder statischen Mitgliedschaftskriterien auf der Grundlage von VM-Name, Tags, Segment, Segmentport, IPs oder anderen Attributen verwenden.
  • Define Security Policy: Sie können die Sicherheitsrichtlinie mithilfe der unter Sicherheit > Verteilte Firewall verfügbaren Regeltabelle für verteilte Firewalls definieren. Die Richtlinie können Sie anhand von vordefinierten Kategorien wie Ethernet, Notfall, Infrastruktur, Umgebung und Anwendung organisieren.

Einzelheiten dazu finden Sie unter Administratorhandbuch für NSX.

Hinzufügen von Tags

Um Tags zu einem Objekt hinzuzufügen, können Sie in der Bestandsliste verfügbare Tags auswählen oder neue Tags erstellen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Stellen Sie sicher, dass Sie sich im Bearbeitungsmodus eines Objekts befinden, um ihm Tags zuzuweisen. Objekte können Segmente, Gruppen, Tier-0-Gateways, Tier-1-Gateways usw. sein.
    Um Segmente mit Tags zu versehen, klicken Sie beispielsweise auf Netzwerk > Segmente. Klicken Sie neben dem Segment, das Sie bearbeiten möchten, auf das Menü Aktionen und dann auf Bearbeiten.
  3. Geben Sie im Dropdown-Menü Tag einen Tag-Namen ein. Wenn Sie fertig sind, klicken Sie auf Element(e) hinzufügen.
    Tag-Namen dürfen höchstens 256 Zeichen enthalten.

    Wenn Tags in der Bestandsliste vorhanden sind, wird im Dropdown-Menü Tag eine Liste der verfügbaren Tags und deren Geltungsbereich angezeigt. Sie können ein vorhandenes Tag aus dem Dropdown-Menü auswählen und es dem Segment zuweisen.

    Hinweis: Wenn Sie der virtuellen Maschine ein Tag zuweisen, weisen Sie der VM nicht das Tag „Edge_NSGroup“ zu. Das System weist dieses Tag Edge-VMs automatisch zu, damit sie in die DFW-Ausschlussliste aufgenommen werden.
  4. (Optional) Geben Sie einen Tag-Geltungsbereich ein.
    Angenommen, Sie möchten Segmente in Ihrer Organisation basierend auf Abteilungsnamen kennzeichnen, z. B. Vertrieb, Marketing, Finanzen usw. Erstellen Sie Tags wie etwa „Vertrieb“, „Marketing“ und „Finanzen“ und legen Sie den Geltungsbereich der Tags jeweils auf „Abteilung“ fest.
    Geltungsbereiche dürfen höchstens 128 Zeichen enthalten.

    Wenn Sie ein vorhandenes Tag aus der Bestandsliste ausgewählt haben, wird der Geltungsbereich des ausgewählten Tags automatisch angewendet. Andernfalls können Sie einen Geltungsbereich für das neue Tag eingeben, das Sie erstellen.

  5. Klicken Sie auf das Symbol + oder drücken Sie die Eingabetaste.
    Das Tag wird dem Segment hinzugefügt.
  6. Fügen Sie dem Segment bei Bedarf weitere Tags hinzu.
  7. Klicken Sie auf Speichern.

Gruppen hinzufügen

Gruppen enthalten verschiedene Objekte, die sowohl statisch als auch dynamisch hinzugefügt werden und als Quelle und Ziel einer Firewallregel verwendet werden können.

Prozedur

  1. Wählen Sie im Navigationsbereich die Option Bestand > Gruppen aus.
  2. Klicken Sie auf Gruppe hinzufügen und geben Sie einen Gruppennamen ein.
  3. Klicken Sie auf Festlegen.
  4. Wählen Sie im Fenster Mitglieder festlegen den Gruppentyp aus.
    Tabelle 1.
    Gruppentyp Beschreibung
    Generisch

    Dieser Gruppentyp ist die Standardauswahl. Eine generische Gruppendefinition kann aus einer Kombination aus Mitgliedschaftskriterien, manuell hinzugefügten Mitgliedern, IP-Adressen, MAC-Adressen und Active Directory-Gruppen bestehen.

    Wenn Sie Mitgliedschaftskriterien in der Gruppe definieren, werden die Mitglieder basierend auf einem oder mehreren Kriterien dynamisch zur Gruppe hinzugefügt. Zu den manuell hinzugefügten Mitgliedern gehören Objekte wie Segmentports, verteilte Ports, verteilte Portgruppen, VIFs, virtuelle Maschinen usw.

    Nur IP-Adressen

    Dieser Gruppentyp enthält nur IP-Adressen (IPv4 oder IPv6). Nur IP-Adressen-Gruppen mit nur manuell hinzugefügten IP-Adressmitgliedern werden nicht für die Verwendung in den DFW-Regeln Angewendet auf unterstützt. Es ist möglich, die Regel zu erstellen, aber sie wird nicht erzwungen.

    Wenn die Gruppe den Typ Generisch besitzt, können Sie den Typ zu einer Gruppe mit Nur IP-Adressen, nicht jedoch zu einer Gruppe mit Nur IP-Adressen mit böswilligen IP-Adressen ändern. In diesem Fall werden nur die IP-Adressen in der Gruppe beibehalten. Alle Mitgliedschaftskriterien und andere Gruppendefinitionen gehen verloren. Nachdem eine Gruppe vom Typ Nur IP-Adressen oder Nur IP-Adressen mit böswilligen IP-Adressen in NSX realisiert wurde, können Sie den Gruppentyp nicht wieder in Generisch ändern.

  5. Klicken Sie auf der Seite Mitgliedschaftskriterien auf Kriterium hinzufügen, um Mitglieder in der generischen Gruppe basierend auf einem oder mehreren Mitgliedschaftskriterien dynamisch hinzuzufügen.
  6. Klicken Sie auf Mitglieder, um statische Mitglieder zur Gruppe hinzuzufügen.
  7. (Optional) Klicken Sie auf IP-Adressen oder MAC-Adressen, um IP- und MAC-Adressen als Gruppenmitglieder hinzuzufügen. IPv4-Adressen, IPv6-Adressen und Multicast-Adressen werden unterstützt.
    Klicken Sie auf Aktion > Importieren, um IP-/MAC-Adressen aus einer TXT- oder CSV-Datei zu importieren, die durch Kommas getrennte IP-/MAC-Werte enthält.
  8. Klicken Sie auf AD-Gruppen, um Active Directory-Gruppen hinzuzufügen. Dies wird für die identitätsbasierte Firewall verwendet. Gruppen mit Active Directory-Mitgliedern können in der Quelle einer Regel für die verteilte Firewall für die identitätsbasierte Firewall verwendet werden. Gruppen können sowohl AD- als auch Computing-Mitglieder enthalten.
  9. (Optional) Geben Sie eine Beschreibung und ein Tag ein.
  10. Klicken Sie auf Anwenden.
    Gruppen werden mit einer Option zum Anzeigen der Mitglieder und einer Angabe zu deren Verwendungsort aufgeführt.

Richtlinie für verteilte Firewall

Die verteilte Firewall enthält vordefinierte Kategorien für Firewallregeln. Mit Kategorien können Sie Sicherheitsrichtlinien organisieren.

Kategorien werden von links nach rechts ausgewertet (Ethernet > Notfall > Infrastruktur > Umgebung > Anwendung), und die Regeln für verteilte Firewalls innerhalb der Kategorie werden von oben nach unten ausgewertet.

Tabelle 2. Regelkategorien für verteilte Firewalls
Ethernet

Es empfiehlt sich, Regeln der Schicht 2 für diese Kategorie einzubeziehen.

Notfall

Es ist ratsam, für diese Kategorie die Quarantäne- und Zulassungsregeln einzubeziehen.

Infrastruktur

Es empfiehlt sich, Regeln einzubeziehen, die den Zugriff auf freigegebene Dienste für diese Kategorie definieren. Beispiel:

  • AD
  • DNS
  • NTP
  • DHCP
  • Sicherung
  • Verwaltungsserver
Umgebung

Es empfiehlt sich, Regeln zwischen Zonen für diese Kategorie einzubeziehen. Beispiel:

  • Produktion vs. Entwicklung
  • PCI vs. Nicht-PCI
  • Regeln zwischen Geschäftsbereichen
Anwendung

Es empfiehlt sich, Regeln einzubeziehen zwischen:

  • Anwendungen
  • Anwendungsebenen
  • Mikrodiensten

Hinzufügen einer Richtlinie für verteilte Firewall

Eine verteilte Firewall überwacht den gesamten Ost-West-Datenverkehr auf Ihren virtuellen Maschinen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie im Navigationsbereich Sicherheit > Verteilte Firewall.
  3. Vergewissern Sie sich, dass Sie sich in der richtigen vordefinierten Kategorie befinden, und klicken Sie auf Richtlinie hinzufügen.
  4. Geben Sie einen Namen für den Abschnitt mit der neuen Richtlinie ein.
  5. (Optional) Verwenden Sie Angewendet auf, um die Regeln innerhalb der Richtlinie auf eine ausgewählte Gruppe anzuwenden. Standardmäßig ist das Richtlinienfeld Angewendet auf auf den Wert „DFW“ festgelegt, und die Richtlinienregeln werden auf alle Arbeitslasten angewendet. Wenn bei Änderung des Standardwerts sowohl für die Richtlinie als auch für die darin enthaltenen Regeln Angewendet auf für eine Gruppe festgelegt ist, hat Angewendet auf auf der Richtlinienebene Vorrang vor Angewendet auf auf der Regelebene.
    Hinweis: Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.

    Angewendet auf definiert den Durchsetzungsumfang für jede Richtlinie und wird hauptsächlich für die Optimierung der Ressourcen auf ESXi-Hosts verwendet. Diese Einstellung ist hilfreich, wenn eine gezielte Richtlinie für bestimmte Zonen,Mandanten oder Anwendungen definiert werden soll, ohne dass es zu Konflikten mit einer anderen Richtlinie kommt, die für andere Mandanten und Zonen definiert wurde.

  6. Klicken Sie zum Konfigurieren der folgenden Richtlinieneinstellungen auf das Zahnradsymbol.
  7. Klicken Sie auf Veröffentlichen. Mehrere Richtlinien können hinzugefügt und anschließend in einem Arbeitsschritt zusammen veröffentlicht werden.
    Die neue Richtlinie wird auf dem Bildschirm angezeigt.
  8. Wählen Sie einen Richtlinienabschnitt aus und klicken Sie auf Regel hinzufügen. Geben Sie anschließend einen Regelnamen ein.
  9. Klicken Sie in der Spalte Quellen auf das Symbol „Bearbeiten“ und wählen Sie die Quelle der Regel aus. Gruppen mit Active Directory-Mitgliedern können für das Quelltextfeld einer IDFW-Regel verwendet werden. IPv4-, IPv6- und Multicast-Adressen werden unterstützt. IPv6-Firewall muss über die auf einem verbundenen Segment aktivierte IP Discovery für IPv6 verfügen. Weitere Informationen finden Sie unter #GUID-F481E554-F39D-4091-BA19-0D9F585F97F1.
  10. Klicken Sie in der Spalte Ziele auf das Symbol „Bearbeiten“ und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. IPv4-, IPv6- und Multicast-Adressen werden unterstützt.
  11. Klicken Sie in der Spalte Dienste auf das Symbol "Bearbeiten" und wählen Sie Dienste aus. Wenn nicht definiert, bezieht sich die Regel auf alle Dienste.
  12. Die Spalte Kontextprofile ist nicht verfügbar, wenn Sie der Ethernet-Kategorie eine Regel hinzufügen. Klicken Sie für alle anderen Regelkategorien in der Spalte Kontextprofile auf das Symbol zum Bearbeiten und wählen Sie ein Kontextprofil aus oder klicken Sie auf Kontextprofil hinzufügen.
    Dieser Parameter wird für die Filterung von L7-Anwendungs-IDs und von FQDNs verwendet.
  13. Klicken Sie auf Anwenden, um das Kontextprofil auf die Regel anzuwenden.
  14. Verwenden Sie Angewendet auf, um die Regel auf eine ausgewählte Gruppe anzuwenden. Stellen Sie beim Erstellen einer DFW-Regel mithilfe von Guest Introspection sicher, dass das Feld Angewendet auf für die Zielgruppe gilt. Standardmäßig ist für die Spalte Angewendet auf der Wert „DFW“ festgelegt und die Regel wird auf alle Arbeitslasten angewendet. Wenn bei Änderung des Standardwerts sowohl für die Richtlinie als auch für die darin enthaltenen Regeln Angewendet auf auf Gruppen festgelegt ist, hat Angewendet auf auf der Richtlinienebene Vorrang vor Angewendet auf auf der Regelebene.
    Hinweis: Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.
  15. Wählen Sie eine Aktion in der Spalte Aktion aus.
    Option Beschreibung
    Zulassen Ermöglicht dem gesamten L3- oder L2-Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel genügen und akzeptiert werden, durchlaufen das System wie beim Fehlen einer Firewall.
    Verwerfen Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quell- oder Zielsysteme. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.
    Ablehnen Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Das Ablehnen eines Pakets ist der elegantere Weg, um das Senden eines Pakets zu verweigern. Dabei wird an den Sender eine Meldung übermittelt, dass das Ziel nicht erreichbar ist. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Die Methode des Ablehnens hat den Vorteil, dass die sendende Anwendung bereits nach einem Versuch benachrichtigt wird, dass die Verbindung nicht aufgebaut werden kann.
    Wechseln zur Anwendung
    Hinweis: Diese Aktion ist nur für die Kategorie „Umgebung“ verfügbar.

    Gestattet, dass der Datenverkehr, der mit den Regeln der Kategorie „Umgebung“ übereinstimmt, weitergeleitet werden, damit die Regeln der Kategorie „Anwendung“ angewendet werden. Verwenden Sie diese Aktion, wenn der Datenverkehr mit den Regeln der Kategorie „Umgebung“ übereinstimmt und beendet wird, die Regeln der Kategorie „Anwendung“ jedoch angewendet werden sollen.

    Wenn beispielsweise eine Regel der Kategorie „Umgebung“ mit der Aktion „Zulassen“ für eine bestimmte Quelle und eine Regel der Kategorie „Anwendung“ mit der Aktion „Verwerfen“ für dieselbe Quelle vorhanden ist, dürfen Pakete, die mit der Kategorie „Umgebung“ übereinstimmen, die Firewall passieren, und es werden keine weiteren Regeln angewendet. Mit der Aktion „Wechseln zur Anwendung“ entsprechen die Pakete der Regel der Kategorie „Umgebung“, sie werden aber weiter zu den Regeln der Kategorie „Anwendung“ weitergeleitet, was dazu führt, dass diese Pakete verworfen werden.

  16. Mit einem Klick auf den Schalter „Status“ können Sie die Regel aktivieren bzw. deaktivieren.
  17. Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinienoptionen zu konfigurieren:
    Option Beschreibung
    Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert.
    Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. „Eingehend“ bedeutet, dass nur Datenverkehr an das Objekt überprüft wird, „Ausgehend“ bedeutet, dass nur Datenverkehr aus dem Objekt überprüft wird, und „Ein-/Ausgehend“ bedeutet, dass Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
    Protokollbezeichnung

    Die Protokollbezeichnung wird in das Firewallprotokoll übertragen, wenn die Protokollierung aktiviert ist. Die maximale Anzahl an Zeichen beträgt 39.

  18. Klicken Sie auf Veröffentlichen. 1.000 Regeln können im gleichen Abschnitt hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden.
  19. Der Status der Datenpfadrealisierung der Richtlinie mit den Details der Transportknoten, die auf der rechten Seite der Richtlinientabelle angezeigt werden.

Hinzufügen einer verteilten IDS/IPS-Richtlinie

IDS/IPS-Regeln werden auf die gleiche Weise wie Regeln für die verteilte Firewall (DFW) erstellt. Erstellen Sie zuerst eine IDS-Richtlinie und dann Regeln für diese Richtlinie.

Prozedur

  1. Navigieren Sie zu Sicherheit > IDS/ IPS > Regeln für verteilte Firewall.
  2. Klicken Sie auf Richtlinie hinzufügen, um eine Richtlinie zu erstellen, und geben Sie einen Richtliniennamen ein.
  3. Klicken Sie auf das Zahnradsymbol, um die erforderlichen Richtlinieneinstellungen zu konfigurieren.
    Option Beschreibung
    Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.

    Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden.

  4. Klicken Sie auf Regel hinzufügen, um eine Regel hinzuzufügen, und geben Sie einen Namen für die Regel ein.
  5. Konfigurieren Sie Quelle, Ziel und Dienste, um zu bestimmen, für welchen Datenverkehr eine IDS-Überprüfung benötigt wird. IDS unterstützt beliebige Gruppentypen für Quelle und Ziel.
  6. Wählen Sie in der Spalte Sicherheitsprofile das erforderliche Profil für die Regel aus.
  7. Wählen Sie in der Spalte Angewendet auf die entsprechende Option aus, um den Geltungsbereich der Regeln zu begrenzen. Standardmäßig ist für die Spalte Angewendet auf der Wert „DFW“ festgelegt und die Regel wird auf alle Arbeitslasten angewendet. Sie können die Regeln oder Richtlinien auch auf die ausgewählten Gruppen anwenden. Gruppen, die nur aus IP-Adressen bzw. MAC-Adressen bestehen, oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.
  8. Wählen Sie den erforderlichen Modus aus den folgenden Optionen aus:
    • Nur erkennen: Erkennt Eindringversuche anhand von Signaturen und führt keine Aktionen durch.
    • Erkennen und verhindern: Erkennt Eindringversuche anhand von Signaturen und ergreift Maßnahmen zum Verwerfen oder Ablehnen, wie in der Signatur über das Profil oder über die globale Einstellung angegeben.
  9. Klicken Sie auf das Zahnradsymbol, um die folgenden Regeloptionen zu konfigurieren.
    Option Beschreibung
    Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der Datei „/var/log/dfwpktlogs.log“ auf ESXi- und KVM-Hosts gespeichert.
    Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. EINGEHEND bedeutet, dass nur der Datenverkehr zum Objekt überprüft wird. AUSGEHEND bedeutet, dass nur der Datenverkehr vom Objekt überprüft wird. „Ein-/Ausgehend“ bedeutet, dass der Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
    Protokollbezeichnung Die Protokollbezeichnung wird in das Firewallprotokoll übertragen, wenn die Protokollierung aktiviert ist.
  10. Klicken Sie auf Veröffentlichen. Wenn Regeln erfolgreich per Push an den Host übertragen werden, wird der Status Erfolgreich angezeigt.
  11. Klicken Sie auf das Diagrammsymbol, um Folgendes anzuzeigen:
    • Richtlinienstatus: Regeln wurden erfolgreich per Push an die Hosts übertragen
    • Transportknotenstatus und -fehler
    Informationen zur erweiterten Richtlinienkonfiguration finden Sie im Administratorhandbuch für NSX.

Richtlinie für Gateway-Firewall

Sie können eine Gateway-Firewall konfigurieren, indem Sie unter einem Abschnitt für die Firewall-Richtlinie, der zu einer vordefinierten Kategorie gehört, Regeln hinzufügen.

Prozedur

  1. Navigieren Sie zu Sicherheit > Gateway-Firewall > Gateway-spezifische Regeln.
  2. Wählen Sie T0-Gateway aus und klicken Sie auf Richtlinie hinzufügen.
    GFW-Richtlinie hinzufügen
  3. Fügen Sie die Regel hinzu.
  4. Fügen Sie den Dienst für die Regel hinzu.
  5. Geben Sie Details wie Quelle, Ziel, Dienste und Gateway an und wählen Sie eine Aktion aus.
  6. Veröffentlichen Sie die Richtlinie und die Regel.