Il firewall distribuito monitora tutto il traffico est-ovest nelle macchine virtuali.

La procedura descritta in questo argomento illustra il workflow per l'aggiunta di criteri del firewall che vengono applicati al firewall distribuito NSX o a gruppi specifici con oggetti gestiti da NSX.

Se nell'ambiente di NSX-T Data Center in uso sono registrati container Antrea, è possibile creare criteri del firewall distribuito e applicarli ai cluster di container Antrea. Per ulteriori informazioni, consultare:
Nota: NSX-T Data Center non supporta la combinazione di regole create con oggetti gestiti da NSX e con oggetti del cluster di container Antrea nello stesso criterio del firewall distribuito. In altre parole, le regole del firewall applicate al firewall distribuito NSX e ai cluster di container Antrea devono trovarsi in criteri separati.

Prerequisiti

Nelle versioni NSX-T Data Center precedenti alla 3.2, per essere protette da DFW, le vNIC delle macchine virtuali devono essere connesse a un segmento overlay o VLAN di NSX. In NSX-T Data Center 3.2, il firewall distribuito protegge i carichi di lavoro connessi in modo nativo a un gruppo di porte distribuito VDS (DVPG). Per ulteriori informazioni, vedere Distributed Security per vSphere Distributed Switch.

Se si stanno creando regole per firewall identità, creare prima un gruppo con membri di Active Directory. Per visualizzare i protocolli supportati per IDFW, vedere Configurazioni supportate dal firewall di identità. Quando si crea una regola DFW utilizzando Guest Introspection, assicurarsi che il campo Si applica a sia valido per il gruppo di destinazione.
Nota: Per l'applicazione della regola del firewall di identità, il servizio Ora di Windows deve essere attivo per tutte le macchine virtuali che utilizzano Active Directory. In questo modo, la data e l'ora vengono sincronizzate tra Active Directory e le macchine virtuali. Le modifiche dell'appartenenza al gruppo di AD, tra cui l'abilitazione e l'eliminazione di utenti, non vengono applicate immediatamente per gli utenti che hanno effettuato l'accesso. Per rendere effettive le modifiche, gli utenti devono disconnettersi e quindi eseguire nuovamente l'accesso. L'amministratore di AD deve forzare la disconnessione quando viene modificata l'appartenenza al gruppo. Questo comportamento è una limitazione di Active Directory.

Si tenga presente che se si utilizza una combinazione di livello 7 e ICMP o qualsiasi altro protocollo, è necessario mettere le regole del firewall di livello 7 all'ultimo posto. Qualsiasi regola dopo il livello 7 non verrà eseguita.

Per informazioni dettagliate specifiche della federazione sul criterio del firewall distribuito e sulla creazione delle regole, vedere Creazione di criteri e regole DFW da Global Manager.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sicurezza > Firewall distribuito nel riquadro di spostamento.
  3. Assicurarsi di trovarsi nella categoria predefinita corretta e fare clic su Aggiungi criterio.
    Per ulteriori informazioni sulle categorie, vedere Firewall distribuito.
  4. Immettere un Nome nella sezione del nuovo criterio.
  5. (Facoltativo) Utilizzare Si applica a per applicare le regole all'interno del criterio a un gruppo selezionato. Per impostazione predefinita, il campo Si applica a del criterio è impostato su DFW e le regole del criterio vengono applicate a tutti i carichi di lavoro. Quando si modifica l'impostazione predefinita, se sia il criterio che le regole al suo interno hanno Si applica a impostato su un gruppo, il livello di criterio Si applica a ha la precedenza su Si applica a, a livello di regola.
    Nota: I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.

    Si applica a definisce l'ambito di imposizione per criterio ed è utilizzato principalmente per l'ottimizzazione delle risorse su host ESXi e KVM. Consente di definire un criterio di destinazione per zone, tenant o applicazioni specifici senza interferire con altri criteri definiti per altre applicazioni, tenant e zone.

  6. (Facoltativo) Per configurare le seguenti impostazioni dei criteri, fare clic sull'icona a ingranaggio.
    Opzione Descrizione
    TCP restrittivo Una connessione TCP inizia con un handshake a tre vie (SYN, SYN-ACK, ACK) e in genere termina con uno scambio a due vie (FIN, ACK). In alcuni casi, il firewall distribuito (DFW) potrebbe non visualizzare l'handshake a tre vie per un determinato flusso (a causa del traffico asimmetrico o a causa dell'abilitazione del firewall distribuito mentre è presente un flusso). Per impostazione predefinita, il firewall distribuito non applica la necessità di vedere un handshake a tre vie e seleziona sessioni già stabilite. Il protocollo TCP restrittivo può essere abilitato in base alla sezione per disattivare la selezione a centro sessione e imporre il requisito per un handshake a tre vie.

    Quando si abilita la modalità TCP restrittiva per un particolare criterio DFW e si utilizza una regola predefinita di blocco ANY-ANY i pacchetti che non soddisfano tutti i requisiti di connessione dell'handshake a tre vie e che corrispondono a una regola basata su TCP in questa sezione vengono eliminati. La modalità restrittiva viene applicata solo alle regole TCP stateful ed è abilitata al livello del criterio del firewall distribuito. TCP restrittivo non viene applicato per i pacchetti che corrispondono a una regola Consenti ANY-ANY predefinita che non presenta alcun servizio TCP specificato.
    Stateful Un firewall di tipo stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.
    Bloccato Il criterio può essere bloccato per impedire a più utenti di modificare le stesse sezioni. Quando si blocca una sezione, è necessario includere un commento.

    Alcuni ruoli, come l'amministratore aziendale, dispongono di credenziali di accesso complete e non possono essere bloccati. Vedere Controllo degli accessi in base al ruolo.

  7. Fare clic su Pubblica. È possibile aggiungere più criteri, quindi pubblicarli insieme contemporaneamente.
    Il nuovo criterio viene mostrato nella schermata.
  8. Selezionare una sezione del criterio, fare clic su Aggiungi regola e immettere un nome per la regola.
  9. Nella colonna Origini, fare clic sull'icona di modifica e selezionare l'origine della regola. I gruppi con membri di Active Directory possono essere utilizzati per la casella di testo di origine di una regola IDFW.
    Per ulteriori informazioni, consultare Aggiunta di un gruppo.

    Sono supportati indirizzi IPv4, IPv6 e multicast.

    Nota: nel firewall IPv6 deve essere abilitato il rilevamento IP per IPv6 in un segmento connesso. Per ulteriori informazioni, vedere Informazioni sul profilo di segmento di rilevamento IP.

  10. (Facoltativo) Se è selezionata l'opzione Nega selezioni, la regola viene applicata al traffico proveniente da tutte le origini ad eccezione delle origini selezionate. È possibile selezionare Nega selezioni solo se è stata definita almeno un'origine o una destinazione. Le selezioni negate vengono visualizzate con testo barrato.
  11. Nella colonna Destinazioni, fare clic sull'icona di modifica e selezionare la destinazione della regola. Se non è definita, la destinazione corrisponde a qualsiasi (ANY).
    Per ulteriori informazioni, consultare Aggiunta di un gruppo.

    Sono supportati indirizzi IPv4, IPv6 e multicast.

  12. (Facoltativo) Se è selezionata l'opzione Nega selezioni, la regola viene applicata al traffico destinato a tutte le destinazioni, ad eccezione delle destinazioni selezionate. È possibile selezionare Nega selezioni solo se è stata definita almeno un'origine o una destinazione. Le selezioni negate vengono visualizzate con testo barrato.
  13. Nella colonna Servizi, fare clic sull'icona di modifica e selezionare i servizi. Se non definito, il servizio corrisponde a Qualsiasi. Per ulteriori informazioni, consultare Aggiunta di un servizio.
  14. La colonna Profili non è disponibile quando si aggiunge una regola alla categoria Ethernet. Per tutte le altre categorie di regole, nella colonna Profili, fare clic sull'icona di modifica e selezionare un profilo del contesto oppure fare clic su Aggiungi nuovo profilo contesto. Per ulteriori informazioni, consultare Profili di contesto.

    I profili di contesto supportano i profili con il tipo di attributo ID APP e nome dominio (FQDN) da utilizzare nelle regole del firewall distribuito. Più profili di contesto con il tipo di attributo ID app o nome dominio (FQDN) possono essere utilizzati in una regola del firewall distribuito con servizi impostati su Qualsiasi .

    I profili contesto non sono supportati quando si creano regole IDS.

  15. Fare clic su Applica per applicare il profilo contesto alla regola.
  16. Utilizzare Si applica a per applicare la regola al gruppo selezionato. Quando si crea una regola DFW utilizzando Guest Introspection, assicurarsi che il campo Si applica a sia applicabile al gruppo di destinazione. Per impostazione predefinita, la colonna Si applica a è impostata su DFW e la regola viene applicata a tutti i carichi di lavoro. Quando si modifica l'impostazione predefinita e sia il livello del criterio che le regole all'interno hannoSi applica a impostato su Gruppi, il livello del criterio Si applica a ha la precedenza su Si applica a, a livello di regola.
    Nota: I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.
  17. Nella colonna Azione, selezionare un'azione.
    Opzione Descrizione
    Consenti Consente a tutto il traffico L3 o L2 con l'origine, la destinazione e il protocollo specificati di passare attraverso il contesto del firewall corrente. I pacchetti che corrispondono alla regola e sono accettati, attraversano il sistema come se il firewall non fosse presente.
    Elimina Elimina i pacchetti con l'origine, la destinazione e il protocollo specificati. L'eliminazione di un pacchetto è un'azione invisibile all'utente senza notifica ai sistemi di origine o destinazione. Con l'eliminazione del pacchetto viene riprovata la connessione finché non viene raggiunta la soglia dei tentativi ripetuti.
    Rifiuta Rifiuta i pacchetti con l'origine, la destinazione e il protocollo specificati. Il rifiuto di un pacchetto è un modo più gestibile per negare un pacchetto, perché invia al mittente un messaggio di destinazione irraggiungibile. Se il protocollo è TCP, viene inviato un messaggio TCP RST. I messaggi ICMP con codice vietato a livello amministrativo vengono inviati per UDP, ICMP e altre connessioni IP. Uno dei vantaggi di Rifiuta è che l'applicazione mittente viene informata che la connessione non può essere stabilita dopo un solo tentativo.
    Passa all'applicazione
    Nota: Questa azione è disponibile solo per la categoria Ambiente.

    Consente al traffico corrispondente alle regole della categoria Ambiente di continuare affinché vengano applicate le regole della categoria Applicazione. Utilizzare questa azione quando il traffico corrisponde alle regole della categoria Ambiente ed esce, ma si desidera che vengano applicate le regole della categoria Applicazione.

    Ad esempio, se è presente una regola della categoria Ambiente con l'azione Consenti per un'origine specifica e una regola della categoria Applicazione con l'azione Elimina per la stessa origine, i pacchetti che corrispondono alla categoria Ambiente sono consentiti attraverso il firewall e non vengono più applicate ulteriori regole. Con l'azione Passa all'applicazione, i pacchetti corrispondono alla regola della categoria Ambiente, ma continuano con le regole della categoria Applicazione e il risultato è che tali pacchetti vengono eliminati.
  18. Fare clic sull'interruttore di stato per abilitare o disabilitare la regola.
  19. Fare clic sull'icona dell'ingranaggio per configurare le seguenti opzioni della regola:
    Opzione Descrizione
    Registrazione La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati nel file /var/log/dfwpwplogs.log negli host ESXi e KVM.
    Direzione Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. In entrata significa che viene controllato solo il traffico verso l'oggetto, In uscita significa che viene controllato solo il traffico che parte dall'oggetto, In entrata-In uscita significa che viene controllato il traffico in entrambe le direzioni.
    Protocollo IP Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6.
    Etichetta registro

    L'etichetta registro viene portata nel registro del firewall quando la registrazione è abilitata. Sono supportati solo i primi 31 caratteri nel registro generato, anche se è possibile immettere un'etichetta più lunga.
  20. Fare clic su Pubblica. È possibile aggiungere più regole e poi pubblicarle insieme contemporaneamente.
  21. Lo stato di realizzazione del percorso dei dati del criterio con i dettagli dei nodi di trasporto vengono mostrati sul lato destro della tabella dei criteri.