Da Global Manager è possibile creare regole e criteri del firewall del gateway da applicare a più posizioni o interfacce selezionate per determinate posizioni.

I gateway di livello 0 o di livello 1 creati da Global Manager si estendono in tutte le posizioni o in un set di posizioni. Quando si applicano le regole del firewall del gateway create da Global Manager, sono disponibili alcune opzioni: le regole del firewall del gateway possono essere applicate a tutte le posizioni incluse nell'estensione del gateway, a tutte le interfacce di una determinata posizione oppure a interfacce specifiche di una o più posizioni.

In Local Manager le regole vengono applicate nell'ordine seguente:
  1. Tutte le regole create da Global Manager, che vengono realizzate correttamente in Local Manager, vengono applicate per prime.
  2. Vengono quindi applicate tutte le regole create da Local Manager.
  3. L'ultima regola applicata è la regola del firewall del gateway predefinita. Si tratta della regola allow-all o deny-all applicabile a tutte le posizioni e a tutti i carichi di lavoro. È possibile modificare il comportamento di questa regola predefinita da Global Manager.

Procedura

  1. Dal browser accedere con privilegi di amministratore aziendale o amministratore della sicurezza a Global Manager all'indirizzo https://<indirizzo-ip-global-manager>.
  2. Selezionare Sicurezza > Firewall del gateway.
  3. Assicurarsi di essere nella categoria predefinita corretta. In Global Manager sono supportate solo le categorie Pre-regole, Gateway locale e Predefinito. Per definire il criterio nella categoria Gateway locale, fare clic sul nome della categoria nella scheda Tutte le regole condivise oppure fare clic direttamente sulla scheda Regole specifiche del gateway.

    Selezionare un gateway di livello 0 o di livello 1 dal menu a discesa accanto a Gateway. L'estensione del gateway di livello 0 o di livello 1 selezionato diventa l'estensione predefinita del criterio e della regola del firewall del gateway. È possibile ridurre l'estensione ma non aumentarla.

  4. Fare clic su Aggiungi criterio.
  5. Immettere un Nome per la sezione del nuovo criterio.
  6. (Facoltativo) Fare clic sull'icona dell'ingranaggio per configurare le seguenti impostazioni dei criteri:
    Impostazioni Descrizione
    TCP restrittivo Una connessione TCP inizia con un handshake a tre vie (SYN, SYN-ACK, ACK) e in genere termina con uno scambio a due vie (FIN, ACK). In alcuni casi, il firewall potrebbe non vedere l'handshake a tre vie per un flusso specifico (ad esempio a causa di traffico asimmetrico). Per impostazione predefinita, non è necessario che il firewall veda un handshake a tre vie perché acquisisce le sessioni già stabilite. Il protocollo TCP restrittivo può essere abilitato in base alla sezione per disattivare la selezione a centro sessione e imporre il requisito per un handshake a tre vie. Quando si abilita la modalità TCP restrittiva per un particolare criterio di firewall e si utilizza una regola predefinita di blocco ANY-ANY i pacchetti che non soddisfano tutti i requisiti di connessione dell'handshake a tre vie e che corrispondono a una regola basata su TCP in questa sezione vengono eliminati. La modalità restrittiva viene applicata solo alle regole TCP stateful ed è abilitata al livello del criterio del firewall del gateway. TCP restrittivo non viene applicato per i pacchetti che corrispondono a una regola Consenti ANY-ANY predefinita che non presenta alcun servizio TCP specificato.
    Stateful Un firewall stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.
    Bloccato Il criterio può essere bloccato per impedire a più utenti di apportare modifiche alle stesse sezioni. Quando si blocca una sezione, è necessario includere un commento.
  7. Fare clic su Pubblica. È possibile aggiungere più criteri, quindi pubblicarli insieme contemporaneamente.
    Il nuovo criterio viene mostrato nella schermata.
  8. Selezionare una sezione del criterio e fare clic su Aggiungi regola.
  9. Immettere un nome per la regola.
  10. Nella colonna Origini, fare clic sull'icona di modifica e selezionare l'origine della regola. Il gruppo di origine deve avere la stessa estensione del gateway o un suo sottoinsieme.
  11. Nella colonna Destinazioni, fare clic sull'icona di modifica e selezionare la destinazione della regola. Se non è definita, la destinazione corrisponde a qualsiasi (ANY). Il gruppo di destinazione deve avere la stessa estensione del gateway o un suo sottoinsieme.
  12. Nella colonna Servizi, fare clic sull'icona della matita e selezionare i servizi. Se non definito, il servizio corrisponde a Qualsiasi. Fare clic su Applica per salvare.
  13. Nella colonna Profili, fare clic sull'icona di modifica e selezionare un profilo del contesto oppure fare clic su Aggiungi nuovo profilo contesto. Vedere Profili di contesto.
    Nota: I profili di contesto non sono supportati per i gateway di livello 0. È possibile applicare profili di contesto L7 ai gateway di livello 1.
  14. Fare clic sull'icona a forma di matita nella colonna Si applica a. Nella finestra di dialogo Si applica a:
    Selezione di Si applica a Risultato
    Selezionare Applica regola al gateway La regola del firewall del gateway viene applicata a tutte le posizioni dell'estensione del gateway. Se si aggiunge un'altra posizione al gateway, la regola del firewall del gateway viene applicata automaticamente a tale posizione.
    Selezionare una posizione e quindi selezionare Applica regola a tutte le entità La regola viene applicata a tutte le interfacce nella posizione selezionata.
    Selezionare una posizione e quindi selezionare le interfacce per tale posizione La regola viene applicata solo alle interfacce selezionate in una o più posizioni.
    Nota: Non è disponibile alcuna selezione predefinita per Si applica a. Per poter pubblicare la regola, è necessario effettuare una selezione.
  15. Nella colonna Azione, selezionare un'azione.
    Opzione Descrizione
    Consenti Consente a tutto il traffico con l'origine, la destinazione e il protocollo specificati di passare attraverso il contesto del firewall corrente. I pacchetti che corrispondono alla regola e sono accettati, attraversano il sistema come se il firewall non fosse presente.
    Elimina Elimina i pacchetti con l'origine, la destinazione e il protocollo specificati. L'eliminazione di un pacchetto è un'azione invisibile all'utente senza notifica ai sistemi di origine o destinazione. Con l'eliminazione del pacchetto viene riprovata la connessione finché non viene raggiunta la soglia dei tentativi ripetuti.
    Rifiuta

    Rifiuta i pacchetti con l'origine, la destinazione e il protocollo specificati. Il rifiuto di un pacchetto comporta l'invio di un messaggio di destinazione irraggiungibile al mittente. Se il protocollo è TCP, viene inviato un messaggio TCP RST. I messaggi ICMP con codice vietato a livello amministrativo vengono inviati per UDP, ICMP e altre connessioni IP. L'applicazione mittente dell'invio viene informata dopo un tentativo in cui non è possibile stabilire la connessione.

  16. Fare clic sull'interruttore di stato per abilitare o disabilitare la regola.
  17. Fare clic sull'icona a forma di ingranaggio per impostare registrazione, direzione, protocollo IP, tag e note.
    Opzione Descrizione
    Registrazione La registrazione può essere disattivata o attivata. È possibile accedere ai registri utilizzando il seguente comando della CLI di NSX in NSX Edge:
    get log-file syslog | find datapathd.firewallpkt
    I registri possono anche essere inviati a un server syslog esterno.
    Direzione Le opzioni sono In entrata, In uscita e In entrata-In uscita. L'impostazione predefinita è In entrata-In uscita. Questo campo si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. In entrata significa che viene controllato solo il traffico verso l'oggetto, In uscita significa che viene controllato solo il traffico che parte dall'oggetto, In entrata-In uscita significa che viene controllato il traffico in entrambe le direzioni.
    Protocollo IP Le opzioni sono IPv4, IPv6 e IPv4_IPv6. Il valore predefinito è IPv4_IPv6.
    Etichetta registro Etichetta del registro che è stata aggiunta alla regola.
    Nota: Fare clic sull'icona del grafico per visualizzare le statistiche del flusso della regola del firewall. È possibile visualizzare informazioni come byte, numero di pacchetti e sessioni.
  18. Fare clic su Pubblica. È possibile aggiungere più regole e poi pubblicarle insieme contemporaneamente.
  19. Fare clic su Controlla stato per visualizzare lo stato di realizzazione del criterio applicato ai gateway tramite nodi Edge in posizioni diverse. È possibile fare clic su Operazione eseguita o su Non riuscita per aprire la finestra dello stato del criterio.