È possibile creare criteri di protezione e regole DFW da applicare a più posizioni registrate in Global Manager.

Prerequisiti

Assicurarsi di aver già creato le regioni personalizzate che si desidera utilizzare per le regole del firewall. Vedere Creazione di una regione da Global Manager.

Procedura

  1. Dal browser accedere con privilegi di amministratore aziendale o amministratore della sicurezza a Global Manager all'indirizzo https://<indirizzo-ip-global-manager>.
  2. Selezionare Sicurezza > Firewall distribuito
  3. Assicurarsi di trovarsi nella categoria predefinita corretta e fare clic su Aggiungi criterio. Per ulteriori informazioni sulle categorie, vedere Firewall distribuito.
    Nota: Le categorie Ethernet, Emergenza e Criterio predefinito non sono supportate in Global Manager.
  4. Fare clic su Aggiungi criterio.
  5. Immettere un Nome nella sezione del nuovo criterio.
  6. Fare clic sull'icona a forma di matita accanto a Si applica a per impostare l'estensione di questo criterio.
  7. Nella finestra di dialogo Imposta ambito applicazione è possibile effettuare le selezioni seguenti:
    • Regione: selezionare i Local Manager a cui applicare il criterio. Ogni Local Manager viene aggiunto automaticamente come regione. È inoltre possibile creare regioni personalizzate. Vedere Creazione di una regione da Global Manager.
    • Selezionare Applicato a: per impostazione predefinita, il criterio viene applicato a DFW, ovvero viene applicato a tutti i carichi di lavoro nei Local Manager in base alla regione selezionata per questo criterio. È inoltre possibile applicare un criterio ai gruppi selezionati. L'opzione Si applica a definisce l'ambito dell'imposizione per criterio e viene utilizzata principalmente per l'ottimizzazione delle risorse negli host ESXi. Consente di definire un criterio di destinazione per zone, tenant e applicazioni specifiche senza interferire con i criteri definiti per altri tenant, zone e applicazioni.

      Vedere Regole e criteri DFW per capire in che modo l'estensione del criterio determina se la regola DFW è valida o meno.
  8. Per configurare le seguenti impostazioni dei criteri, fare clic sull'icona a ingranaggio:
    Opzione Descrizione
    TCP restrittivo Una connessione TCP inizia con un handshake a tre vie (SYN, SYN-ACK, ACK) e in genere termina con uno scambio a due vie (FIN, ACK). In alcuni casi, il firewall distribuito (DFW) potrebbe non visualizzare l'handshake a tre vie per un determinato flusso (a causa del traffico asimmetrico o a causa dell'abilitazione del firewall distribuito mentre è presente un flusso). Per impostazione predefinita, il firewall distribuito non applica la necessità di vedere un handshake a tre vie e seleziona sessioni già stabilite. Il protocollo TCP restrittivo può essere abilitato in base alla sezione per disattivare la selezione a centro sessione e imporre il requisito per un handshake a tre vie.

    Quando si abilita la modalità TCP restrittiva per un particolare criterio DFW e si utilizza una regola predefinita di blocco ANY-ANY i pacchetti che non soddisfano tutti i requisiti di connessione dell'handshake a tre vie e che corrispondono a una regola basata su TCP in questa sezione vengono eliminati. La modalità restrittiva viene applicata solo alle regole TCP stateful ed è abilitata al livello del criterio del firewall distribuito. TCP restrittivo non viene applicato per i pacchetti che corrispondono a una regola Consenti ANY-ANY predefinita che non presenta alcun servizio TCP specificato.

    Stateful Un firewall di tipo stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.
    Bloccato Il criterio può essere bloccato per impedire a più utenti di modificare le stesse sezioni. Quando si blocca una sezione, è necessario includere un commento.

    Alcuni ruoli, come l'amministratore per l'azienda, dispongono di credenziali di accesso complete e non possono essere bloccati. Vedere Controllo degli accessi in base al ruolo.

  9. Fare clic su Pubblica. È possibile aggiungere più criteri, quindi pubblicarli insieme contemporaneamente.
    Il nuovo criterio viene mostrato nella schermata.
  10. Selezionare una sezione del criterio e fare clic su Aggiungi regola.
  11. Immettere un nome per la regola.
  12. L'origine e la destinazione vengono convalidate in base all'estensione del criterio DFW. Per ulteriori informazioni, consultare Regole e criteri DFW.
    • Se il criterio DFW viene applicato a una posizione, ad esempio Loc1, l'origine o la destinazione può essere la parola chiave ANY oppure un gruppo che appartiene a Loc1.

    • Se il criterio DFW viene applicato a una regione creata dall'utente, ad esempio Region1, l'origine o la destinazione può essere la parola chiave ANY oppure un gruppo che ha la stessa estensione di Region1 o si estende in una posizione in Region1.

    • Se il criterio DFW viene applicato a Globale, l'origine o la destinazione può essere qualsiasi elemento.

    Nota: Active Directory e IDFW non sono supportati per federazione di NSX, ovvero non è possibile utilizzare queste funzionalità da Global Manager.
    1. Nella colonna Origini fare clic sull'icona a forma di matita e selezionare l'origine della regola.
    2. Nella colonna Destinazioni fare clic sull'icona a forma di matita e selezionare la destinazione della regola. Se non è definita, la destinazione corrisponde a qualsiasi (ANY).
  13. Nella colonna Servizi, fare clic sull'icona della matita e selezionare i servizi. Se non definito, il servizio corrisponde a Qualsiasi.
  14. Nella colonna Profili, fare clic sull'icona di modifica e selezionare un profilo del contesto oppure fare clic su Aggiungi nuovo profilo contesto. Vedere Profili.
  15. Fare clic su Applica per applicare il profilo contesto alla regola.
  16. Per impostazione predefinita, la colonna Si applica a è impostata su DFW e la regola viene applicata a tutti i carichi di lavoro. È inoltre possibile applicare la regola o il criterio a un gruppo selezionato. L'opzione Si applica a definisce l'ambito dell'imposizione per regola e viene utilizzata principalmente per l'ottimizzazione delle risorse negli host ESXi. Consente di definire un criterio di destinazione per zone, tenant e applicazioni specifiche senza interferire con i criteri definiti per altri tenant, zone e applicazioni.
    Nota: In Si applica a non è possibile selezionare i tipi di gruppi seguenti:
    • Un gruppo con indirizzi IP o MAC
    • Un gruppo di utenti di Active Directory
  17. Nella colonna Azione, selezionare un'azione.
    Opzione Descrizione
    Consenti Consente a tutto il traffico L3 o L2 con l'origine, la destinazione e il protocollo specificati di passare attraverso il contesto del firewall corrente. I pacchetti che corrispondono alla regola e sono accettati, attraversano il sistema come se il firewall non fosse presente.
    Elimina Elimina i pacchetti con l'origine, la destinazione e il protocollo specificati. L'eliminazione di un pacchetto è un'azione invisibile all'utente senza notifica ai sistemi di origine o destinazione. Con l'eliminazione del pacchetto viene riprovata la connessione finché non viene raggiunta la soglia dei tentativi ripetuti.
    Rifiuta Rifiuta i pacchetti con l'origine, la destinazione e il protocollo specificati. Il rifiuto di un pacchetto è un modo più gestibile per negare un pacchetto, perché invia al mittente un messaggio di destinazione irraggiungibile. Se il protocollo è TCP, viene inviato un messaggio TCP RST. I messaggi ICMP con codice vietato a livello amministrativo vengono inviati per UDP, ICMP e altre connessioni IP. Uno dei vantaggi di Rifiuta è che l'applicazione mittente viene informata che la connessione non può essere stabilita dopo un solo tentativo.
  18. Fare clic sull'interruttore per abilitare o disabilitare la regola.
  19. Fare clic sull'icona dell'ingranaggio per configurare le seguenti opzioni della regola:
    Opzione Descrizione
    Registrazione La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati in /var/log/dfwpktlogs.log negli host ESXi.
    Direzione Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. IN significa che è selezionato solo il traffico verso l'oggetto, OUT indica che è selezionato solo il traffico proveniente dall'oggetto e Ingresso/uscita significa che è selezionato il traffico in entrambe le direzioni.
    Protocollo IP Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6.
    Etichetta registro Quando la registrazione è abilitata, viene visualizzata l'etichetta del registro nel registro del firewall.
  20. Fare clic su Pubblica. È possibile aggiungere più regole e poi pubblicarle insieme contemporaneamente.
  21. In ogni criterio fare clic su Controlla stato per visualizzare lo stato delle regole che contiene, in base alla posizione. È possibile fare clic su Operazione eseguita o su Non riuscita per aprire la finestra dello stato del criterio.
  22. Fare clic su Controlla stato per verificare lo stato di realizzazione dei criteri applicati ai nodi di trasporto in posizioni diverse.