La tabella di regole del firewall implementa il criterio di Sicurezza NSX che è possibile creare utilizzando la GUI di NSX Manager o il framework di REST API.

Di seguito sono riportati i passaggi di alto livello per comprendere e prepararsi alla definizione del criterio di sicurezza.
  • VM Inventory Collection: è possibile identificare e organizzare un elenco di tutti i carichi di lavoro virtualizzati ospitati nei nodi di trasporto NSX. L'inventario viene raccolto e salvato dinamicamente da NSX Manager come i nodi: ESXi o KVM aggiunti come nodi di trasporto NSX. È possibile visualizzare un elenco di inventari passando al menu Inventario > Macchine virtuali.
  • Tag: NSX consente di contrassegnare macchina virtuale, segmento e porta del segmento. Per contrassegnare ciascuno di questi oggetti, passare alla pagina dell'oggetto pertinente o passare a Inventario > Tag. Gli oggetti possono avere uno o più tag. Ad esempio, una macchina virtuale può avere Tag = PROD, Tag = HR-APP o Tag = WEB-Tier.
  • Group Workloads: è possibile utilizzare il costrutto di raggruppamento logico di NSX con criteri di appartenenza dinamica o statica in base al nome della macchina virtuale, ai tag, al segmento, alla porta del segmento, agli IP o ad altri attributi.
  • Define Security Policy: è possibile definire il criterio di sicurezza utilizzando la tabella delle regole del firewall distribuito disponibile in Sicurezza > Firewall distribuito. È possibile organizzare il criterio in base a categorie predefinite come Ethernet, emergenza, infrastruttura, ambiente e applicazione.

Per informazioni dettagliate, vedere Guida all'amministrazione di NSX.

Aggiungi tag

È possibile selezionare tag esistenti disponibili nell'inventario o creare nuovi tag da aggiungere a un oggetto.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Per assegnare tag a un oggetto, assicurarsi che sia attivata la modalità di modifica di tale oggetto. Gli oggetti possono essere segmenti, gruppi, gateway di livello 0, gateway di livello 1 e così via.
    Ad esempio, per assegnare tag ai segmenti, fare clic su Rete > Segmenti. Accanto al segmento da modificare, fare clic su Menu Azioni e scegliere Modifica.
  3. Nel menu a discesa Tag immettere il nome del tag. Terminata l'operazione, fare clic su Aggiungi elementi.
    La lunghezza massima del nome del tag è di 256 caratteri.

    Se nell'inventario sono presenti tag, nel menu a discesa Tag viene visualizzato l'elenco dei tag disponibili e il relativo ambito. È possibile selezionare un tag esistente dal menu a discesa e assegnarlo al segmento.

    Nota: Se si assegna un tag alla macchina virtuale, non assegnare il tag Edge_NSGroup alla macchina virtuale. Il sistema assegna automaticamente questo tag alle macchine virtuali Edge per includerle nell'elenco di esclusione DFW.
  4. (Facoltativo) Immettere un ambito del tag.
    Ad esempio, si supponga di voler assegnare tag ai segmenti nell'organizzazione in base ai nomi dei reparti, ad esempio vendite, marketing, finanze e così via. Creare tag quali vendite, marketing e finanze e impostare l'ambito di ciascun tag sul reparto.
    La lunghezza massima dell'ambito è 128 caratteri.

    Se si seleziona un tag esistente dall'inventario, l'ambito del tag selezionato viene applicato automaticamente. In caso contrario, è possibile immettere un ambito per il nuovo tag che si sta creando.

  5. Fare clic sull'icona + o premere Invio.
    Il tag viene aggiunto al segmento.
  6. Aggiungere altri tag al segmento, se necessario.
  7. Fare clic su Salva.

Aggiunta di gruppi

I gruppi includono oggetti diversi che vengono aggiunti in modo statico e dinamico e possono essere utilizzati come origine e destinazione di una regola del firewall.

Procedura

  1. Selezionare Inventario > Gruppi nel riquadro di spostamento.
  2. Fare clic su Aggiungi gruppo, quindi immettere il nome del gruppo.
  3. Fare clic su Imposta.
  4. Nella finestra Imposta membri, selezionare il Tipo di gruppo.
    Tabella 1.
    Tipo gruppo Descrizione
    Generico

    Questo tipo di gruppo è la selezione predefinita. Una definizione di gruppo generico può essere costituita da una combinazione di criteri di appartenenza, membri aggiunti manualmente, indirizzi IP, indirizzi MAC e gruppi di Active Directory.

    Quando si definiscono i criteri di appartenenza nel gruppo, i membri vengono aggiunti dinamicamente nel gruppo in base a uno o più criteri. I membri aggiunti manualmente includono oggetti, ad esempio porte del segmento, porte distribuite, gruppi di porte distribuiti, VIF, macchine virtuali e così via.
    Solo indirizzi IP

    Questo tipo di gruppo contiene solo indirizzi IP (IPv4 o IPv6). L'utilizzo dei gruppi Solo indirizzi IP con membri di indirizzi IP aggiunti manualmente non è supportato nelle regole Si applica a in DFW. È possibile creare la regola, ma non verrà applicata.

    Se il tipo di gruppo è Generico, è possibile modificarlo impostandolo sul gruppo Solo indirizzi IP ma non sul gruppo Solo indirizzi IP con IP dannosi. In questo caso, nel gruppo vengono mantenuti solo gli indirizzi IP. Tutti i criteri di appartenenza e le altre definizioni del gruppo vengono persi. Dopo che un gruppo di tipo Solo indirizzi IP o Solo indirizzi IP con IP dannosi viene creato in NSX, non è possibile modificare il tipo di gruppo a Generico.
  5. Nella pagina Criteri di appartenenza, fare clic su Aggiungi criterio per aggiungere dinamicamente i membri al gruppo generico in base a uno o più criteri di appartenenza.
  6. Fare clic su Membri per aggiungere membri statici al gruppo.
  7. (Facoltativo) Fare clic su Indirizzi IP o Indirizzi MAC per aggiungere indirizzi IP e MAC come membri del gruppo. Sono supportati indirizzi IPv4, IPv6 e multicast.
    Fare clic su Azione > Importa per importare gli indirizzi IP/MAC da un file TXT o da un file CSV contenente valori di IP/MAC separati da virgole.
  8. Fare clic su Gruppi di AD per aggiungere gruppi di Active Directory. Questa opzione viene utilizzata per il firewall di Identity. I gruppi con membri di Active Directory possono essere utilizzati nell'origine di una regola del firewall distribuito per il firewall di Identity. I gruppi possono contenere sia membri di AD sia membri di elaborazione.
  9. (Facoltativo) Immettere una descrizione e un tag.
  10. Fare clic su Applica
    Vengono elencati i gruppi con un'opzione per visualizzare i membri e la posizione in cui viene utilizzato il gruppo.

Criterio firewall distribuito

Il firewall distribuito include categorie predefinite per le regole firewall. Le categorie consentono di organizzare i criteri di sicurezza.

Le categorie vengono valutate da sinistra a destra (Ethernet > Emergenza > Infrastruttura > Ambiente > Applicazione) e le regole del firewall distribuito all'interno della categoria vengono valutate dall'alto verso il basso.

Tabella 2. Categorie di regole del firewall distribuito
Ethernet

Si consiglia di includere regole di livello 2 per questa categoria.

 Emergenza

Si consiglia di includere la quarantena e di consentire le regole per questa categoria.

 Infrastruttura

Si consiglia di includere regole che definiscono l'accesso ai servizi condivisi per questa categoria. Ad esempio:

  • AD
  • DNS
  • NTP
  • DHCP
  • Backup
  • Server di gestione
 Ambiente

Si consiglia di includere regole tra le zone per questa categoria. Ad esempio:

  • Produzione e sviluppo
  • PCI e non PCI
  • Regole inter-business unit
 Applicazione

Si consiglia di includere regole tra:

  • Applicazioni
  • Livelli applicazione
  • Microservizi

Aggiunta di un criterio del firewall distribuito

Il firewall distribuito monitora tutto il traffico est-ovest nelle macchine virtuali.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sicurezza > Firewall distribuito nel riquadro di spostamento.
  3. Assicurarsi di trovarsi nella categoria predefinita corretta e fare clic su Aggiungi criterio.
  4. Immettere un Nome nella sezione del nuovo criterio.
  5. (Facoltativo) Utilizzare Si applica a per applicare le regole all'interno del criterio a un gruppo selezionato. Per impostazione predefinita, il campo Si applica a del criterio è impostato su DFW e le regole del criterio vengono applicate a tutti i carichi di lavoro. Quando si modifica l'impostazione predefinita, se sia il criterio che le regole al suo interno hanno Si applica a impostato su un gruppo, il livello di criterio Si applica a ha la precedenza su Si applica a, a livello di regola.
    Nota: I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.

    Si applica a definisce l'ambito di imposizione per criterio e viene utilizzato principalmente per l'ottimizzazione delle risorse nell'host ESXi. Consente di definire un criterio di destinazione per zone, tenant o applicazioni specifici senza interferire con altri criteri definiti per altre applicazioni, tenant e zone.

  6. Per configurare le seguenti impostazioni dei criteri, fare clic sull'icona a ingranaggio.
  7. Fare clic su Pubblica. È possibile aggiungere più criteri, quindi pubblicarli insieme contemporaneamente.
    Il nuovo criterio viene mostrato nella schermata.
  8. Selezionare una sezione del criterio, fare clic su Aggiungi regola e immettere un nome per la regola.
  9. Nella colonna Origini, fare clic sull'icona di modifica e selezionare l'origine della regola. I gruppi con membri di Active Directory possono essere utilizzati per la casella di testo di origine di una regola IDFW. Sono supportati indirizzi IPv4, IPv6 e multicast. Nel firewall IPv6 deve essere abilitato il rilevamento IP per IPv6 in un segmento connesso. Per ulteriori informazioni, vedere #GUID-F481E554-F39D-4091-BA19-0D9F585F97F1.
  10. Nella colonna Destinazioni, fare clic sull'icona di modifica e selezionare la destinazione della regola. Se non è definita, la destinazione corrisponde a qualsiasi (ANY). Sono supportati indirizzi IPv4, IPv6 e multicast.
  11. Nella colonna Servizi, fare clic sull'icona di modifica e selezionare i servizi. Se non definito, il servizio corrisponde a Qualsiasi.
  12. La colonna Profilo contesto non è disponibile quando si aggiunge una regola alla categoria Ethernet. Per tutte le altre categorie di regole, nella colonna Profilo contesto, fare clic sull'icona di modifica e selezionare un profilo di contesto oppure fare clic su Aggiungi profilo di contesto.
    Questo parametro viene utilizzato per il filtro dell'ID applicazione L7 e per il filtro del nome di dominio completo.
  13. Fare clic su Applica per applicare il profilo contesto alla regola.
  14. Utilizzare Si applica a per applicare la regola al gruppo selezionato. Quando si crea una regola DFW utilizzando Guest Introspection, assicurarsi che il campo Si applica a sia applicabile al gruppo di destinazione. Per impostazione predefinita, la colonna Si applica a è impostata su DFW e la regola viene applicata a tutti i carichi di lavoro. Quando si modifica l'impostazione predefinita e sia il livello del criterio che le regole all'interno hannoSi applica a impostato su Gruppi, il livello del criterio Si applica a ha la precedenza su Si applica a, a livello di regola.
    Nota: I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.
  15. Nella colonna Azione, selezionare un'azione.
    Opzione Descrizione
    Consenti Consente a tutto il traffico L3 o L2 con l'origine, la destinazione e il protocollo specificati di passare attraverso il contesto del firewall corrente. I pacchetti che corrispondono alla regola e sono accettati, attraversano il sistema come se il firewall non fosse presente.
    Elimina Elimina i pacchetti con l'origine, la destinazione e il protocollo specificati. L'eliminazione di un pacchetto è un'azione invisibile all'utente senza notifica ai sistemi di origine o destinazione. Con l'eliminazione del pacchetto viene riprovata la connessione finché non viene raggiunta la soglia dei tentativi ripetuti.
    Rifiuta Rifiuta i pacchetti con l'origine, la destinazione e il protocollo specificati. Il rifiuto di un pacchetto è un modo più gestibile per negare un pacchetto, perché invia al mittente un messaggio di destinazione irraggiungibile. Se il protocollo è TCP, viene inviato un messaggio TCP RST. I messaggi ICMP con codice vietato a livello amministrativo vengono inviati per UDP, ICMP e altre connessioni IP. Uno dei vantaggi di Rifiuta è che l'applicazione mittente viene informata che la connessione non può essere stabilita dopo un solo tentativo.
    Passa all'applicazione
    Nota: Questa azione è disponibile solo per la categoria Ambiente.

    Consente al traffico corrispondente alle regole della categoria Ambiente di continuare affinché vengano applicate le regole della categoria Applicazione. Utilizzare questa azione quando il traffico corrisponde alle regole della categoria Ambiente ed esce, ma si desidera che vengano applicate le regole della categoria Applicazione.

    Ad esempio, se è presente una regola della categoria Ambiente con l'azione Consenti per un'origine specifica e una regola della categoria Applicazione con l'azione Elimina per la stessa origine, i pacchetti che corrispondono alla categoria Ambiente sono consentiti attraverso il firewall e non vengono più applicate ulteriori regole. Con l'azione Passa all'applicazione, i pacchetti corrispondono alla regola della categoria Ambiente, ma continuano con le regole della categoria Applicazione e il risultato è che tali pacchetti vengono eliminati.
  16. Fare clic sull'interruttore di stato per abilitare o disabilitare la regola.
  17. Fare clic sull'icona dell'ingranaggio per configurare le seguenti opzioni della regola:
    Opzione Descrizione
    Registrazione La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati nel file /var/log/dfwpktlogs.log nell'host ESXi.
    Direzione Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. In entrata significa che viene controllato solo il traffico verso l'oggetto, In uscita significa che viene controllato solo il traffico che parte dall'oggetto, In entrata-In uscita significa che viene controllato il traffico in entrambe le direzioni.
    Protocollo IP Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6.
    Etichetta registro

    L'etichetta registro viene portata nel registro del firewall quando la registrazione è abilitata. Il numero massimo di caratteri è 39.

  18. Fare clic su Pubblica. È possibile aggiungere 1.000 regole nella stessa sezione e quindi pubblicarle insieme contemporaneamente.
  19. Lo stato di realizzazione del percorso dei dati del criterio con i dettagli dei nodi di trasporto vengono mostrati sul lato destro della tabella dei criteri.

Aggiunta di un criterio IDS/IPS distribuito

Le regole di IDS/IPS vengono create in modo analogo alle regole del firewall distribuito (DFW). Creare innanzitutto un criterio IDS e quindi creare regole per questo criterio.

Procedura

  1. Passare a Sicurezza > IDS/IPS > Regole firewall distribuite.
  2. Fare clic su Aggiungi criterio per creare un criterio e immettere un nome per il criterio.
  3. Fare clic sull'icona a forma di ingranaggio per configurare le impostazioni necessarie per il criterio.
    Opzione Descrizione
    Stateful Un firewall di tipo stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.
    Bloccato Il criterio può essere bloccato per impedire a più utenti di modificare le stesse sezioni. Quando si blocca una sezione, è necessario includere un commento.

    Alcuni ruoli, come l'amministratore per l'azienda, dispongono di credenziali di accesso complete e non possono essere bloccati.

  4. Fare clic su Aggiungi regola per aggiungere una regola e immettere un nome per la regola.
  5. Configurare l'origine, la destinazione e i servizi per stabilire quale traffico richiede l'ispezione di IDS. IDS supporta qualsiasi tipo di gruppo per l'origine e la destinazione.
  6. Nella colonna Profili di sicurezza selezionare il profilo richiesto per la regola.
  7. Nella colonna Si applica a selezionare l'opzione appropriata per limitare l'ambito delle regole. Per impostazione predefinita, la colonna Si applica a è impostata su DFW e la regola viene applicata a tutti i carichi di lavoro. È inoltre possibile applicare le regole o i criteri ai gruppi selezionati. I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.
  8. Selezionare la Modalità richiesta tra le seguenti opzioni:
    • Rileva solo: rileva le intrusioni in base alle firme e non esegue alcuna azione.
    • Rileva e impedisci: rileva le intrusioni in base alle firme ed esegue le azioni necessarie per eliminare o rifiutare le intrusioni come specificato nella firma tramite il profilo o un'impostazione globale.
  9. Fare clic sull'icona a forma di ingranaggio per configurare le seguenti opzioni della regola.
    Opzione Descrizione
    Registrazione La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati nel file /var/log/dfwpktlogs.log negli host ESXi e KVM.
    Direzione Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. IN significa che viene controllato solo il traffico verso l'oggetto. OUT indica che viene controllato solo il traffico proveniente dall'oggetto. In entrata-In uscita significa che viene controllato il traffico in entrambe le direzioni.
    Protocollo IP Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6.
    Etichetta registro L'etichetta registro viene portata nel registro del firewall quando la registrazione è abilitata.
  10. Fare clic su Pubblica. Quando viene eseguito il push delle regole nell'host, lo stato visualizzato è Operazione eseguita.
  11. Fare clic sull'icona del grafico per visualizzare
    • Stato del criterio: il push delle regole negli host è stato eseguito correttamente
    • Stato ed errori del nodo di trasporto
    Per la configurazione avanzata del criterio, fare riferimento alla Guida all'amministrazione di NSX.

Criterio del firewall del gateway

È possibile configurare il firewall del gateway aggiungendo regole in una sezione del criterio del firewall che appartiene a una categoria predefinita.

Procedura

  1. Passare a Sicurezza > Firewall del gateway > Regole specifiche del gateway.
  2. Selezionare Gateway-L0 e fare clic su Aggiungi criterio.
    Aggiungi criterio GFW
  3. Aggiungere la regola.
  4. Aggiungere il servizio per la regola.
  5. Fornire dettagli quali origine, destinazione, servizi e gateway e selezionare l'azione.
  6. Pubblicare il criterio e la regola.