Firewalltabellen

Eine Firewalltabelle listet Regeln auf, um Netzwerktraffic zu und von privaten Cloud-Ressourcen zu filtern. Firewallregeln steuern den Netzwerktraffic zwischen einem Quellnetzwerk oder einer IP-Adresse und einem Zielnetzwerk oder einer IP-Adresse.

Nachdem Sie Ihre Firewalltabelle und Firewallregeln eingerichtet haben, können Sie die Tabelle an ein Subnetz anhängen, um die zugehörigen Regeln anzuwenden. Sie können eine Firewallregel auf mehrere Subnetze anwenden. Ein Subnetz kann jedoch nur einer einzigen Firewalltabelle zugeordnet werden.

Firewalltabellen werden verwendet, um den Zugriff auf externe IP-Adressen zu steuern. Verwalten Sie für alle anderen Zugriffssteuerungen die Firewalleinstellungen im NSX-T-Rechenzentrum. Weitere Informationen finden Sie unter Firewall im Manager-Modus.

Firewalltabelle erstellen

  1. Rufen Sie das Google Cloud VMware Engine-Portal auf.
  2. Rufen Sie Netzwerk > Firewalltabellen auf.
  3. Klicken Sie auf Neue Firewalltabelle erstellen.
  4. Geben Sie einen Namen für die Tabelle ein.
  5. Fügen Sie optional Firewallregeln hinzu. Jede Firewalltabelle beginnt mit einer Reihe von Standardfirewallregeln.
  6. Klicken Sie auf Fertig, um die Firewalltabelle zu speichern.

Firewalltabelle an ein Subnetz anhängen

Nachdem Sie eine Firewalltabelle definiert haben, können Sie die Subnetze angeben, die den Regeln in der Tabelle unterliegen.

  1. Wählen Sie auf der Seite Netzwerk > Firewalltabellen eine Firewalltabelle aus.
  2. Wählen Sie den Tab Angehängte Subnetze aus.
  3. Klicken Sie An Subnetz anhängen.
  4. Wählen Sie die private Cloud aus, an die Sie die Firewalltabelle anhängen möchten.
  5. Wählen Sie das Subnetz NsxtEdgeUplink1 dieser privaten Cloud aus.
  6. Klicken Sie auf Senden.
  7. Wiederholen Sie die oben genannten Schritte für das Subnetz NsxtEdgeUplink2 dieser privaten Cloud.

Firewallregeln

Firewallregeln bestimmen, wie spezifische Arten von Traffic von der Firewall behandelt werden. Der Tab Regeln einer ausgewählten Firewalltabelle führt alle zugehörigen Regeln auf.

So erstellen Sie eine Firewallregel:

  1. Rufen Sie Netzwerk > Firewalltabellen auf.
  2. Wählen Sie die Firewalltabelle aus.
  3. Klicken Sie auf Neue Regel erstellen.
  4. Legen Sie die gewünschten Attribute von Firewallregeln fest.
  5. Klicken Sie auf Fertig, um die Regel zu speichern und der Liste der Regeln für die Firewalltabelle hinzuzufügen.

Zustandsorientierte Regeln

Eine zustandsorientierte Firewallregel verfolgt die zugehörigen Verbindungen Eine zustandsorientierte Firewallregel erstellt einen Ablaufdatensatz für vorhandene Verbindungen. Die Kommunikation wird basierend auf dem Verbindungsstatus des Flussdatensatzes zugelassen oder verweigert. Verwenden Sie diesen Regeltyp für öffentliche IP-Adressen, um Traffic aus dem Internet zu filtern.

Standardfirewallregeln

Für jede Firewalltabelle gelten die folgenden Standardfirewallregeln:

Priorität Name Richtung Traffictyp Protokoll Quelle Quellport Ziel Zielport Aktion
65000 allow-tcp-to-internet Ausgehend Traffic über öffentliche IP-Adressen oder das Internet TCP Alle Beliebig Beliebig Beliebig Zulassen
65001 allow-udp-to-internet Ausgehend Traffic über öffentliche IP-Adressen oder das Internet UDP Beliebig Beliebig Beliebig Beliebig Zulassen
65002 allow-icmp-to-internet Ausgehend Traffic über öffentliche IP-Adressen oder das Internet ICMP Beliebig Beliebig Beliebig Beliebig Zulassen
65100 deny-all-from-internet Eingehend Traffic über öffentliche IP-Adressen oder das Internet Alle Protokolle Beliebig Beliebig Beliebig Alle Ablehnen
65101 allow-all-to-intranet Ausgehend Private Cloud-interner oder VPN-Traffic Alle Protokolle Beliebig Beliebig Beliebig Beliebig Zulassen
65102 allow-all-from-intranet Eingehend Private Cloud-interner oder VPN-Traffic Alle Protokolle Beliebig Beliebig Beliebig Beliebig Zulassen

Attribute von Firewallregeln

In der folgenden Tabelle werden die Parameter in einer Firewallregel beschrieben.

Attribut Beschreibung
Name Ein Namen, der die Firewallregel und ihren Zweck eindeutig identifiziert.
Priorität Eine Zahl zwischen 100 und 4096, wobei 100 die höchste Priorität ist. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Wenn der Traffic mit einer Regel übereinstimmt, wird die Regelverarbeitung beendet. Regeln mit niedrigeren Prioritäten und denselben Attributen wie Regeln mit höheren Prioritäten werden nicht verarbeitet. Vermeiden Sie widersprüchliche Regeln.
Protokoll Das von der Regel abgedeckte Internetprotokoll.
Richtung Gibt an, ob die Regel für eingehenden oder ausgehenden Traffic gilt. Sie müssen für eingehenden und ausgehenden Traffic separate Regeln definieren.
Aktion Sie können den in der Regel definierten Traffictyp zulassen oder ablehnen.
Quelle IP-Adresse, Blockklasse-domainübergreifendes Routing (10.0.0.0/24) oder Beliebig.
Quellportbereich Port, von dem der Netzwerkverkehr stammt. Sie können einen einzelnen Port oder einen einzelnen Portbereich angeben, z. B. 443 oder 8000–8080. Wenn Sie einen Bereich angeben, können Sie weniger Sicherheitsregeln erstellen.
Ziel IP-Adresse, CIDR-Block (z. B. 10.0.0.0/24) oder Beliebig
Zielportbereich Port, an den der Netzwerktraffic fließt. Sie können einen einzelnen Port oder einen einzelnen Portbereich angeben, z. B. 443 oder 8000–8080. Wenn Sie einen Bereich angeben, können Sie weniger Sicherheitsregeln erstellen.