Firewalltabellen

Eine Firewalltabelle listet Regeln auf, um Netzwerktraffic zu und von privaten Cloud-Ressourcen zu filtern. Firewallregeln steuern den Netzwerktraffic zwischen einem Quellnetzwerk oder einer IP-Adresse und einem Zielnetzwerk oder einer IP-Adresse.

Nachdem Sie Ihre Firewalltabelle und Firewallregeln eingerichtet haben, können Sie die Tabelle an ein Subnetz anhängen, um die zugehörigen Regeln anzuwenden. Sie können eine Firewallregel auf mehrere Subnetze anwenden. Ein Subnetz kann jedoch nur einer einzigen Firewalltabelle zugeordnet werden.

Firewalltabellen können nur auf Verwaltungssubnetze angewendet werden. Verwalten Sie bei Subnetzen mit Arbeitslast-VMs die Firewall-Einstellungen im NSX-T-Rechenzentrum. Weitere Informationen finden Sie unter Firewall im Manager-Modus.

Firewalltabelle erstellen

  1. Zugriff auf das Google Cloud VMware Engine-Portal
  2. Klicken Sie auf Netzwerk > Firewalltabellen.
  3. Klicken Sie auf Neue Firewalltabelle erstellen.
  4. Geben Sie einen Namen für die Tabelle ein.
  5. Fügen Sie optional Firewallregeln hinzu. Jede Firewallregel beginnt mit einer Reihe von Standardfirewallregeln.
  6. Klicken Sie auf Fertig, um die Firewalltabelle zu speichern.

Firewalltabelle an ein Subnetz anhängen

Nachdem Sie eine Firewalltabelle definiert haben, können Sie die Subnetze angeben, die den Regeln in der Tabelle unterliegen.

  1. Wählen Sie auf der Seite Netzwerk > Firewalltabellen eine Firewalltabelle aus.
  2. Öffnen Sie den Tab Angehängte Subnetze.
  3. Klicken Sie An Subnetz anhängen.
  4. Wählen Sie die private Cloud und das Subnetz. Wenn die von Nutzern erstellten Regeln in Ihrer Tabelle nur für öffentliche IP-Adressen oder das Internet gelten, hängen Sie die Tabelle an das Subnetz System management an.
  5. Klicken Sie auf Senden.

Firewallregeln

Firewallregeln bestimmen, wie spezifische Arten von Traffic von der Firewall behandelt werden. Der Tab Regeln einer ausgewählten Firewalltabelle führt alle zugehörigen Regeln auf.

So erstellen Sie eine Firewallregel:

  1. Klicken Sie auf Netzwerk > Firewalltabellen.
  2. Wählen Sie die Firewall-Tabelle aus.
  3. Klicken Sie auf Neue Regel erstellen.
  4. Legen Sie die gewünschten Attribute von Firewallregeln fest.
  5. Klicken Sie auf Fertig, um die Regel zu speichern und der Liste der Regeln für die Firewall hinzuzufügen.

Zustandslose Regeln

Eine zustandslose Firewallregel betrachtet nur einzelne Pakete und filtert sie basierend auf der Regel. Verwenden Sie zustandslose Regeln für den Traffic zwischen den folgenden Punkten:

  • Subnetze von Private Clouds
  • Lokales Subnetz und ein Private Cloud-Subnetz
  • Internet-Traffic von den Private Clouds

Zustandsorientierte Regeln

Eine zustandsorientierte Firewallregel verfolgt die zugehörigen Verbindungen Eine zustandsorientierte Firewallregel erstellt einen Ablaufdatensatz für vorhandene Verbindungen. Die Kommunikation wird basierend auf dem Verbindungsstatus des Flussdatensatzes zugelassen oder verweigert. Verwenden Sie diesen Regeltyp für öffentliche IP-Adressen, um Traffic aus dem Internet zu filtern.

Standardfirewallregeln

Jede Firewalltabelle hat die folgenden Standard-Firewallregeln:

Priorität Name Zustands-Tracking Richtung Traffictyp Protokoll Quelle Quellport Ziel Zielport Aktion
65000 Allow-all-to-Internet Zustandsorientiert Ausgehend Traffic über öffentliche IP-Adressen oder das Internet Alle Alle Alle Alle Alle Zulassen
65001 "deny-all-from-internet" Zustandsorientiert Eingehend Traffic über öffentliche IP-Adressen oder das Internet Alle Alle Alle Alle Alle Ablehnen
65002 "allow-all-to-intranet" Zustandslos Ausgehend Private Cloud-interner oder VPN-Traffic Alle Alle Alle Alle Alle Zulassen
65003 "allow-all-from-intranet" Zustandslos Eingehend Private Cloud-interner oder VPN-Traffic Alle Alle Alle Alle Alle Zulassen

Attribute von Firewallregeln

In der folgenden Tabelle werden die Parameter in einer Firewallregel beschrieben.

Parameter Details
Name Ein Namen, der die Firewallregel und ihren Zweck eindeutig identifiziert.
Priorität Eine Zahl zwischen 100 und 4096, wobei 100 die höchste Priorität ist. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Wenn der Traffic mit einer Regel übereinstimmt, wird die Regelverarbeitung beendet. Regeln mit niedrigeren Prioritäten und denselben Attributen wie Regeln mit höheren Prioritäten werden nicht verarbeitet. Vermeiden Sie widersprüchliche Regeln.
Traffictyp Das Tracking kann zustandslos (private Cloud, Internet oder VPN) oder zustandsorientiert (öffentliche IP) sein.
Protokoll Gibt an, ob die Regel das TCP- oder UDP-Protokoll abdeckt.
Richtung Gibt an, ob die Regel für eingehenden oder ausgehenden Traffic gilt. Sie müssen für eingehenden und ausgehenden Traffic separate Regeln definieren.
Aktion Sie können den in der Regel definierten Traffictyp zulassen oder ablehnen.
Quelle IP-Adresse, Blockklasse-domainübergreifendes Routing (10.0.0.0/24) oder Beliebig. Wenn Sie einen Bereich, ein Dienst-Tag oder eine Sicherheitsgruppe der Anwendung angeben, können Sie weniger Sicherheitsregeln erstellen.
Quellportbereich Port, von dem der Netzwerkverkehr stammt. Sie können einen einzelnen Port oder einen einzelnen Portbereich angeben, z. B. 443 oder 8000–8080. Wenn Sie einen Bereich angeben, können Sie weniger Sicherheitsregeln erstellen.
Ziel IP-Adresse, CIDR-Block (z. B. 10.0.0.0/24) oder Beliebig Wenn Sie einen Bereich, ein Dienst-Tag oder eine Sicherheitsgruppe der Anwendung angeben, können Sie weniger Sicherheitsregeln erstellen.
Zielportbereich Port, an den der Netzwerktraffic fließt. Sie können einen einzelnen Port oder einen einzelnen Portbereich angeben, z. B. 443 oder 8000–8080. Wenn Sie einen Bereich angeben, können Sie weniger Sicherheitsregeln erstellen.