Firewalltabellen
Eine Firewalltabelle listet Regeln auf, um Netzwerktraffic zu und von privaten Cloud-Ressourcen zu filtern. Firewallregeln steuern den Netzwerktraffic zwischen einem Quellnetzwerk oder einer IP-Adresse und einem Zielnetzwerk oder einer IP-Adresse.
Nachdem Sie Ihre Firewalltabelle und Firewallregeln eingerichtet haben, können Sie die Tabelle an ein Subnetz anhängen, um die zugehörigen Regeln anzuwenden. Sie können eine Firewallregel auf mehrere Subnetze anwenden. Ein Subnetz kann jedoch nur einer einzigen Firewalltabelle zugeordnet werden.
Firewalltabellen werden verwendet, um den Zugriff auf externe IP-Adressen zu steuern. Verwalten Sie für alle anderen Zugriffssteuerungen die Firewalleinstellungen im NSX-T-Rechenzentrum. Weitere Informationen finden Sie unter Firewall im Manager-Modus.
Firewalltabelle erstellen
- Zugriff auf das Google Cloud VMware Engine-Portal
- Rufen Sie Netzwerk > Firewalltabellen auf.
- Klicken Sie auf Neue Firewalltabelle erstellen.
- Geben Sie einen Namen für die Tabelle ein.
- Fügen Sie optional Firewallregeln hinzu. Jede Firewalltabelle beginnt mit einer Reihe von Standardfirewallregeln.
- Klicken Sie auf Fertig, um die Firewalltabelle zu speichern.
Firewalltabelle an ein Subnetz anhängen
Nachdem Sie eine Firewalltabelle definiert haben, können Sie die Subnetze angeben, die den Regeln in der Tabelle unterliegen.
- Wählen Sie auf der Seite Netzwerk > Firewalltabellen eine Firewalltabelle aus.
- Wählen Sie den Tab Angehängte Subnetze aus.
- Klicken Sie An Subnetz anhängen.
- Wählen Sie die private Cloud aus, an die Sie die Firewalltabelle anhängen möchten.
- Wählen Sie das Subnetz NsxtEdgeUplink1 dieser privaten Cloud aus.
- Klicken Sie auf Senden.
- Wiederholen Sie die oben genannten Schritte für das Subnetz NsxtEdgeUplink2 dieser privaten Cloud.
Firewallregeln
Firewallregeln bestimmen, wie spezifische Arten von Traffic von der Firewall behandelt werden. Der Tab Regeln einer ausgewählten Firewalltabelle führt alle zugehörigen Regeln auf.
So erstellen Sie eine Firewallregel:
- Rufen Sie Netzwerk > Firewalltabellen auf.
- Wählen Sie die Firewalltabelle aus.
- Klicken Sie auf Neue Regel erstellen.
- Legen Sie die gewünschten Attribute von Firewallregeln fest.
- Klicken Sie auf Fertig, um die Regel zu speichern und der Liste der Regeln für die Firewalltabelle hinzuzufügen.
Zustandsorientierte Regeln
Eine zustandsorientierte Firewallregel verfolgt die zugehörigen Verbindungen Eine zustandsorientierte Firewallregel erstellt einen Ablaufdatensatz für vorhandene Verbindungen. Die Kommunikation wird basierend auf dem Verbindungsstatus des Flussdatensatzes zugelassen oder verweigert. Verwenden Sie diesen Regeltyp für öffentliche IP-Adressen, um Traffic aus dem Internet zu filtern.
Standardfirewallregeln
Für jede Firewalltabelle gelten die folgenden Standardfirewallregeln:
| Priorität | Name | Richtung | Traffictyp | Protokoll | Quelle | Quellport | Ziel | Zielport | Aktion |
|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-tcp-to-internet | Ausgehend | Traffic über öffentliche IP-Adressen oder das Internet | TCP | Alle | Alle | Alle | Alle | Zulassen |
| 65001 | allow-udp-to-internet | Ausgehend | Traffic über öffentliche IP-Adressen oder das Internet | UDP | Alle | Alle | Alle | Alle | Zulassen |
| 65002 | allow-icmp-to-internet | Ausgehend | Traffic über öffentliche IP-Adressen oder das Internet | ICMP | Alle | Alle | Alle | Alle | Zulassen |
| 65100 | "deny-all-from-internet" | Eingehend | Traffic über öffentliche IP-Adressen oder das Internet | Alle Protokolle | Alle | Alle | Alle | Alle | Ablehnen |
| 65101 | "allow-all-to-intranet" | Ausgehend | Private Cloud-interner oder VPN-Traffic | Alle Protokolle | Alle | Alle | Alle | Alle | Zulassen |
| 65102 | "allow-all-from-intranet" | Eingehend | Private Cloud-interner oder VPN-Traffic | Alle Protokolle | Alle | Alle | Alle | Alle | Zulassen |
Attribute von Firewallregeln
In der folgenden Tabelle werden die Parameter in einer Firewallregel beschrieben.
| Attribut | Beschreibung |
|---|---|
| Name | Ein Namen, der die Firewallregel und ihren Zweck eindeutig identifiziert. |
| Priorität | Eine Zahl zwischen 100 und 4096, wobei 100 die höchste Priorität ist. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Wenn der Traffic mit einer Regel übereinstimmt, wird die Regelverarbeitung beendet. Regeln mit niedrigeren Prioritäten und denselben Attributen wie Regeln mit höheren Prioritäten werden nicht verarbeitet. Vermeiden Sie widersprüchliche Regeln. |
| Protokoll | Das Internetprotokoll, das von der Regel abgedeckt wird. |
| Richtung | Gibt an, ob die Regel für eingehenden oder ausgehenden Traffic gilt. Sie müssen für eingehenden und ausgehenden Traffic separate Regeln definieren. |
| Aktion | Sie können den in der Regel definierten Traffictyp zulassen oder ablehnen. |
| Quelle | IP-Adresse, Blockklasse-domainübergreifendes Routing (10.0.0.0/24) oder Beliebig. |
| Quellportbereich | Port, von dem der Netzwerkverkehr stammt. Sie können einen einzelnen Port oder einen einzelnen Portbereich angeben, z. B. 443 oder 8000–8080. Wenn Sie einen Bereich angeben, können Sie weniger Sicherheitsregeln erstellen. |
| Ziel | IP-Adresse, CIDR-Block (z. B. 10.0.0.0/24) oder Beliebig |
| Zielportbereich | Port, an den der Netzwerktraffic fließt. Sie können einen einzelnen Port oder einen einzelnen Portbereich angeben, z. B. 443 oder 8000–8080. Wenn Sie einen Bereich angeben, können Sie weniger Sicherheitsregeln erstellen. |