Firewall im Virtual Datacenter
Firewall-Objekte
Im Regelwerk der Firewall kannst du keine einzelnen IP-Adressen oder Netze benutzen. Stattdessen arbeitest du ausschließlich mit Firewall-Objekten.
Static Groups
Mit Static Groups kannst du die internen Netze, die am Edge-Gateway anliegen, zu Gruppen zusammenzufassen. Dasselbe erreichst du auch mit IP-Sets, aber die Verwaltung der Netze ist hier etwas leichter.
Externe IP-Adressen oder Netzbereiche kannst du nicht als Static Group anlegen.
Anlegen einer Gruppe
Logge dich in unserem Portal ein und öffne das entsprechende vDC
Im Seitenmenü findest du den Punkt Edges, welcher dir nach einem Klick deine Edge Gateways anzeigt
Hier wählst du das entsprechende Edge Gateway aus und klickst im Seitenmenü auf Static Groups
Beim Anlegen einer Gruppe musst du nur den Namen festlegen. Die Member fügst du erst im zweiten Schritt hinzu.
Mitglieder zur Static Group hinzufügen
Wenn du die Gruppe angelegt hast, kannst du in der Liste die Gruppe auswählen und mit Manage Members die Gruppe verwalten.
In dem Pop-Up kannst du dann ein einzelnes oder mehrere deiner internen Netze gruppieren.
IP Sets
Im Gegensatz zu Static Groups kannst du in IP Sets, neben internen und externen Netzen, auch einzelne IP-Adressen (intern, sowie extern) zu einem IP Set zusammensetzen.
Logisch bildet ein IP Set somit ebenfalls eine Gruppe.
Anlegen eines IP Sets
Logge dich in unserem Portal ein und öffne das entsprechende vDC
Im Seitenmenü findest du den Punkt Edges, welcher dir nach einem Klick deine Edge Gateways anzeigt
Hier wählst du das entsprechende Edge Gateway aus und klickst im Seitenmenü auf IP Sets
Mit einem Klick auf NEW kannst du ein neues IP Set erstellen
Dynamic Groups
Mit Dynamic Groups kannst du Firewall-Objekte regelbasiert anlegen. Das heißt, dass z.B. über den VM-Namen oder über einen VM-Tag die Zugehörigkeit zur Gruppe gesteuert wird. Das erlaubt dir, dynamisch eine VM zu einer Firewall-Regel hinzuzufügen, ohne das Firewall-Objekt (also die Gruppe) bearbeiten zu müssen.
VM-Tags / Security Tags
Damit du eine VM mit einem Tag versehen kannst, musst du dieses zuerst anlegen. Die Verwaltung findest du im Hauptmenü Networking unter Security Tags.
Wenn du einen neuen Tag anlegst, musst du diesen mindestens einer VM direkt zuweisen. In diesem Beispiel sollen die Webserver über ein VPN nicht erreichbar sein.
Nachdem du den Security Tag angelegt hast, kannst du eine Dynamic Group mit dem Tag als Kriterium anlegen. Du kannst mehrere Kriterien verknüpfen, um komplexe Gruppierungen deiner VMs anzulegen.
Den Menüpunkt Dynamic Group findest du im Seitenmenü, in deinen Edge Gateway Einstellungen, unterhalb von Security.
Application Port Profiles
Application Port Profiles stellen bei der Firewallkonfiguration die Port-Objekte da. Ein Application Profile besteht immer aus mindestens einem Port, kann aber bei Bedarf auch mehrere Ports einer Anwendung zusammenfassen.
Du findest das Application Port Profiles Menü unterhalb von Networking → Edge Gateways → Application Port Profiles.
Neben den vorgegebenen Default Applications kannst du auch Custom Applications bzw. eigene Application Port Profiles erstellen.
Ein Beispiel:
Ein Webserver benutzt neben dem Standardport 80 auch noch den Port 8080.
Damit du eine Firewallregel für Port 8080 erstellen kannst, benötigst du nun ein neues Application Port Profile.
Damit du nicht zwei Firewallregeln für Port 80 und Port 8080 erstellen musst, kannst du in einem neuen Application Port Profile gleich beide Ports mit angeben.
Distributed Firewall
Die Distributed Firewall filtert Traffic in East-West-Richtung, d.h. Traffic, der innerhalb des vDCs stattfindet. Dazu gehören alle internen Netze an deinem Edge-Gateway als auch Client-VPN-Netze, die du in deinem vDC betreibst. Im Gegensatz zu einer klassischen Firewall, die nur Traffic zwischen verschiedenen Netzen trennen kann, kann die Distributed Firewall auch Traffic innerhalb eines Netzes filtern. Damit kannst du z.B. Mikrosegmentierung umsetzen.
Die Konfiguration der Distributed Firewall findest du im Hauptmenü Networking innerhalb deiner Data Center Group. Davon hast du mindestens eine, aber wenn du mehrere vDCs betreibst, können es auch mehr sein.
Da das Thema Firewall und Sicherheit sehr komplex ist, können wir hier nicht alle Aspekte und Möglichkeiten der Firewall erklären. Um dir dennoch ein Bild von einer möglichen Konfiguration zu geben, machen wir folgendes Beispiel:
Beispiel-Konfiguration um den Zugriff aus einem Client-VPN einzuschränken
In der Default-Konfiguration erlaubt die Distributed Firewall jeglichen Traffic. Das entspricht einer Konfiguration ohne Firewall.
Du hast ein Client-VPN mit Wireguard über eine VM in deinem vDC konfiguriert. Das VPN-Netzwerk hat die IP-Range 10.252.1.0/24. Damit du das VPN-Netzwerk als Firewall-Objekt benutzen kannst, musst du es als IP Set anlegen (s.o.).
Zusätzlich versiehst du alle VMs, die über das VPN erreichbar sein sollen, mit einem Security Tag. Du kannst das z.B. verschiedene Applikationen aufteilen wie Webserver, Datenbankserver, etc. Mit den Security Tag musst du dann noch Dynamic Groups anlegen, die diese Tags verwenden.
Zuerst verbieten wir jeglichen Traffic aus dem VPN-Netzwerk. Lege dazu eine neue Firewallregel, entsprechend dem nachfolgenden Beispiel mit eventuell anderem Source- bzw. IP Set Namen, an:
Lege danach über der Drop-Regel eine weitere Regel an, um den Zugriff auf die Webserver zu erlauben.
Mit diesen zwei Regeln erlaubst du den Zugriff aus deinem VPN-Netz nur auf die Webserver in deinem vDC. Andere VMs sind nicht aus dem VPN erreichbar.
Als weitere Möglichkeit könntest du nur einzelne IPs aus dem VPN-Netz freischalten. Dann legst du einfach die entsprechenden VPN-IPs als IP-Set an und verwendest diese als Source in der Firewall-Regel.
Last updated