- Einleitung
- Hinweise zum Anlegen neuer VDC-Organisationsnetzwerke
- Wo finde ich die Distributed Firewall?
- Empfohlene Firewall Konfiguration
- Beispiel für Zugriff aus dem Internet
1. Einleitung
Mit der Distributed Firewall haben Kunden die Möglichkeit, den internen Datenverkehr zwischen Ihren Systemen und/oder Netzwerken erheblich abzusichern. Im Vergleich zu üblichen Gateway Firewalls, wo Firewall Regeln nur an einer zentralen Stelle verwendet werden, erfolgt hier die Anwendung des Firewall Regelwerkes verteilt auf allen Cloud-Systemen im Hypervisor. Somit kann der Datenverkehr selbst zwischen VMs im selben Netzwerk gezielt unterbunden und auf ein Minimum reduziert werden.
Das Edge Gateway ist weiterhin als Firewall Instanz notwendig und übernimmt, in Kombination mit der Distributed Firewall, nur noch Aufgaben die für die Kommunikation der internen Netzwerke mit dem Internet relevant sind.
WICHTIG: Möchten Sie Firewall Regeln erstellen, die sich ausschließlich auf die interne Kommunikation zwischen Servern und Netzwerken beziehen, müssen Sie diese auf der Distributed Firewall konfigurieren. Firewall Regeln, die im Zusammenhang mit der externen Kommunikation (Internet) stehen, müssen sowohl auf der Distributed als auch auf dem Edge Gateway konfiguriert werden.
2. Hinweise zum Anlegen neuer VDC-Organisationsnetzwerke
Beim Anlegen neuer Organisationsnetzwerke ist es wichtig, dass im Dialogfenster 1 Bereich die Option Datencentergruppe ausgewählt wird und nicht die vorausgewählte Option Aktuelles Organisations-VDC.
Bitte beachten Sie außerdem, dass in den Eigenschaften eines VDC-Organisationsnetzwerkes die Eigenschaft Distributed Routing auf Active steht.
3. Wo finde ich die Distributed Firewall?
Über Netzwerk (1) -> Datencentergruppen (2) -> Name der Datencentergruppe (3) erhalten Sie Zugriff auf angelegte Datencentergruppen.
Sobald Sie die Datencentergruppe geöffnet haben, erhalten Sie auf der linken Seite Zugriff auf das Edge Gateway (1) und auf die Distributed Firewall (2).
4. Empfohlene Firewall Konfiguration
Um das Sicherheitsniveau direkt zu verbessern, empfehlen wir Ihnen die Standard Regel der Distributed Firewall von Zulassen auf Verwerfen umzustellen. Damit wird jeglicher Datenverkehr, ob intern oder extern, komplett unterbunden. Benötigte Ports müssen dann explizit freigeschaltet werden.
Um auf Blacklisting umzustellen, ändern Sie die Standart Regel wie folgt:
Quelle: Beliebig
Ziel: Beliebig
Aktion: Verwerfen
Die Standard Regel sollte immer die letzte Position in der Liste der Firewall Regeln einnehmen.
Im Anschluss können Sie nach Belieben neue Regeln oberhalb der Standard Regel anlegen, die Ports zwischen Ihren Servern/Anwendungen erlauben.
5. Beispiel für Zugriff aus dem Internet
In diesem Beispiel zeigen wir wie man den SSH Zugriff vom Internet auf eine VM freigibt.
Zuerst müssen wir uns hierzu dem Edge Gateway widmen und eine NAT Regel sowie eine Firewall Regel erstellen. Diese Regeln erlauben jeglicher Quelle (aus dem Internet) den Zugriff über den SSH Port auf die VM mit der IP Adresse 192.168.1.1.
Damit auf der Distributed Firewall nicht unnötige, komplexe Firewall Regeln konfiguriert werden müssen, empfehlen wir ein IP Set anzulegen welches ALLE IP Bereiche in Ihrer Cloud Umgebung enthält.
Nun legen wir zu guter Letzt auf der Distributed Firewall eine neue Regel an. Besonders wichtig ist hier die korrekte Konfiguration der Quell-Firewallgruppe. Hier wählen wir das zur angelegte IP Set ALL-INTERNAL aus und kehren den Effekt mit dem Schalter Exclude um. Dies hat zur Folge, dass jegliche Quelle aus dem Internet Zugriff erhält, interne VMs und Netzwerke jedoch nicht. Sollte dies jedoch gewünscht sein, kann man die Quelle natürlich auch auf Beliebig stellen.
Kommentare