vShield-Administratorhandbuch

Transcription

vShield-Administratorhandbuch - vShield Manager 5.5

vShield-Administratorhandbuch
vShield Manager 5.5
vShield App 5.5
vShield Edge 5.5
vShield Endpoint 5.5
Dieses Dokument unterstützt die aufgeführten Produktversionen
sowie alle folgenden Versionen, bis das Dokument durch eine
neue Auflage ersetzt wird. Die neuesten Versionen dieses Dokuments finden Sie unter
http://www.vmware.com/de/support/pubs.
DE-001280-01
Die neueste technische Dokumentation finden Sie auf der VMware-Website unter:
http://www.vmware.com/de/support/
Auf der VMware-Website finden Sie auch die aktuellen Produkt-Updates.
Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie Ihre Kommentare und Vorschläge an:
[email protected]
Copyright © 2010 – 2013 VMware, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch Urheberrechtsgesetze, internationale Verträge und mindestens eines der unter http://www.vmware.com/go/patents-de aufgeführten Patente geschützt.
VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und/oder anderen Ländern. Alle anderen in
diesem Dokument erwähnten Bezeichnungen und Namen sind unter Umständen markenrechtlich geschützt.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2
VMware Global, Inc.
Zweigniederlassung Deutschland
Freisinger Str. 3
85716 Unterschleißheim/Lohhof
Germany
Tel.: +49 (0) 89 3706 17000
Fax: +49 (0) 89 3706 17333
www.vmware.com/de
VMware, Inc.
Inhalt
vShield-Administratorhandbuch 7
1 Überblick über vShield 9
Grundlegendes zu vShield-Komponenten 9
Migration von vShield-Komponenten 12
Grundlegendes zu VMware Tools auf vShield-Komponenten
Erforderliche Ports für die vShield-Kommunikation 12
12
2 Grundlegendes zur vShield Manager-Benutzeroberfläche 13
Anmelden bei der vShield Manager-Benutzeroberfläche 13
Grundlegendes zur vShield Manager-Benutzeroberfläche 14
3 Einstellungen für das Managementsystem 17
Bearbeiten von DNS-Servern 17
Bearbeiten des Datums und der Uhrzeit von vShield Manager 18
Bearbeiten von Lookup Service-Details 18
Bearbeiten von vCenter Server 18
Angeben des Syslog-Servers 19
Herunterladen der Protokolle des technischen Supports für vShield 19
Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts
Hinzufügen eines Cisco-Switches zu vShield Manager 21
Arbeiten mit Diensten und Dienstgruppen 22
Gruppieren von Objekten 25
20
4 Benutzer-Management 33
Konfigurieren von Single Sign On 33
Verwalten von Benutzerrechten 34
Verwalten des Standardbenutzerkontos 35
Hinzufügen eines Benutzerkontos 35
Bearbeiten eines Benutzerkontos 38
Ändern einer Benutzerrolle 38
Deaktivieren oder Aktivieren eines Benutzerkontos
Löschen eines Benutzerkontos 39
38
5 Aktualisieren von Systemsoftware 41
Anzeigen der aktuellen Systemsoftware
Hochladen eines Updates 41
41
6 Sichern von vShield Manager-Daten 43
Sichern von vShield Manager-Daten bei Bedarf 43
Planen einer Sicherung von vShield Manager-Daten
VMware, Inc.
44
3
Wiederherstellen einer Sicherung
45
7 Systemereignisse und Überwachungsprotokolle 47
Anzeigen des Systemereignisberichts 47
Ereignisse für virtuelle vShield Manager-Appliance 47
vShield App-Ereignisse 48
Grundlegendes zum Syslog-Format 49
Anzeigen des Überwachungsprotokolls 49
8 Verwalten von virtuellen VXLAN-Leitungen 51
Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen 52
Erstellen einer virtuellen VXLAN-Leitung 53
Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung 56
Testen der Konnektivität einer virtuellen VXLAN-Leitung 56
Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung
Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen 58
Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung 58
Bearbeiten von Netzwerkbereichen 58
Bearbeiten einer virtuellen VXLAN-Leitung 60
Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen 60
58
9 vShield Edge-Management 67
Anzeigen des Status einer vShield Edge-Instanz 68
Konfigurieren der vShield Edge-Einstellungen 68
Verwalten von Appliances 68
Arbeiten mit Schnittstellen 70
Arbeiten mit Zertifikaten 73
Verwalten der vShield Edge-Firewall 76
Verwalten von NAT-Regeln 82
Arbeiten mit statischen Routen 84
Verwalten des DHCP-Diensts 85
Verwalten von VPN-Diensten 88
Verwalten des Lastverteilerdiensts 146
Grundlegendes zu High Availability 151
Konfigurieren von DNS-Servern 152
Konfigurieren von Remote-Syslog-Servern 153
Ändern der CLI-Anmeldedaten 153
Durchführen eines Upgrades von vShield Edge auf Large oder X-Large 154
Herunterladen von Tech Support-Protokollen für vShield Edge 154
Synchronisieren von vShield Edge mit vShield Manager 155
Erneutes Bereitstellen von vShield Edge 155
10 Verwalten des Einfügens von Diensten 157
Einfügen von Netzwerkdiensten 157
Ändern der Prioritäten von Diensten 160
Bearbeiten eines Service Manager 160
Löschen eines Service Manager 161
Bearbeiten eines Diensts 161
4
VMware, Inc.
Inhalt
Löschen eines Diensts 161
Bearbeiten eines Dienstprofils 161
Löschen eines Dienstprofils 162
11 vShield App-Management 163
Senden von vShield App-Systemereignissen an einen Syslog-Server 163
Anzeigen des aktuellen Systemstatus einer vShield App 164
Neustarten einer vShield App-Instanz 164
Erzwingen der Synchronisierung einer vShield App mit vShield Manager 164
Anzeigen der Datenverkehrsstatistiken in der vShield App-Benutzeroberfläche 165
Herunterladen der Protokolle des technischen Supports für vShield App 165
Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vShield App Firewall 165
Ausschließen virtueller Maschinen vom Schutz durch die vShield App 166
12 vShield App Flow Monitoring 167
Anzeigen der Flow Monitoring-Daten 168
Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow Monitoring-Bericht aus
Ändern des Datumsbereichs der Flow Monitoring-Diagramme 172
171
13 vShield App Firewall-Management 175
Verwenden der App Firewall 175
Arbeiten mit Firewallregeln 178
Verwenden von SpoofGuard 183
14 vShield Endpoint-Ereignisse und -Alarme 189
Anzeigen des vShield Endpoint-Status 189
vShield Endpoint-Alarme 190
vShield Endpoint-Ereignisse 191
Überwachungsmeldungen für vShield Endpoint 191
15 vShield Data Security Management 193
vShield Data Security-Benutzerrollen 194
Definieren einer Datensicherheitsrichtlinie 194
Bearbeiten einer Datensicherheitsrichtlinie 196
Ausführen einer Datensicherheitsprüfung 197
Anzeigen und Herunterladen von Berichten 198
Erstellen von regulären Ausdrücken 198
Verfügbare Bestimmungen 199
Verfügbare Content Blades 216
Unterstützte Dateiformate 238
16 Fehlerbehebung 243
Fehlerbehebung für die vShield Manager-Installation 243
Fehlerbehebung für Probleme bei der Ausführung 244
Beheben von vShield Edge-Problemen 246
Fehlerbehebung für vShield Endpoint 247
Fehlerbehebung für vShield Data Security 249
VMware, Inc.
5
Index
6
251
VMware, Inc.
®
Im vShield-Administratorhandbuch wird beschrieben, wie das VMware vShield™-System unter Verwendung
der vShield Manager-Benutzeroberfläche und des vSphere-Client-Plug-Ins installiert, konfiguriert, überwacht und verwaltet wird. Zudem enthält das Handbuch detaillierte Konfigurationsanweisungen und vorgeschlagene Best Practices.
Zielgruppe
Dieses Handbuch ist für alle Benutzer gedacht, die vShield in einer VMware vCenter-Umgebung installieren
oder verwenden möchten. Die Informationen in diesem Handbuch sind für erfahrene Systemadministratoren bestimmt, die mit der Technologie virtueller Maschinen und dem Betrieb virtueller Datencenter vertraut
sind. In diesem Dokument wird vorausgesetzt, dass Sie bereits mit VMware Infrastructure 5.x, einschließlich VMware ESX, vCenter Server und vSphere Client, vertraut sind.
VMware, Inc.
7
8
VMware, Inc.
Überblick über vShield
1
®
VMware vShield ist eine Suite aus virtuellen Sicherheits-Appliances, die für die Integration von VMware
vCenter Server und VMware ESX entwickelt wurden. vShield stellt eine wichtige Sicherheitskomponente
für den Schutz virtualisierter Datencenter vor Angriffen dar und unterstützt Sie dabei, die gesteckten Compliance-Zielsetzungen zu erreichen.
In diesem Handbuch wird vorausgesetzt, dass Sie über Administratorzugriff für das gesamte vShield-System verfügen. Die anzeigbaren Ressourcen in der vShield Manager-Benutzeroberfläche können basierend
auf der zugewiesenen Rolle eines Benutzers, den gewährten Rechten und der Lizenzierung variieren. Wenn
Sie auf einen Bildschirm nicht zugreifen oder eine bestimmte Aufgabe nicht ausführen können, wenden Sie
sich an Ihren vShield-Administrator.
n
Grundlegendes zu vShield-Komponenten auf Seite 9
vShield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich
sind. vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden.
n
Migration von vShield-Komponenten auf Seite 12
Virtuelle vShield Manager- und vShield Edge-Appliances können basierend auf DRS- und HA-Richtlinien automatisch oder manuell migriert werden. vShield Manager muss immer ausgeführt werden,
daher müssen Sie vShield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer
Wartung unterzogen werden muss.
n
Grundlegendes zu VMware Tools auf vShield-Komponenten auf Seite 12
Die virtuellen vShield-Appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen vShield-Appliance darf weder aktualisiert noch deinstalliert werden.
n
Erforderliche Ports für die vShield-Kommunikation auf Seite 12
Grundlegendes zu vShield-Komponenten
vShield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich sind.
vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden.
Zur Ausführung von vShield benötigen Sie eine virtuelle vShield Manager-Maschine und mindestens ein
vShield App- oder vShield Edge-Modul.
VMware, Inc.
9
vShield Manager
vShield Manager ist die zentrale vShield-Komponente für das Netzwerkmanagement. Diese Komponente
wird mithilfe einer OVA-Datei und unter Verwendung von vSphere Client als virtuelle Maschine installiert.
Mit der vShield Manager-Benutzeroberfläche können Sie vShield-Komponenten installieren, konfigurieren
und warten. vShield Manager kann auf einem anderen ESX-Host als die vShield App- und vShield EdgeModule ausgeführt werden.
vShield Manager nutzt das VMware Infrastructure-SDK, um eine Kopie der vSphere Client-Bestandsliste
anzuzeigen.
Weitere Informationen zur Verwendung der vShield Manager-Benutzeroberfläche finden Sie unter Kapitel
2, „Grundlegendes zur vShield Manager-Benutzeroberfläche“, auf Seite 13.
vShield Edge
vShield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Ma®
schinen in einer Portgruppe, vDS-Portgruppe oder einem Cisco Nexus 1000V-Switch. vShield Edge verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen
Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vShield Edge umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vShield Edge Perimeter-Sicherheit für virtuelle Datencenter (VDCs) bietet.
HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield
Edge nutzen zu können.
vShield Edge-Standarddienste (einschließlich
vCloud Director)
Erweiterte vShield Edge-Dienste
n
Firewall: Die unterstützten Regeln umfassen die IP 5-tuple-Konfiguration mit IP- und Port-Bereichen für die statusbehaftete Inspektion für
TCP, UDP und ICMP.
n
Netzwerkadressübersetzung (NAT): Separate Steuerelemente für Quellund Ziel-IP-Adressen sowie TCP- und UDP-Portübersetzung.
n
Dynamic Host Configuration Protocol (DHCP): Konfiguration von IPPools, Gateways, DNS-Servern und Suchdomänen.
n
Konfiguration von DNS-Servern für Anforderungen zum Auflösen von
Relay-Namen von Clients und Syslog-Servern.
n
Statische Route für Datenpakete.
n
Virtuelles privates Site-to-Site-Netzwerk (VPN): Verwendet standardisierte IPsec-Protokolleinstellungen für die Interoperabilität mit allen
großen Firewall-Anbietern.
n
Lastausgleich: Einfach und dynamisch konfigurierbare IP-Adressen und
Servergruppen.
n
High Availability: Stellt sicher, dass in Ihrem virtuellen Netzwerk immer eine vShield Edge-Appliance verfügbar ist.
n
SSL VPN-Plus: Ermöglicht Remotebenutzern die sichere Verbindung
mit privaten Netzwerken hinter einem vShield Edge-Gateway.
vShield Edge unterstützt den Syslog-Export an Remoteserver für alle Dienste.
10
VMware, Inc.
Kapitel 1 Überblick über vShield
vShield App
vShield App ist eine interne Layer 2-Firewall auf vNIC-Ebene, mit der Sie Richtlinien für die Zugriffssteuerung unabhängig von der Netzwerktopologie erstellen und Netzwerkisolierung im selben VLAN erzielen
können. Eine vShield App-Instanz überwacht den gesamten eingehenden und ausgehenden Datenverkehr
für einen ESX-Host, einschließlich von Datenverkehr zwischen virtuellen Maschinen in derselben Portgruppe. vShield App umfasst die Datenverkehrsanalyse sowie die Erstellung von containerbasierten Richtlinien.
Container können dynamisch oder statisch sowie vCenter-Konstrukte, z. B. Datencenter, oder in vShield
Manager definierte Objekte, z. B. eine Sicherheitsgruppe, IPset oder MACset sein. vShield App unterstützt
die Multi-Tenant-Funktion.
vShield App wird als Hypervisor-Modul und virtuelle Appliance für Firewall-Dienste installiert. vShield
App wird mit ESX-Hosts über VMsafe-APIs integriert und arbeitet mit VMware vSphere-Plattformfunktionen wie DRS, vMotion, DPM und dem Wartungsmodus.
vShield App bietet Firewall-Funktionen zwischen virtuellen Maschinen, indem ein Firewall-Filter auf jedem
virtuellen Netzwerkadapter platziert wird. Die Regeln können mehrere Quellen, Ziele und Anwendungen
umfassen. Der Firewall-Filter arbeitet transparent und erfordert keine Änderungen am Netzwerk oder an
IP-Adressen, um Sicherheitszonen zu erstellen. Sie können Zugriffsregeln mithilfe von vCenter-Containern
wie Datencentern, Clustern, Ressourcenpools und vApps sowie mithilfe von Netzwerkobjekten wie Portgruppen und VLANs erstellen, um die Anzahl von Firewallregeln zu reduzieren und eine einfachere Nachverfolgung der Regeln zu ermöglichen.
Sie sollten vShield App-Instanzen auf allen ESX-Hosts innerhalb eines Clusters installieren, damit VMware
vMotion™-Vorgänge ausgeführt werden können und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert werden. Standardmäßig kann eine virtuelle vShield App-Appliance nicht mit
vMotion verschoben werden.
Die Flow Monitoring-Funktion zeigt zugelassene und blockierte Netzwerk-Flows auf der Anwendungsprotokollebene an. Sie können diese Informationen verwenden, um den Datenverkehr im Netzwerk zu überwachen und Fehler in den operativen Vorgängen zu beheben.
App nutzen zu können.
vShield Endpoint
vShield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance (im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich
Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien
Schutz bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden.
vShield Endpoint wird als Hypervisor-Modul und virtuelle Sicherheits-Appliance von einem DrittanbieterVirenschutzanbieter (VMware-Partner) auf einem ESX-Host installiert.
Endpoint nutzen zu können.
vShield Data Security
vShield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vShield Data Security gemeldeten Verstöße
können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden Bestimmungen eingehalten werden.
VMware, Inc.
11
Migration von vShield-Komponenten
Virtuelle vShield Manager- und vShield Edge-Appliances können basierend auf DRS- und HA-Richtlinien
automatisch oder manuell migriert werden. vShield Manager muss immer ausgeführt werden, daher müssen Sie vShield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen werden muss.
Jede vShield Edge-Instanz sollte mit dem dazugehörigen Datencenter verschoben werden, um Sicherheitseinstellungen und Dienste beibehalten zu können.
vShield App, vShield Endpoint-Partner-Appliance und vShield Data Security können nicht auf einen anderen ESX-Host verschoben werden. Wenn der ESX-Host, auf dem sich diese Komponenten befinden, einer
manuellen Wartung unterzogen werden muss, müssen Sie das Kontrollkästchen [Move powered off and
suspended virtual machines to other hosts in the cluster] deaktivieren, damit diese virtuellen Appliances
nicht migriert werden. Diese Dienste werden neu gestartet, wenn der ESX-Host wieder online ist.
Grundlegendes zu VMware Tools auf vShield-Komponenten
Die virtuellen vShield-Appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen
vShield-Appliance darf weder aktualisiert noch deinstalliert werden.
Erforderliche Ports für die vShield-Kommunikation
Für vShield müssen folgende Ports offen sein:
12
n
vShield Manager-Port 443, vom ESX-Host, von vCenter Server und den bereitzustellenden vShield Appliances aus erreichbar
n
UDP123 zwischen vShield Manager und vShield App für die Uhrzeitsynchronisierung
n
902/TCP und 903/TCP zu und von dem vCenter-Client und den ESX-Hosts
n
443/TCP vom REST-Client zum vShield Manager für REST API-Aufrufe
n
80/TCP bis 443/TCP für die Verwendung der vShield Manager-Benutzeroberfläche und die Initiierung
der Verbindung zum vSphere SDK
n
22/TCP für die Fehlersuche der CLI
VMware, Inc.
Grundlegendes zur vShield ManagerBenutzeroberfläche
2
Die vShield Manager-Benutzeroberfläche bietet Konfigurations- und Datenanzeigeoptionen speziell zur
vShield-Verwendung. Durch Verwendung des VMware Infrastructure-SDK zeigt vShield Manager Ihre
vSphere Client-Bestandsliste an, damit Sie eine vollständige Sicht auf Ihre vCenter-Umgebung erhalten.
HINWEIS Sie können vShield Manager als vSphere Client-Plug-In registrieren. Auf diese Weise können Sie
vShield-Komponenten über vSphere Client konfigurieren. Weitere Informationen hierzu finden Sie im Abschnitt über das Einrichten von vShield Manager im Installations- und Upgrade-Handbuch für vShield.
n
Anmelden bei der vShield Manager-Benutzeroberfläche auf Seite 13
Sie greifen über einen Webbrowser auf die vShield Manager-Verwaltungsoberfläche zu.
n
Grundlegendes zur vShield Manager-Benutzeroberfläche auf Seite 14
Die vShield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das
Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die
verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen.
Anmelden bei der vShield Manager-Benutzeroberfläche
Sie greifen über einen Webbrowser auf die vShield Manager-Verwaltungsoberfläche zu.
Vorgehensweise
1
Öffnen Sie ein Webbrowser-Fenster und geben Sie die IP-Adresse an, die dem vShield Manager zugewiesen ist.
Die vShield Manager-Benutzeroberfläche wird in einer SSL/HTTPS-Sitzung geöffnet (bzw. öffnet eine
sichere SSL-Sitzung).
2
Akzeptieren Sie das Sicherheitszertifikat.
HINWEIS Es wird empfohlen, ein SSL-Zertifikat zum Verifizieren von vShield Manager zu verwenden.
Weitere Informationen hierzu finden Sie unter „Hinzufügen eines SSL-Zertifikats zum Authentifizieren
des vShield Manager-Webdiensts“, auf Seite 20.
Der Anmeldebildschirm von vShield Manager wird angezeigt.
3
Melden Sie sich bei der vShield Manager-Benutzeroberfläche mit dem Benutzernamen admin und dem
Kennwort default an.
Sie sollten das Standardkennwort baldmöglichst ändern, um dessen unbefugtem Gebrauch vorzubeugen. Siehe „Bearbeiten eines Benutzerkontos“, auf Seite 38.
4
VMware, Inc.
Klicken Sie auf [Log In] .
13
Grundlegendes zur vShield Manager-Benutzeroberfläche
Die vShield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen.
Wenn Sie auf ein Bestandslistenobjekt klicken, werden im Konfigurationsfenster spezifische Registerkarten
für das Objekt angezeigt.
n
vShield Manager-Bestandsliste auf Seite 14
Die Hierarchie der vShield Manager-Bestandsliste bildet die vSphere Client-Bestandslistenhierarchie
ab.
n
vShield Manager-Konfigurationsfenster auf Seite 15
Das vShield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vShield-Operation konfiguriert werden können. Für
jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen
oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen.
vShield Manager-Bestandsliste
Die Hierarchie der vShield Manager-Bestandsliste bildet die vSphere Client-Bestandslistenhierarchie ab.
Zu den Ressourcen gehören der Root-Ordner, die Datencenter, Cluster, Portgruppen, ESX-Hosts und virtuellen Maschinen. Als Ergebnis bietet vShield Manager in Kombination mit der vCenter Server-Bestandsliste
eine vollständige Ansicht Ihrer virtuellen Bereitstellung. Die virtuelle Maschinen für vShield Manager und
vShield App werden nicht im vShield Manager-Bestandslistenbereich angezeigt. vShield Manager-Einstellungen werden über die Ressource [Settings & Reports] oberhalb des Bestandslistenbereichs konfiguriert.
Die Bestandsliste bietet mehrere Ansichten: Hosts & Cluster, Netzwerke und Edges. Die Ansicht „Hosts &
Clusters“ enthält die Datencenter, Cluster, Ressourcenpools und ESX-Hosts Ihrer Bestandsliste. Die Ansicht
„Networks“ zeigt die VLAN-Netzwerke und Portgruppen in Ihrer Bestandsliste. In der Ansicht „Edges“
werden die durch vShield Edge-Instanzen geschützten Portgruppen angezeigt. Die Ansichten „Hosts &
Clusters“ und „Networks“ sind mit den gleichnamigen Ansichten im vSphere-Client konsistent.
In den Bestandslisten von vShield Manager und vSphere Client werden für virtuelle Maschinen und
vShield-Komponenten unterschiedliche Symbole verwendet. Zur Anzeige des Unterschieds zwischen
vShield-Komponenten und virtuellen Maschinen sowie zwischen geschützten und nicht geschützten virtuellen Maschinen werden benutzerdefinierte Symbole verwendet.
Tabelle 2‑1. Symbole für virtuelle vShield-Maschinen in der vShield Manager-Bestandsliste
Symbol
Beschreibung
Eine eingeschaltete virtuelle Maschine, die über vShield App geschützt wird.
Eine ausgeschaltete virtuelle Maschine, die nicht über vShield App geschützt wird.
Eine ausgeschaltete virtuelle Maschine.
Eine geschützte virtuelle Maschine, die getrennt ist.
14
VMware, Inc.
Kapitel 2 Grundlegendes zur vShield Manager-Benutzeroberfläche
Aktualisieren der Bestandsliste
Zum Aktualisieren der Ressourcenliste in der Bestandslistenansicht klicken Sie auf . Bei einer Aktualisierung werden aktuelle Ressourceninformationen von vCenter Server angefordert. Standardmäßig fordert
vShield Manager alle fünf Minuten Ressourceninformationen von vCenter Server an.
Durchsuchen der Bestandsliste
Zum Durchsuchen einer Bestandsliste nach einer spezifischen Ressource geben Sie eine Suchzeichenfolge in
das Feld über der vShield Manager-Bestandsliste ein und klicken Sie auf
.
vShield Manager-Konfigurationsfenster
Das vShield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vShield-Operation konfiguriert werden können. Für jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen.
Da jede Ressource einem anderen Zweck dient, gelten einige Registerkarte nur für bestimmte Ressourcen.
Darüber hinaus weisen einige Registerkarten eine zweite Optionenebene auf.
VMware, Inc.
15
16
VMware, Inc.
Einstellungen für das
Managementsystem
3
Sie können die bei der ersten Anmeldung angegebenen Definitionen für vCenter Server, für den DNS- und
NTP-Server sowie für den Lookup-Server bearbeiten. vShield Manager muss mit vCenter Server und Diensten wie beispielsweise DNS und NTP kommunizieren können, um Details zur VMware Infrastructure-Bestandsliste bereitzustellen.
Dieses Kapitel behandelt die folgenden Themen:
n
„Bearbeiten von DNS-Servern“, auf Seite 17
n
„Bearbeiten des Datums und der Uhrzeit von vShield Manager“, auf Seite 18
n
„Bearbeiten von Lookup Service-Details“, auf Seite 18
n
„Bearbeiten von vCenter Server“, auf Seite 18
n
„Angeben des Syslog-Servers“, auf Seite 19
n
„Herunterladen der Protokolle des technischen Supports für vShield“, auf Seite 19
n
„Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts“, auf Seite 20
n
„Hinzufügen eines Cisco-Switches zu vShield Manager“, auf Seite 21
n
„Arbeiten mit Diensten und Dienstgruppen“, auf Seite 22
n
„Gruppieren von Objekten“, auf Seite 25
Bearbeiten von DNS-Servern
Sie können die während der anfänglichen Anmeldung angegebenen DNS-Server ändern. Der primäre DNSServer wird in der vShield Manager-Benutzeroberfläche angezeigt.
Vorgehensweise
1
Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] .
2
Klicken Sie auf die Registerkarte [Konfiguration] .
3
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden.
4
Klicken Sie auf [Edit] neben [DNS Servers] .
5
Nehmen Sie die entsprechenden Änderungen vor.
6
Klicken Sie auf [OK] .
VMware, Inc.
17
Bearbeiten des Datums und der Uhrzeit von vShield Manager
Sie können den während der anfänglichen Anmeldung angegebenen NTP-Server ändern.
Vorgehensweise
1
2
3
4
Klicken Sie auf [Edit] neben [NTP Server] .
5
6
7
Starten Sie vShield Manager neu.
Bearbeiten von Lookup Service-Details
Sie können die während der anfänglichen Anmeldung angegebenen Lookup Service-Details ändern.
Vorgehensweise
1
2
3
4
Klicken Sie auf [Edit] neben [Lookup Service] .
5
6
Bearbeiten von vCenter Server
Sie können den vCenter Server ändern, bei dem Sie bei der anfänglichen Anmeldung vShield Manager registriert haben. Sie sollten dies nur dann tun, wenn Sie die IP-Adresse Ihres aktuellen vCenter Servers ändern.
Vorgehensweise
18
1
Wenn Sie beim vSphere-Client angemeldet sind, melden Sie sich ab.
2
Melden Sie sich beim vShield Manager an.
3
4
Klicken Sie auf die Registerkarte [Configuration] .
5
6
Klicken Sie auf [Edit] neben [vCenter Server] .
7
8
9
Melden Sie sich beim vSphere-Client an.
10
Wählen Sie einen ESX-Host aus.
11
Stellen Sie sicher, dass [vShield] als Registerkarte angezeigt wird.
VMware, Inc.
Kapitel 3 Einstellungen für das Managementsystem
Weiter
Sie können jetzt mit dem vSphere-Client vShield-Komponenten installieren und konfigurieren.
Angeben des Syslog-Servers
Wenn Sie einen Syslog-Server angeben, sendet vShield Manager alle Audit-Protokolle und Systemereignisse
von vShield Manager an den Syslog-Server.
Vorgehensweise
1
2
3
4
Klicken Sie auf [Edit] neben [Syslog Server] .
5
Geben Sie die IP-Adresse des Syslog-Servers ein.
6
(Optional) Geben Sie den Port für den Syslog-Server ein.
Wenn Sie keinen Port angeben, wird der Standard-UDP-Port für die IP-Adresse bzw. den Hostnamen
des Syslog-Servers verwendet.
7
Herunterladen der Protokolle des technischen Supports für vShield
Sie können vShield Manager-Auditprotokolle und Systemereignisse von einer vShield-Komponente auf Ihren PC herunterladen.
Auditprotokolle beziehen sich auf Konfigurationsänderungsprotokolle (z. B. Firewall-Konfigurationsänderungen), während sich Systemereignisse auf Ereignisse beziehen, die im Hintergrund eintreten, während
vShield Manager ausgeführt wird. Wenn beispielsweise die Verbindung zwischen vShield Manager und einer der vShield App- oder vShield Edge-Appliances ausfällt, wird ein Systemereignis protokolliert.
Sowohl Auditprotokolle als auch Systemereignisse werden mit dem Syslog-Server auf Info-Ebene protokolliert. Systemereignisse weisen jedoch einen internen Schweregrad auf, der zur Syslog-Nachricht hinzugefügt
wird, die für das Systemereignis gesendet wird.
Vorgehensweise
1
2
3
Klicken Sie auf [Support] .
4
Klicken Sie unter [Tech Support Log Download] neben der gewünschten Komponente auf [Initiate] .
Das Protokoll wird generiert und in vShield Manager heruntergeladen. Dieser Vorgang kann einige Sekunden in Anspruch nehmen.
5
Klicken Sie nach der Protokollerstellung auf den Link [Download] , um das Protokoll auf Ihren PC herunterzuladen.
Das Protokoll ist komprimiert und hat die Dateierweiterung .gz.
Weiter
Sie können das Protokoll mit einem Dienstprogramm für die Dekomprimierung öffnen, indem Sie das Speicherverzeichnis für die Datei mit der Option [All Files] durchsuchen.
VMware, Inc.
19
Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield
Manager-Webdiensts
Sie können eine Anforderung zur Zertifikatssignierung generieren, sie von einer Zertifizierungsstelle signieren lassen und das signierte SSL-Zertifikat in vShield Manager importieren, um die Identität des vShield
Manager-Webservices zu authentifizieren und Informationen zu verschlüsseln, die an den vShield ManagerWebserver gesendet werden. Als empfohlene Vorgehensweise zur Gewährleistung der Sicherheit sollten Sie
mit der Option zum Generieren eines Zertifikats einen privaten und einen öffentlichen Schlüssel generieren.
Der private Schlüssel wird in vShield Manager gespeichert.
Vorgehensweise
1
2
3
Klicken Sie auf [SSL Certificate] .
4
Füllen Sie unter [Generate Certificate Signing Request] die folgenden Felder des Formulars aus:
5
Option
Aktion
[Common Name]
Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen
(FQDN) von vShield Manager ein. Es wird empfohlen, den FQDN einzugeben.
[Organization Unit]
Geben Sie die Abteilung innerhalb des Unternehmens ein, die das Zertifikat anfordert.
[Organization Name]
Geben Sie den vollständigen eingetragenen Namen des Unternehmens ein.
[City Name]
Geben Sie den vollständigen Namen der Stadt ein, in der Ihr Unternehmen
ansässig ist.
[State Name]
Geben Sie den vollständigen Namen des Bundeslands/Kantons ein, in dem
Ihr Unternehmen ansässig ist.
[Country Code]
Geben Sie den zweistelligen Ländercode ein. Der Code für die Vereinigten
Staaten lautet beispielsweise US.
[Key Algorithm]
Wählen Sie als Kryptografiealgorithmus entweder DSA oder RSA aus.
Zwecks Abwärtskompatibilität wird RSA empfohlen.
[Key Size]
Wählen Sie die Anzahl von Bits im ausgewählten Algorithmus.
Klicken Sie auf [Generate] .
Importieren eines SSL-Zertifikats
Sie können ein bereits vorhandenes, von einer Zertifizierungsstelle signiertes SSL-Zertifikat für die Verwendung durch vShield Manager importieren.
Vorgehensweise
20
1
2
3
Klicken Sie auf [SSL Certificate] .
4
Klicken Sie unter Import Signed Certificate im Abschnitt Certificate File auf [Browse] , um nach der Datei zu suchen.
VMware, Inc.
5
Wählen Sie in der Dropdown-Liste [Certificate Type] den Zertifikattyp aus.
Sofern zutreffend, importieren Sie die Root- und Zwischenzertifikate, bevor Sie das von einer Zertifizierungsstelle signierte Zertifikat importieren. Falls es mehrere Zwischenzertifikate gibt, fassen Sie sie in
einer einzigen Datei zusammen und importieren Sie anschließend die Datei.
6
Klicken Sie auf [Übernehmen] .
Eine gelbe Leiste mit der Meldung [Successfully imported certificate] wird im oberen Bereich des Bildschirms angezeigt.
7
Klicken Sie auf [Apply Certificate] .
vShield Manager wird neu gestartet, damit das Zertifikat angewendet werden kann.
Das Zertifikat wird in vShield Manager gespeichert.
Hinzufügen eines Cisco-Switches zu vShield Manager
Sie können einen Cisco-Switch zu vShield Manager hinzufügen und dessen Implementierung verwalten.
Voraussetzungen
Der N1K-Switch muss auf vCenter Server installiert worden sein.
Vorgehensweise
1
2
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Configuration] befinden.
3
Klicken Sie auf die Registerkarte [Networking] .
4
Klicken Sie auf [Add Switch Provider] .
5
Geben Sie einen Namen für den Switch ein.
6
Geben Sie die API-Schnittstelle, mit der der Switch kommunizieren kann, im folgenden Format ein:
https://IP-Adresse_von_VSM/n1k/services/NSM.
7
Geben Sie Ihren N1K-Benutzernamen und das Kennwort ein.
8
Der Switch wird in die Switch-Provider-Tabelle aufgenommen.
VMware, Inc.
21
Arbeiten mit Diensten und Dienstgruppen
Bei einem Dienst handelt es sich um die Kombination von Protokoll und Port und eine Dienstgruppe ist eine
Gruppe von Diensten.
Erstellen eines Diensts
Sie können einen Dienst erstellen und anschließend Regeln für diesen Dienst definieren.
Vorgehensweise
1
Führen Sie einen der folgenden Schritte aus:
Option
Beschreibung
So wird ein Dienst auf globaler Ebene erstellt
a
b
c
Melden Sie sich bei der vShield Manager-Benutzeroberfläche an.
Klicken Sie auf [Settings & Reports] .
Klicken Sie auf [Object Library] .
So wird ein Dienst auf Datencenterebene erstellt
a
b
c
Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus.
Wählen Sie im Bestandslistenbereich ein Datencenter aus.
Klicken Sie auf die Registerkarte [vShield] .
So wird eine Dienstgruppe auf Portgruppenebene erstellt
a
b
c
Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus.
Wählen Sie im Bestandslistenbereich ein Netzwerk aus.
So wird ein Dienst auf vShield Edge-Ebene erstellt
a
b
c
d
e
f
Wählen Sie im Bestandslistenbereich eine Datencenterressource aus.
Klicken Sie auf die Registerkarte [Network Virtualization] .
Klicken Sie auf die Registerkarte [Edges] .
Doppelklicken Sie auf eine vShield Edge-Instanz.
Klicken Sie auf die Registerkarte [Configure] .
2
Klicken Sie auf die Registerkarte [Services] .
3
Wählen Sie [Add] > [Service] .
4
Geben Sie im Feld [Name] einen Namen ein, um den Dienst zu identifizieren.
5
Geben Sie im Feld [Description] eine Beschreibung für den Dienst ein.
6
Wählen Sie im Feld [Protocol] ein Protokoll aus, dem Sie einen Nicht-Standard-Port hinzufügen möchten.
7
Geben Sie im Feld [Ports] die Portnummer(n) ein.
8
(Optional) Wählen Sie beim Erstellen eines Diensts auf globaler oder Datencenterebene [Enable inheri‐
tance to allow visibility at underlying scopes] , damit dieser Dienst darunter liegenden Ebenen zur
Verfügung steht.
9
Der Dienst wird in der Tabelle „Services“ angezeigt.
22
VMware, Inc.
Erstellen einer Dienstgruppe
Sie können eine Dienstgruppe auf globaler, Datencenter- oder vShield Edge-Ebene erstellen und anschließend Regeln für diese Dienstgruppe definieren.
Vorgehensweise
1
Option
Beschreibung
So wird eine Dienstgruppe auf globaler Ebene erstellt
a
b
c
So wird eine Dienstgruppe auf Datencenterebene erstellt
a
b
c
So wird eine Dienstgruppe auf Portgruppenebene erstellt
a
b
c
So wird eine Dienstgruppe auf
vShield Edge-Ebene erstellt
a
b
c
d
e
f
2
3
Wählen Sie [Add] > [Service Group] .
4
Geben Sie im Feld [Name] einen Namen ein, um die Dienstgruppe zu identifizieren.
5
Geben Sie im Feld [Description] eine Beschreibung für den Dienst ein.
6
Wählen Sie unter „Members“ die Dienste oder Dienstgruppen aus, die Sie der Gruppe hinzufügen
möchten.
7
(Optional) Wählen Sie beim Erstellen einer Dienstgruppe auf globaler oder Datencenterebene [Enable
inheritance to allow visibility at underlying scopes] , damit diese Dienstgruppe darunter liegenden
Ebenen zur Verfügung steht.
8
Die benutzerdefinierte Dienstgruppe wird in der Tabelle „Services“ angezeigt.
Bearbeiten eines Diensts oder einer Dienstgruppe
Sie können Dienste und Dienstgruppen bearbeiten.
Ein Dienst oder eine Dienstgruppe kann auf der Ebene bearbeitet werden, auf der er bzw. sie definiert wurde. Wenn beispielsweise ein Dienst auf globaler Ebene definiert wurde, kann er nicht auf vShield Edge-Ebene bearbeitet werden.
VMware, Inc.
23
Vorgehensweise
1
Option
Beschreibung
So wird ein Dienst auf globaler Ebene bearbeitet
a
b
c
So wird ein Dienst auf Datencenterebene bearbeitet
a
b
c
So wird ein Dienst auf Portgruppenebene bearbeitet
a
b
c
So wird ein Dienst auf vShield Edge-Ebene bearbeitet
a
b
c
d
e
f
2
3
Wählen Sie einen benutzerdefinierten Dienst oder eine benutzerdefinierte Dienstgruppe aus und klicken Sie auf [Edit] (
).
4
5
Löschen eines Diensts oder einer Dienstgruppe
Sie können Dienste und Dienstgruppen löschen.
Ein Dienst oder eine Dienstgruppe kann auf der Ebene gelöscht werden, auf der er bzw. sie definiert wurde.
Wenn beispielsweise ein Dienst auf globaler Ebene definiert wurde, kann er nicht auf vShield Edge-Ebene
gelöscht werden.
Vorgehensweise
1
24
Option
Beschreibung
So wird ein Dienst auf globaler Ebene gelöscht
a
b
c
So wird ein Dienst auf Datencenterebene gelöscht
a
b
c
VMware, Inc.
Option
Beschreibung
So wird ein Dienst auf Portgruppenebene gelöscht
a
b
c
So wird ein Dienst auf vShield Edge-Ebene gelöscht
a
b
c
d
e
f
2
3
Wählen Sie einen benutzerdefinierten Dienst oder eine benutzerdefinierte Dienstgruppe aus und klicken Sie auf [Löschen] (
4
).
Klicken Sie auf [Ja] .
Der Dienst bzw. die Dienstgruppe wird gelöscht.
Gruppieren von Objekten
Mit der Gruppierungsfunktion können Sie benutzerdefinierte Container erstellen, denen Sie zum Schutz
durch die App Firewall Ressourcen wie virtuelle Maschinen und Netzwerkadapter hinzufügen können.
Nach dem Definieren einer Gruppe können Sie diese zum Schutz als Quelle oder Ziel zu einer Firewallregel
hinzufügen.
Arbeiten mit IP-Adressgruppen
Erstellen einer IP-Adressgruppe
Sie können eine IP-Adressgruppe auf globaler, Datencenter- oder vShield Edge-Ebene erstellen und anschließend diese Gruppe als Quelle oder Ziel zu einer vShield App Firewall-Regel hinzufügen. Eine solche
Regel kann physische Maschinen vor virtuelle Maschinen schützen oder umgekehrt.
Vorgehensweise
1
Option
Beschreibung
So wird eine IP-Adressgruppe auf
globaler Ebene erstellt
a
b
Datencenterebene erstellt
VMware, Inc.
a
b
c
d
Klicken Sie vom vShield Manager-Bestandslistenbereich der vShield
Manager-Benutzeroberfläche aus auf [Object Library] .
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping]
befinden.
Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐
ping] aus.
25
2
3
Option
Beschreibung
Portgruppenebene erstellt
a
b
c
vShield Edge-Ebene erstellt
a
b
c
d
e
f
Klicken Sie auf die Registerkarte [Grouping Objects] .
Klicken Sie auf das Symbol [Add] (
) und wählen Sie [IP Addresses] aus.
Das Fenster zum Hinzufügen von IP-Adressen wird geöffnet.
4
Geben Sie einen Namen für die Adressgruppe ein.
5
(Optional) Geben Sie eine Beschreibung für die Adressgruppe ein.
6
Geben Sie die IP-Adressen ein, die zur Gruppe hinzugefügt werden sollen.
7
(Optional) Wählen Sie beim Erstellen einer IP-Adressgruppe auf globaler oder Datencenterebene
[Enable inheritance to allow visibility at underlying scopes] , damit diese IP-Adressgruppe darunter
liegenden Ebenen zur Verfügung steht.
8
Bearbeiten einer IP-Adressgruppe
Eine IP-Adressgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine IP-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vShield Edge-Ebene bearbeitet werden.
Voraussetzungen
Vorgehensweise
1
Option
Beschreibung
So bearbeiten Sie eine IP-Adressgruppe auf globaler Ebene
a
b
So bearbeiten Sie eine IP-Adressgruppe auf Datencenterebene
26
a
b
c
d
befinden.
ping] aus.
VMware, Inc.
2
3
Option
Beschreibung
So bearbeiten Sie eine IP-Adressgruppe auf Portgruppenebene
a
b
c
So bearbeiten Sie eine IP-Adressgruppe auf vShield Edge-Ebene
a
b
c
d
e
f
Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Edit] (
4
Nehmen Sie im Dialogfeld „Edit IP Addresses“ die entsprechenden Änderungen vor.
5
).
Löschen einer IP-Adressgruppe
Eine IP-Adressgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine IP-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vShield Edge-Ebene gelöscht
werden.
Vorgehensweise
1
Option
Beschreibung
So löschen Sie eine IP-Adressgruppe auf globaler Ebene
a
b
2
3
VMware, Inc.
befinden.
So löschen Sie eine IP-Adressgruppe auf Datencenterebene
a
b
c
d
ping] aus.
So löschen Sie eine IP-Adressgruppe auf Portgruppenebene
a
b
c
So löschen Sie eine IP-Adressgruppe auf vShield Edge-Ebene
a
b
c
d
e
f
Wählen Sie die Gruppe aus, die Sie löschen möchten, und klicken Sie auf das Symbol [Delete] (
).
27
Arbeiten mit MAC-Adressgruppen
Erstellen einer MAC-Adressgruppe
Sie können eine MAC-Adressgruppe mit einem Bereich von MAC-Adressen erstellen und diese Gruppe als
Quelle oder Ziel in einer vShield App Firewall-Regel hinzufügen. Eine solche Regel kann physische Maschinen vor virtuelle Maschinen schützen oder umgekehrt.
Vorgehensweise
1
Option
Beschreibung
So wird eine MAC-Adressgruppe
auf globaler Ebene erstellt
a
b
2
Klicken Sie im vShield Manager-Bestandslistenbereich der vShield Manager-Benutzeroberfläche auf „Object Library“.
befinden.
auf Datencenterebene erstellt
a
b
c
d
ping] aus.
auf Portgruppenebene erstellt
a
b
c
) und wählen Sie [MAC Addresses] aus.
Das Fenster „Add MAC Addresses“ wird geöffnet.
28
3
Geben Sie einen Namen für die Adressgruppe ein.
4
(Optional) Geben Sie eine Beschreibung für die Adressgruppe ein.
5
Geben Sie die MAC-Adressen ein, die zur Gruppe hinzugefügt werden sollen.
6
Wählen Sie [Enable inheritance to allow visibility at underlying scopes] , wenn Sie möchten, dass die
MAC-Adressgruppe von den Objekten im ausgewählten Datencenter übernommen wird.
7
VMware, Inc.
Bearbeiten einer MAC-Adressgruppe
Eine MAC-Adressgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine MAC-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vShield EdgeEbene bearbeitet werden.
Vorgehensweise
1
Option
Beschreibung
So bearbeiten Sie eine MAC-Adressgruppe auf globaler Ebene
a
b
2
3
befinden.
So bearbeiten Sie eine MAC-Adressgruppe auf Datencenterebene
a
b
c
d
ping] aus.
So bearbeiten Sie eine MAC-Adressgruppe auf Portgruppenebene
a
b
c
So bearbeiten Sie eine MAC-Adressgruppe auf vShield Edge-Ebene
a
b
c
d
e
f
4
Nehmen Sie im Dialogfeld „Edit MAC Addresses“ die entsprechenden Änderungen vor.
5
VMware, Inc.
).
29
Löschen einer MAC-Adressgruppe
Eine MAC-Adressgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine MAC-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vShield Edge-Ebene
gelöscht werden.
Vorgehensweise
1
Option
Beschreibung
So löschen Sie eine MAC-Adressgruppe auf globaler Ebene
a
b
2
3
befinden.
So löschen Sie eine MAC-Adressgruppe auf Datencenterebene
a
b
c
d
ping] aus.
So löschen Sie eine MAC-Adressgruppe auf Portgruppenebene
a
b
c
So löschen Sie eine MAC-Adressgruppe auf vShield Edge-Ebene
a
b
c
d
e
f
Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Delete] (
).
Arbeiten mit Sicherheitsgruppen
Erstellen einer Sicherheitsgruppe
Im vSphere-Client können Sie eine Sicherheitsgruppe auf der Portgruppenebene hinzufügen.
Der Geltungsbereich der Sicherheitsgruppe ist auf die Ressourcenebene beschränkt, auf der sie erstellt wurde. Wenn Sie beispielsweise eine Sicherheitsgruppe auf Datencenterebene erstellen, kann die Sicherheitsgruppe nur dann als Quelle oder Ziel hinzugefügt werden, wenn Sie eine Firewallregel auf Datencenterebene erstellen. Wenn Sie eine Regel für eine Portgruppe innerhalb dieses Datencenters erstellen, ist die Sicherheitsgruppe nicht verfügbar.
30
VMware, Inc.
Vorgehensweise
1
2
Option
Beschreibung
So wird eine Sicherheitsgruppe auf
Datencenterebene erstellt
a
b
c
d
ping] aus.
So wird eine Sicherheitsgruppe auf
der Portgruppenebene erstellt
a
b
c
d
Wählen Sie die Registerkarte [Grouping] aus.
Klicken Sie auf [Add] und wählen Sie [Security Group] .
Das Fenster „Add Security Group“ wird mit dem ausgewählten Datencenter geöffnet, das als [Scope]
(Geltungsbereich) angezeigt wird.
3
Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein.
4
Klicken Sie in das Feld neben der Schaltfläche „Add“ und wählen Sie die Ressource aus, die Sie in die
Sicherheitsgruppe aufnehmen möchten.
5
Wählen Sie unter [Members] eine oder mehrere Ressourcen aus, die zur Sicherheitsgruppe hinzugefügt
werden sollen.
Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die
zugewiesene vNIC automatisch zur Sicherheitsgruppe hinzugefügt.
6
Bearbeiten einer Sicherheitsgruppe
Eine Sicherheitsgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine Sicherheitsgruppe auf Datencenterebene definiert wurde, kann sie nicht auf Portgruppenebene
bearbeitet werden.
Vorgehensweise
1
2
3
VMware, Inc.
Option
Beschreibung
So bearbeiten Sie eine Sicherheitsgruppe auf Datencenterebene
a
b
c
d
ping] aus.
So bearbeiten Sie eine Sicherheitsgruppe auf Portgruppenebene
a
b
c
d
).
Nehmen Sie im Dialogfeld „Edit Security Group“ die entsprechenden Änderungen vor.
31
4
Löschen einer Sicherheitsgruppe
Eine Sicherheitsgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine Sicherheitsgruppe auf Datencenterebene definiert wurde, kann sie nicht auf vShield-Portgruppenebene gelöscht werden.
Vorgehensweise
1
2
32
Option
Beschreibung
So löschen Sie eine Sicherheitsgruppe auf Datencenterebene
a
b
c
d
ping] aus.
So löschen Sie eine Sicherheitsgruppe auf Portgruppenebene
a
b
c
d
Wählen Sie die Gruppe aus, die Sie löschen möchten, und klicken Sie auf das Symbol [Delete] (
).
VMware, Inc.
Benutzer-Management
4
Sicherheitsvorgänge werden häufig von mehreren Benutzern verwaltet. Das Management des gesamten
Systems wird basierend auf logischen Kategorien an verschiedene Mitarbeiter delegiert. Zum Ausführen
der Aufgaben sind jedoch nur diejenigen Benutzer berechtigt, die über die erforderlichen Rechte für bestimmte Ressourcen verfügen. Im Benutzerabschnitt können Sie die Aufgaben für das Ressourcen-Management an Benutzer delegieren, indem Sie die erforderlichen Rechte erteilen.
vShield unterstützt Single Sign On (SSO), sodass vShield Benutzer von anderen Identitätsdiensten, wie z. B.
AD, NIS und LDAP, authentifizieren kann.
Das Benutzer-Management über die vShield Manager-Benutzeroberfläche und das Benutzer-Management
über die Befehlszeilenschnittstelle einer vShield-Komponente sind separat implementiert.
n
„Konfigurieren von Single Sign On“, auf Seite 33
n
„Verwalten von Benutzerrechten“, auf Seite 34
n
„Verwalten des Standardbenutzerkontos“, auf Seite 35
n
„Hinzufügen eines Benutzerkontos“, auf Seite 35
n
„Bearbeiten eines Benutzerkontos“, auf Seite 38
n
„Ändern einer Benutzerrolle“, auf Seite 38
n
„Deaktivieren oder Aktivieren eines Benutzerkontos“, auf Seite 38
n
„Löschen eines Benutzerkontos“, auf Seite 39
Konfigurieren von Single Sign On
Durch das Integrieren des Single Sign On-Diensts in vShield wird die Sicherheit der Benutzerauthentifizierung für vCenter-Benutzer erhöht und vShield ermöglicht, Benutzer aus anderen Identitätsdiensten, wie
z. B. AD, NIS und LDAP, zu authentifizieren.
Mit Single Sign On unterstützt vShield die Authentifizierung mithilfe authentifizierter SAML-Token einer
vertrauenswürdigen Quelle über REST-API-Aufrufe. vShield Manager kann auch AuthentifizierungsSAML-Token für die Verwendung mit anderen VMware-Lösungen erwerben.
Voraussetzungen
n
Der Single Sign On-Dienst muss auf vCenter Server installiert sein.
n
Der NTP-Server muss angegeben werden, um sicherzugehen, dass die Zeit des Single Sign On-Servers
und von vShield Manager synchron sind. Weitere Informationen hierzu finden Sie im Abschnitt über
das Einrichten von vShield Manager im Installations- und Upgrade-Handbuch für vShield.
VMware, Inc.
33
Vorgehensweise
1
2
3
4
Klicken Sie auf [Edit] neben [Lookup Service] .
5
Geben Sie die IP-Adresse oder den Namen des Hosts mit dem Lookup Service ein.
6
Ändern Sie die Portnummer, falls erforderlich.
Die URL des Lookup Service wird basierend auf dem angegebenen Host und Port angezeigt.
7
Geben Sie den SSO-Benutzernamen und das Kennwort ein.
Damit kann vShield Manager sich selbst mit dem Security Token Service-Server registrieren.
8
Weiter
Weisen Sie dem SSO-Benutzer eine Rolle zu.
Verwalten von Benutzerrechten
Auf der vShield Manager-Benutzeroberfläche definiert die Rolle eines Benutzers, welche Aktionen der Benutzer für eine bestimmte Ressource ausführen kann. Die Rolle legt fest, welche Rechte der Benutzer an der
Ressource hat, wodurch sichergestellt wird, dass ein Benutzer nur auf die Funktionen Zugriff hat, die zum
Ausführen notwendiger Vorgänge erforderlich sind. So kann der Zugriff auf bestimmte Ressourcen auf Domänenebene oder systemweit gesteuert werden, wenn Ihre Rechte nicht eingeschränkt sind.
Die folgenden Regeln werden erzwungen:
n
Ein Benutzer kann nur über ein Rolle verfügen.
n
Sie können einem Benutzer eine Rolle hinzufügen oder eine dem Benutzer zugewiesene Rolle entfernen. Sie können allerdings auch die einem Benutzer zugewiesene Rolle ändern.
Tabelle 4‑1. vShield Manager-Benutzerrollen
Recht
Berechtigungen
Enterprise Administrator
vShield-Vorgänge und -Sicherheit.
vShield Administrator
Nur vShield-Vorgänge: Zum Beispiel: Installieren von virtuellen Appliances, Konfigurieren von Portgruppen.
Security Administrator
Nur vShield-Sicherheit: Zum Beispiel: Definieren von Datensicherheitsrichtlinien, Erstellen von Portgruppen, Erstellen von Berichten für vShield-Module.
Auditor
Nur Lesen.
Der Geltungsbereich einer Rolle legt fest, welche Ressourcen ein bestimmter Benutzer anzeigen kann. Für
vShield-Benutzer stehen folgende Geltungsbereiche zur Verfügung.
34
VMware, Inc.
Kapitel 4 Benutzer-Management
Tabelle 4‑2. Geltungsbereich für vShield Manager-Benutzer
Geltungsbereich
Beschreibung
Keine Beschränkung
Zugriff auf das gesamte vShield-System
Begrenzt den Zugriff auf die
unten ausgewählten Portgruppen
Zugriff auf ein angegebenes Datencenter oder eine angegebene Portgruppe
Die Rollen „Enterprise Administrator“ und „vShield Administrator“ können nur vCenter-Benutzern zugewiesen werden und ihr Geltungsbereich ist global (keine Beschränkung).
Verwalten des Standardbenutzerkontos
Zur vShield Manager-Benutzeroberfläche gehört auch ein lokales Benutzerkonto, das Zugriffsrechte auf alle
Ressourcen hat. Die Rechte dieses Benutzers können nicht bearbeitet und der Benutzer kann nicht gelöscht
werden. Der Standardbenutzername lautet admin und das Standardkennwort lautet default.
Ändern Sie das Kennwort für dieses Konto, wenn Sie sich erstmalig bei vShield Manager anmelden. Weitere
Informationen hierzu finden Sie unter „Bearbeiten eines Benutzerkontos“, auf Seite 38.
Hinzufügen eines Benutzerkontos
Sie können entweder einen neuen lokalen vShield-Benutzer erstellen oder einem vCenter-Benutzer eine Rolle zuweisen.
Erstellen eines neuen lokalen Benutzers
1
2
Klicken Sie auf die Registerkarte [Users] .
3
Klicken Sie auf [Hinzufügen] .
Das Fenster „Assign Role“ wird geöffnet.
4
Klicken Sie auf [Create a new user local to vShield] .
5
Geben Sie eine [Email] -Adresse ein.
6
Geben Sie eine [Login ID] ein.
Dieser Name wird für die Anmeldung bei der vShield Manager-Benutzeroberfläche verwendet. Dieser
Benutzername und das zugehörige Kennwort können nicht für den Zugriff auf die vShield App- oder
die vShield Manager-Befehlszeilenschnittstelle verwendet werden.
7
Geben Sie zu Identifikationszwecken unter [Full Name] den vollständigen Namen des Benutzers ein.
8
Geben Sie in [Password] ein Kennwort für die Anmeldung ein.
9
Geben Sie das Kennwort im Feld [Retype Password] erneut ein.
10
Klicken Sie auf [Weiter] .
11
Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next] . Weitere Informationen zu den
verfügbaren Rollen finden Sie unter „Verwalten von Benutzerrechten“, auf Seite 34.
12
Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish] .
Das Benutzerkonto wird in der Benutzertabelle angezeigt.
VMware, Inc.
35
Zuweisen einer Rolle zu einem vCenter-Benutzer
Wenn Sie einem SSO-Benutzer eine Rolle zuweisen, authentifiziert vCenter den Benutzer anhand des Identitätsdiensts, der auf dem SSO-Server konfiguriert ist. Wenn die SSO-Server nicht konfiguriert oder nicht verfügbar ist, wird der Benutzer basierend auf der vCenter-Konfiguration entweder lokal oder mit Active Directory authentifiziert.
1
2
3
Das Fenster „Assign Role“ wird geöffnet.
4
Klicken Sie auf [Select vCenter user] .
5
Geben Sie den vCenter-Benutzernamen unter [User] ein.
HINWEIS Wenn der vCenter-Benutzer aus einer Domäne stammt (z. B. ein SSO-Benutzer), müssen Sie
den vollqualifizierten Pfad einer Windows-Domäne eingeben. Damit können sich der standardmäßige
vShield Manager-Benutzer (admin) und der standardmäßige SSO-Benutzer (admin) bei vShield Manager anmelden. Dieser Benutzername dient der Anmeldung bei der vShield Manager-Benutzerschnittstelle und kann nicht für den Zugriff auf die vShield App- oder die vShield Manager-Befehlszeilenschnittstelle verwendet werden.
6
7
Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next] . Weitere Informationen zu den
verfügbaren Rollen finden Sie unter „Verwalten von Benutzerrechten“, auf Seite 34.
8
Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish] .
Das Benutzerkonto wird in der Benutzertabelle angezeigt.
Grundlegendes zu gruppenbasierten Rollenzuweisungen
Organisationen erstellen Benutzergruppen, um Benutzer ordnungsgemäß zu verwalten. Nach der Integration mit Single Sign On (SSO) kann vShield Manager Details zu den Gruppen abrufen, denen ein Benutzer
angehört. Statt einzelnen derselben Gruppe angehörenden Benutzern Rollen zuzuweisen, weist vShield Manager Rollen zu Gruppen zu. Lassen Sie uns einige Szenarien durchspielen, um zu verdeutlichen, wie
vShield Manager Rollen zuweist.
Beispiel: Szenario 1
Gruppenoption
Wert
Name
G1
Zugewiesene Rolle
Prüfer (nur Lesen)
Ressourcen
Global Root
Benutzeroption
Wert
Name
Peter
Gehört zur Gruppe
G1
Zugewiesene Rolle
Keine
Peter gehört der Gruppe G1 an, der die Rolle „Prüfer“ zugewiesen wurde. Peter übernimmt die Gruppenrolle und die Ressourcenberechtigungen.
36
VMware, Inc.
Gruppenoption
Wert
Name
G1
Zugewiesene Rolle
Prüfer (nur Lesen)
Ressourcen
Global Root
Gruppenoption
Wert
Name
G2
Zugewiesene Rolle
Sicherheitsadministrator (Lesen und Schreiben)
Ressourcen
Datacenter1
Benutzeroption
Wert
Name
Paul
Gehört zur Gruppe
G1, G2
Zugewiesene Rolle
Keine
Paul gehört den Gruppen G1 und G2 an und übernimmt eine Kombination von Rechten und Berechtigungen der Rollen „Prüfer“ und „Sicherheitsadministrator“. Peter verfügt beispielsweise über folgende Berechtigungen:
n
Lesen, Schreiben (Rolle „Sicherheitsadministrator“) für Datacenter1
n
Nur Lesen (Auditor) für Global Root
Gruppenoption
Wert
Name
G1
Zugewiesene Rolle
Enterprise-Administrator
Ressourcen
Global Root
Benutzeroption
Wert
Name
Florian
Gehört zur Gruppe
G1
Zugewiesene Rolle
Sicherheitsadministrator (Lesen und Schreiben)
Ressourcen
Datacenter1
Florian wurde die Rolle „Sicherheitsadministrator“ zugewiesen, sodass er die Rollenberechtigungen der
Gruppe nicht übernimmt. Florian verfügt über folgende Berechtigungen
n
Lesen, Schreiben (Rolle „Sicherheitsadministrator“) für Datacenter1 und dessen untergeordnete Ressourcen
n
Die Rolle „Enterprise-Administrator“ für Datacenter1
VMware, Inc.
37
Bearbeiten eines Benutzerkontos
Sie können ein Benutzerkonto bearbeiten, um das Kennwort oder den Gültigkeitsbereich zu ändern. Das
admin-Konto kann nicht bearbeitet werden.
Vorgehensweise
1
2
3
Wählen Sie den Benutzer aus, den Sie bearbeiten möchten.
4
Klicken Sie auf [Bearbeiten] .
5
Nehmen Sie die gewünschten Änderungen vor.
6
Klicken Sie auf [Beenden] , um Ihre Änderungen zu speichern.
Ändern einer Benutzerrolle
Sie können die Rollenzuweisung für alle Benutzer ändern mit Ausnahme des admin-Benutzers.
Vorgehensweise
1
2
3
Wählen Sie den Benutzer aus, für den Sie die Rolle ändern möchten.
4
Klicken Sie auf [Change Role] .
5
6
Klicken Sie auf [Finish] , um Ihre Änderungen zu speichern.
Deaktivieren oder Aktivieren eines Benutzerkontos
Sie können ein Benutzerkonto deaktivieren, um den entsprechenden Benutzer daran zu hindern, sich bei
vShield Manager anzumelden. Sie können den Benutzer admin nicht deaktivieren.
Vorgehensweise
38
1
2
3
Wählen Sie ein Benutzerkonto aus.
4
n
Klicken Sie auf [Actions] > [Disable selected user(s) ] , um ein Benutzerkonto zu deaktivieren.
n
Klicken Sie auf [Actions] > [Enable selected user(s) ] , um ein Benutzerkonto zu aktivieren.
VMware, Inc.
Löschen eines Benutzerkontos
Sie können jedes erstellte Benutzerkonto löschen. Das admin-Konto kann nicht gelöscht werden. Überwachungsdatensätze für gelöschte Benutzer werden in der Datenbank verwaltet und können in einem Überwachungsprotokollbericht referenziert werden.
Vorgehensweise
1
2
3
Wählen Sie den Benutzer aus, den Sie löschen möchten.
4
Klicken Sie auf [Delete] .
5
Klicken Sie auf [OK] , um den Löschvorgang zu bestätigen.
Wenn Sie ein vCenter-Benutzerkonto löschen, wird nur die Rollenzuweisung für vShield Manager gelöscht. Das Benutzerkonto auf vCenter wird nicht gelöscht.
VMware, Inc.
39
40
VMware, Inc.
Aktualisieren von Systemsoftware
5
Für die vShield-Software sind regelmäßige Updates erforderlich, um die System-Performance aufrechtzuerhalten. Mithilfe der Optionen auf der Registerkarte [Updates] können Sie System-Updates installieren und
nachverfolgen.
n
Anzeigen der aktuellen Systemsoftware auf Seite 41
Sie können die aktuell installierten Versionen der vShield-Komponentensoftware anzeigen oder überprüfen, ob gerade ein Update ausgeführt wird.
n
Hochladen eines Updates auf Seite 41
vShield-Updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird,
können Sie es auf Ihren PC herunterladen und das Update anschließend über die vShield ManagerBenutzeroberfläche hochladen.
Anzeigen der aktuellen Systemsoftware
Sie können die aktuell installierten Versionen der vShield-Komponentensoftware anzeigen oder überprüfen,
ob gerade ein Update ausgeführt wird.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte [Updates] .
3
Klicken Sie auf [Update Status] .
Hochladen eines Updates
vShield-Updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird, können
Sie es auf Ihren PC herunterladen und das Update anschließend über die vShield Manager-Benutzeroberfläche hochladen.
Beim Hochladen des Updates werden zunächst vShield Manager und anschließend alle vShield Zones- bzw.
vShield App-Instanzen aktualisiert. Wenn ein Neustart von vShield Manager oder einer vShield Zones- oder
vShield App-Instanz erforderlich ist, werden Sie im Bildschirm [Update Status] zum Neustarten der Komponente aufgefordert. Wenn sowohl vShield Manager als auch alle vShield Zones- bzw. vShield App-Instanzen neu gestartet werden müssen, muss zunächst vShield Manager und anschließend jede vShield Zonesbzw. jede vShield App-Instanz neu gestartet werden.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte [Updates] .
VMware, Inc.
41
3
Klicken Sie auf [Upload Upgrade Bundle] .
4
Klicken Sie auf [Browse] , um nach dem Update zu suchen.
5
Wenn Sie die Datei ausgewählt haben, klicken Sie auf [Upload File] .
6
Klicken Sie auf [Update Status] und anschließend auf [Install] .
7
Klicken Sie auf [Confirm Install] , um die Installation des Updates zu bestätigen.
Der angezeigte Bildschirm umfasst zwei Tabellen. Während der Installation wird in der oberen Tabelle
die Beschreibung, die Startzeit sowie der Erfolgs- und der Prozessstatus des aktuellen Updates angezeigt. Die untere Tabelle zeigt den Update-Status der einzelnen vShield App-Instanzen. Wenn als Status
der letzten vShield App-Instanz [Finished] angezeigt wird, wurden alle vShield App-Instanzen aktualisiert.
42
8
Klicken Sie nach dem Neustart von vShield Manager auf die Registerkarte [Update Status] .
9
Klicken Sie bei Aufforderung auf [Reboot Manager] .
10
Klicken Sie auf [Finish Install] , um das System-Update abzuschließen.
11
Klicken Sie auf [Confirm] .
VMware, Inc.
Sichern von vShield Manager-Daten
6
Sie können Ihre vShield Manager-Daten – ggf. einschließlich von Systemkonfiguration, Ereignissen und
Überwachungsprotokolltabellen – sichern und wiederherstellen. Konfigurationstabellen sind in jeder Sicherung enthalten. System- und Überwachungsprotokollereignisse können Sie jedoch ausschließen. Sicherungen werden an einem Remote-Speicherort abgelegt, der über vShield Manager zugänglich sein muss.
Sicherungen können nach einem Zeitplan oder bei Bedarf ausgeführt werden.
n
Sichern von vShield Manager-Daten bei Bedarf auf Seite 43
Sie können vShield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen.
n
Planen einer Sicherung von vShield Manager-Daten auf Seite 44
Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht
möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden.
n
Wiederherstellen einer Sicherung auf Seite 45
Sie können eine Sicherung nur auf einer neu bereitgestellten vShield Manager-Appliance wiederherstellen.
Sichern von vShield Manager-Daten bei Bedarf
Sie können vShield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen.
Vorgehensweise
1
2
3
Klicken Sie auf [Backups] .
4
(Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events] , wenn Sie die Systemereignistabellen nicht sichern möchten.
5
(Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Logs] , wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten.
6
Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert wird.
7
Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein.
8
Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem
ein.
VMware, Inc.
43
9
Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort
ein.
10
Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen.
11
Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge
ein.
Dieser Text wird dem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbHH_MM_SS_TagTTMonJJJJ.
12
Geben Sie zum Sichern der Sicherungsdatei eine [Pass Phrase] ein.
13
Wählen Sie im Dropdown-Menü [Transfer Protocol] entweder das Protokoll [SFTP] oder das Protokoll
[FTP] aus.
14
Klicken Sie auf [Backup] .
Nach Abschluss der Sicherung wird diese in einer Tabelle unterhalb dieses Formulars angezeigt.
15
Klicken Sie auf [Save Settings] , um die Konfiguration zu speichern.
Planen einer Sicherung von vShield Manager-Daten
Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden.
Vorgehensweise
1
2
3
4
Wählen Sie im Dropdown-Menü [Scheduled Backups] die Option [On] .
5
Wählen Sie im Dropdown-Menü [Backup Frequency] die Option [Hourly] , [Daily] oder [Weekly] .
Je nach ausgewählter Häufigkeit werden die Dropdown-Menüs [Day of Week] , [Hour of Day] und
[Minute] deaktiviert. Wenn Sie beispielsweise [Daily] auswählen, wird das Dropdown-Menü [Day of
Week] deaktiviert, da dieses Feld bei einer täglichen Sicherung nicht zum Tragen kommt.
44
6
(Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events] , wenn Sie die Systemereignistabellen nicht sichern möchten.
7
(Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Log] , wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten.
8
Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert wird.
9
(Optional) Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein.
10
Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem
ein.
11
Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort
ein.
12
Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen.
VMware, Inc.
Kapitel 6 Sichern von vShield Manager-Daten
13
Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge
ein.
Dieser Text wird jedem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem
Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbHH_MM_SS_TagTTMonJJJJ.
14
Wählen Sie im Dropdown-Menü [Transfer Protocol] basierend auf der Unterstützung durch das Zielsystem entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus.
15
Klicken Sie auf [Save Settings] .
Wiederherstellen einer Sicherung
Sie können eine Sicherung nur auf einer neu bereitgestellten vShield Manager-Appliance wiederherstellen.
Zum Wiederherstellen einer verfügbaren Sicherung müssen die Felder [Host IP Address] , [User Name] ,
[Password] und [Backup Directory] auf dem Bildschirm [Backups] über Werte verfügen, die den Speicherort der wiederherzustellenden Sicherung angeben. Wenn die Sicherungsdatei Systemereignisse und Überwachungsprotokolldaten enthält, werden diese Daten ebenfalls wiederhergestellt.
WICHTIG Sichern Sie Ihre aktuellen Daten, bevor Sie eine Sicherungsdatei wiederherstellen.
Vorgehensweise
1
2
3
4
Klicken Sie auf [View Backups] , um alle verfügbaren Sicherungen anzuzeigen, die auf dem Sicherungsserver gespeichert wurden.
5
Aktivieren Sie das Kontrollkästchen für die Sicherung, die Sie wiederherstellen möchten.
6
Klicken Sie auf [Restore] .
7
Klicken Sie zur Bestätigung auf [OK] .
VMware, Inc.
45
46
VMware, Inc.
7
Systemereignisse und
Überwachungsprotokolle
Systemereignisse sind Ereignisse, die sich auf den Betrieb von vShield beziehen. Sie werden generiert, um
Detailinformationen zu Ereignissen bereitzustellen, die während des Betriebs auftreten – beispielsweise ein
Neustart von vShield App oder eine Kommunikationsunterbrechung zwischen vShield App und vShield
Manager. Ereignisse können sich auf den allgemeinen Betrieb (Informational) oder auf einen kritischen Fehler (Critical) beziehen.
n
„Anzeigen des Systemereignisberichts“, auf Seite 47
n
„Ereignisse für virtuelle vShield Manager-Appliance“, auf Seite 47
n
„vShield App-Ereignisse“, auf Seite 48
n
„Grundlegendes zum Syslog-Format“, auf Seite 49
n
„Anzeigen des Überwachungsprotokolls“, auf Seite 49
Anzeigen des Systemereignisberichts
Der vShield Manager sammelt Systemereignisse in einem Bericht.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte [System Events] .
3
Um die Ereignisse zu sortieren, klicken Sie auf oder neben der entsprechenden Spaltenüberschrift auf
.
Ereignisse für virtuelle vShield Manager-Appliance
Die folgenden Ereignisse sind spezifisch für die virtuelle vShield Manager-Appliance.
Tabelle 7‑1. Ereignisse für virtuelle vShield Manager-Appliance
Ausschalten
Einschalten
Schnittstelle nicht verfügbar
Schnittstelle verfügbar
Lokale CLI
Führen Sie den Befehl
show log follow aus.
GUI
–
–
–
–
VMware, Inc.
47
Tabelle 7‑2. Ereignisse für virtuelle vShield Manager-Appliance
CPU
Arbeitsspeicher
Speicher
Lokale CLI
Führen Sie den Befehl show
process monitor aus.
system memory aus.
Führen Sie den Befehl show filesystem aus.
GUI
–
–
–
vShield App-Ereignisse
Die folgenden Ereignisse sind spezifisch für die virtuellen vShield App-Appliances.
Tabelle 7‑3. vShield App-Ereignisse
Schnittstelle nicht verfügbar
Schnittstelle verfügbar
Führen Sie den
Befehl show log
follow aus.
log follow aus.
log follow aus.
–
Siehe „Grundlegendes zum Syslog-Format“,
auf Seite 49.
e1000: mgmt:
e1000_watchdog_task:
NIC Link is Up/Down 100
Mbps Full Duplex. Für ein
Skripting auf dem SyslogServer suchen Sie nach
NIC Link is.
e1000: mgmt:
e1000_watchdog_task: NIC
Link is Up/Down 100 Mbps
Full Duplex. Für ein Skripting auf dem Syslog-Server suchen Sie nach NIC Link is.
Fehler vom Typ
„Heartbeat failure“
im Systemereignisprotokoll. Siehe
„Anzeigen des
Systemereignisberichts“, auf Seite 47.
Siehe „Anzeigen
des aktuellen Systemstatus einer
vShield App“,
auf Seite 164.
Siehe „Anzeigen des aktuellen Systemstatus einer
vShield App“, auf Seite 164.
Siehe „Anzeigen des aktuellen
Systemstatus einer vShield
App“, auf Seite 164.
Ausschalten
Einschalten
Lokale CLI
Führen Sie den Befehl show log
follow aus.
Syslog
GUI
Tabelle 7‑4. vShield App –Appliance-Statusereignisse
CPU
Arbeitsspeicher
Speicher
Lokale CLI
show process monitor aus.
show system memory aus.
show filesystem
aus.
log follow aus.
Syslog
–
–
Siehe „Grundlegendes zum
Syslog-Format“, auf Seite 49.
GUI
1
2
Wählen Sie im Bestandslistenbereich von vShield
Manager den
Host aus, auf dem
vShield App installiert ist.
Klicken Sie unter
[Service Virtual
Machines] auf
neben der virtuellen vShield AppMaschine.
48
Zurücksetzung der Sitzung
aufgrund von DoS, Inaktivität
oder Daten-Timeouts
1
2
Manager den
Host aus, auf dem
Klicken Sie unter
[Service Virtual
Machines] auf
1
2
Manager den
Host aus, auf dem
Klicken Sie unter
[Service Virtual
Machines] auf
1
2
Manager den Host aus, auf
dem vShield App installiert ist.
Klicken Sie unter [Service
Virtual Machines] auf
neben der virtuellen
vShield App-Maschine.
VMware, Inc.
Kapitel 7 Systemereignisse und Überwachungsprotokolle
Grundlegendes zum Syslog-Format
Gilt dies genau so für SPOCK?
Im Syslog-Protokoll aufgezeichnete Systemereignisse weisen das folgende Format auf.
syslog header (timestamp + hostname + sysmgr/)
Timestamp (from the service)
Name/value pairs
Name and value separated by delimiter '::' (double colons)
Each name/value pair separated by delimiter ';;' (double semi-colons)
Die Felder und Typen des Systemereignisses enthalten die folgenden Informationen.
Event ID :: 32 bit unsigned integer
Timestamp :: 32 bit unsigned integer
Application Name :: string
Application Submodule :: string
Application Profile :: string
Event Code :: integer (possible values: 10007 10016 10043 20019)
Severity :: string (possible values: INFORMATION LOW MEDIUM HIGH CRITICAL)
Message ::
Anzeigen des Überwachungsprotokolls
Auf der Registerkarte [Audit Logs] wird eine Ansicht der von allen vShield Manager-Benutzern durchgeführten Aktionen bereitgestellt. vShield Manager speichert Überwachungsprotokolldaten für ein Jahr, anschließend werden die Daten verworfen.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte [Audit Logs] .
3
Klicken Sie auf den Text in der Spalte [Operation] , um die Details des Überwachungsprotokolls anzuzeigen. Sobald Details des Überwachungsprotokolls zur Verfügung stehen, ist der Text in der Spalte
[Operation] anklickbar.
4
Wählen Sie in [Audit Log Change Details] den Eintrag [Changed Rows] , wenn nur Eigenschaften angezeigt werden sollen, deren Werte sich geändert haben, nachdem der Vorgang durchgeführt wurde.
VMware, Inc.
49
50
VMware, Inc.
Verwalten von virtuellen VXLANLeitungen
8
Bei großen Cloud-Bereitstellungen müssen Anwendungen innerhalb von virtuellen Netzwerken möglicherweise logisch isoliert werden. Eine 3-Tier-Anwendung kann beispielsweise mehrere virtuellen Maschinen
haben, die logisch isolierte Netzwerke zwischen den virtuellen Maschinen erfordern. Herkömmliche Netzwerkisolierungstechniken, wie z. B. VLAN (4096 LAN-Segmente über einen 12-Bit-VLAN-Bezeichner), stellen möglicherweise nicht genügend Segmente für solche Bereitstellungen zur Verfügung. Darüber hinaus
sind VLAN-basierte Netzwerke am physischen Fabric gebunden und ihre Mobilität ist eingeschränkt.
Die virtuelle VXLAN-Leitung von vShield ist ein skalierbares, flaches Layer 2-Netzwerksegment. Diese
Funktion bietet Ihnen Netzwerkagilität, indem sie es Ihnen ermöglicht, eine Anwendung auf jedem verfügbaren Cluster bereitzustellen und virtuelle Maschinen im breiteren Rahmen verschieben zu können. Die zugrunde liegende Technologie, als Virtual eXtensible LAN (oder VXLAN) bezeichnet, definiert einen 24-BitLAN-Segmentbezeichner, um Segmentierungen im Ausmaß einer Cloud-Bereitstellung zu bieten. Mithilfe
virtueller VXLAN-Leitungen können Sie Ihre Cloud-Bereitstellungen mit wiederholbaren Pods in unterschiedlichen Subnetzen vergrößern. Das Platzieren von virtuellen Maschinen über verschiedene Cluster hinweg hilft Ihnen, Ihre Netzwerkressourcen voll auszunutzen, ohne dass Sie Kabel neu verlegen müssen.
Folglich bieten virtuelle VXLAN-Leitungen Isolierungen auf Anwendungsebene.
Abbildung 8‑1. Virtuelle VXLAN-Leitungen - Überblick
Virtuelles Netzwerk
VM
VM
VM
Virtuelle Leitung
VM
VM
VXLAN
Distributed
Switches
Sie müssen einen Sicherheitsadministrator sein, um virtuelle VXLAN-Leitungen erstellen zu können.
n
„Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen“, auf Seite 52
n
„Erstellen einer virtuellen VXLAN-Leitung“, auf Seite 53
VMware, Inc.
51
n
„Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung“, auf Seite 56
n
„Testen der Konnektivität einer virtuellen VXLAN-Leitung“, auf Seite 56
n
„Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung“, auf Seite 58
n
„Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen“, auf Seite 58
n
„Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung“, auf Seite 58
n
„Bearbeiten von Netzwerkbereichen“, auf Seite 58
n
„Bearbeiten einer virtuellen VXLAN-Leitung“, auf Seite 60
n
„Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen“, auf Seite 60
Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen
Sie müssen Ihr Netzwerk für virtuelle VXLAN-Leitungen vorbereiten, indem Sie ein Transport-VLAN angeben und IP-Multicast aktivieren. Diese vorbereitenden Schritte müssen nur einmal durchgeführt werden.
Anschließend können Sie mehrere virtuelle VXLAN-Leitungen erstellen.
Voraussetzungen
Gehen Sie die folgende Checkliste durch, um das Erstellen von virtuellen VXLAN-Leitungen in Ihrem Netzwerk vorzubereiten:
n
Stellen Sie sicher, dass Sie über folgende Softwareversionen verfügen:
n
VMware vCenter Server 5.1 oder höher
n
VMware ESX 5.1 oder höher auf jedem Server
n
vSphere Distributed Switch 5.1 oder höher
n
Für die MTU der physischen Infrastruktur müssen mindestens 50 Bytes mehr als für die MTU der vNIC
der virtuellen Maschine angegeben werden
n
Sie erhalten den Multicast-Adressbereich von Ihrem Netzwerkadministrator und dem Segment-ID-Pool
n
Legen Sie in den „vCenter Server Runtime Settings“ die verwaltete IP-Adresse für jeden vCenter Server
fest. Weitere Informationen hierzu finden Sie in der Dokumentation „vCenter Server und Hostverwaltung“.
n
Vergewissern Sie sich, dass DHCP auf VXLAN-Transport-VLANs verfügbar ist
n
„5-Tuple Hash Distribution“ muss für das LACP (Link Aggregation Control Protocol) aktiviert werden
Zuordnen von Clustern mit Distributed Switches
Sie müssen jeden Cluster, der Teil eines virtualisierten Netzwerks werden soll, einem vDS zuordnen. Wenn
Sie einem Switch einen Cluster zuordnen, wird jeder Host in diesem Cluster für virtuelle VXLAN-Leitungen
aktiviert.
Voraussetzungen
Es wird empfohlen, einen konsistenten Switch-Typ (Anbieter usw.) und eine konsistente Version über einen
Netzwerkbereich hinweg zu verwenden. Inkonsistente Switch-Typen können ein nicht definiertes Verhalten
in Ihrer virtuellen VXLAN-Leitung verursachen.
Vorgehensweise
52
1
2
VMware, Inc.
Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen
3
4
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden.
5
Klicken Sie unter „Connectivity“ auf [Edit.]
Das Dialogfeld [Prepare Infrastructure for VXLAN networking] wird angezeigt.
6
Wählen Sie die Cluster aus, die in das virtuelle Netzwerk aufgenommen werden sollen.
7
Geben Sie für jeden ausgewählten Cluster das VLAN ein, das für den VXLAN-Transport verwendet
wird.
Informationen über das Abrufen der VLAN-ID des VXLAN-VLAN finden Sie in der Dokumentation
zum vSphere-Netzwerk.
8
9
Geben Sie unter „Specify Transport Attributes“ für jeden virtuellen Distributed Switch die MTU (Maximum Transmission Units) ein. Unter MTU versteht man die maximale Menge der Daten, die in einem
Paket übertragen werden kann, bevor es in kleinere Pakete aufgeteilt wird. VXLAN-Datenverkehrs-Frames sind aufgrund der Verkapselung etwas größer, sodass die MTU für jeden Switch auf mindestens
1550 festgelegt werden muss.
10
Klicken Sie auf [Beenden] .
Sie haben jetzt Ihre Rechenressourcen in einem Pool zusammengefasst und können nunmehr bei Bedarf virtuelle VXLAN-Leitungen erstellen.
Zuweisen des Segment-ID-Pools und des Multicast-Adressbereichs zu vShield
Manager
Sie müssen einen Segment-ID-Pool angeben, um Ihren Netzwerkdatenverkehr zu isolieren, und einen Multicast-Adressbereich, um den Datenverkehr im Netzwerk zu verteilen, um zu verhindern, dass eine einzelne
Multicast-Adresse überladen wird.
Vorgehensweise
1
2
3
4
5
Klicken Sie auf die Registerkarte [Segment ID] .
6
Das Dialogfeld „Edit Settings“ wird geöffnet.
7
Geben Sie einen Bereich für Segment-IDs ein. Beispiel: 5000-5200.
8
Geben Sie einen Adressbereich ein. Beispiel: 224.1.1.50-224.1.1.60.
9
Erstellen einer virtuellen VXLAN-Leitung
Voraussetzungen
Ihr Netzwerk ist jetzt für das Hinzufügen von virtuellen VXLAN-Leitungen vorbereitet.
VMware, Inc.
53
Hinzufügen eines Netzwerkbereichs
Bei einem Netzwerkbereich handelt es sich um den Computing-Wirkungsbereich, der von Ihrem virtualisierten Netzwerk überbrückt wird und möglicherweise mehrere virtuelle VXLAN-Leitungen enthält.
Vorgehensweise
1
2
3
4
Klicken Sie auf die Registerkarte [Network Scopes] .
5
).
Das Dialogfeld „Add Network Scope“ wird angezeigt.
6
Geben Sie einen Namen für den Netzwerkbereich ein.
7
Geben Sie eine Beschreibung für den Netzwerkbereich ein.
8
Wählen Sie die Cluster aus, die Sie dem Netzwerkbereich hinzufügen möchten.
9
Hinzufügen einer virtuellen VXLAN-Leitung
Nachdem Sie das VXLAN-Fabric vorbereitet haben, können Sie eine virtuelle VXLAN-Leitung hinzufügen.
Eine virtuelle VXLAN-Leitung sorgt für die erforderliche Netzwerkabstraktion, sodass die vNICs einer virtuellen Maschine stets eine virtuelle VXLAN-Leitung für die Konnektivität zur Außenwelt verwenden.
Voraussetzungen
1
Ihr Netzwerk ist jetzt für das Hinzufügen von virtuellen VXLAN-Leitungen vorbereitet.
2
Sie haben einen Netzwerkbereich hinzugefügt.
Vorgehensweise
1
2
3
4
Klicken Sie auf die Registerkarte [Networks] .
5
Klicken Sie auf das Symbol [Add] .
6
Geben Sie einen Namen für die virtuelle VXLAN-Leitung ein.
7
Geben Sie eine Beschreibung für die virtuelle VXLAN-Leitung ein.
8
Wählen Sie den Netzwerkbereich aus, in dem Sie das virtualisierte Netzwerk erstellen möchten. Im Bereich „Scope Details“ werden die Cluster, die Teil des ausgewählten Netzwerkbereichs sind, und die
Dienste, die in dem Netzwerkbereich zu Bereitstellung zur Verfügung stehen, angezeigt.
9
Weiter
Klicken Sie in der Spalte „Name“ auf die virtuelle VXLAN-Leitung, um Details zur virtuellen Leitung anzuzeigen.
54
VMware, Inc.
Verbinden einer virtuellen VXLAN-Leitung mit vShield Edge
Durch das Verbinden einer virtuellen VXLAN-Leitung mit einer vShield Edge-Schnittstelle wird die virtuelle VXLAN-Leitung isoliert und die Netzwerk-Edge-Sicherheit erhöht.
Vorgehensweise
1
2
3
4
5
Wählen Sie die virtuelle VXLAN-Leitung aus, mit der Sie vShield Edge verbinden möchten.
6
Klicken Sie auf das Symbol [More Actions] (
) und wählen Sie [Connect to Edge] .
7
Wählen Sie die vShield Edge-Instanz aus, mit der Sie die virtuelle VXLAN-Leitung verbinden möchten.
8
Klicken Sie auf [Auswählen] .
9
Klicken Sie im Dialogfeld „Redirect to Selected Edge“ auf [Continue] .
10
Geben Sie im Dialogfeld „Edit Edge Interface“ einen Namen für die vShield Edge-Schnittstelle ein.
11
Wählen Sie [Internal] bzw. [Uplink] , um anzugeben, ob es sich um eine interne oder eine UplinkSchnittstelle handelt.
Eine virtuelle VXLAN-Leitung wird in der Regel mit einer internen Schnittstelle verbunden.
12
Der Name der virtuelle VXLAN-Leitung wird im Bereich [Connected To] angezeigt.
13
Wählen Sie den Konnektivitätsstatus für die Schnittstelle aus.
14
Wenn bei der vShield Edge-Instanz, mit der Sie die virtuelle VXLAN-Leitung verbinden, „Manual HA
Configuration“ ausgewählt ist, geben Sie zwei Verwaltungs-IP-Adressen im CIDR-Format ein.
15
Bearbeiten Sie die standardmäßige MTU, falls erforderlich.
16
Bereitstellen von Diensten auf einer virtuellen VXLAN-Leitung
Sie können Dienste von Drittanbietern auf einer virtuellen VXLAN-Leitung bereitstellen.
Voraussetzungen
Informationen zum Hinzufügen von Diensten zu vShield Manager finden Sie unter „Einfügen von Netzwerkdiensten“, auf Seite 157.
Vorgehensweise
1
2
3
4
5
Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, auf der Sie Dienste bereitstellen möchten.
6
Klicken Sie im Bereich [Available Services] auf [Enable Services] .
VMware, Inc.
55
7
Wählen Sie im Dialogfeld „Apply Service Profile to this Network“ den Dienst und das Dienstprofil aus,
die Sie anwenden möchten.
8
Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung
Sie können virtuelle Maschinen mit einer virtuellen VXLAN-Leitung verbinden. Dadurch ist es einfacher, in
Ihrer vCenter-Bestandsliste die Portgruppen zu identifizieren, die zu einer virtuellen Leitung gehören.
Vorgehensweise
1
2
3
4
5
Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie bearbeiten möchten.
6
Klicken Sie auf die Registerkarte [Virtuelle Maschinen (Virtual Machines)] .
7
8
).
Geben Sie im Feld „Search“ des Dialogfelds „Connect VNics to this Network“ den Namen der virtuellen Maschine ein und klicken Sie auf
.
Es werden alle vNICs für die virtuelle Maschine angezeigt.
9
Wählen Sie die vNICs aus, die Sie verbinden möchten.
10
11
Überprüfen Sie die von Ihnen ausgewählten vNICs.
12
Testen der Konnektivität einer virtuellen VXLAN-Leitung
Sie können auf einer virtuellen VXLAN-Leitung einen Ping-oder Broadcast-Test durchführen, um die Konnektivität und die physische Leitungsinfrastruktur für VXLAN zu überprüfen.
Durchführen des Ping-Tests
Sie können einem Zielhost von einem Quellhost aus einen Ping-Befehl senden, bevor Sie ein Unicast-Paket
senden.
1
2
3
4
5
Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie testen möchten.
6
Klicken Sie auf die Registerkarte [Hosts] .
7
Markieren Sie einen Host.
8
56
) und wählen Sie [Test Connectivity] .
VMware, Inc.
Das Dialogfeld „Test Connectivity Between Hosts in the Network“ wird geöffnet. Der in Schritt 7 ausgewählte Host wird im Feld „Source Host“ angezeigt. Klicken Sie auf [Browse] , wenn Sie einen anderen Quellhost auswählen möchten.
9
Wählen Sie die Größe des Testpakets.
Die Standardgröße bei VXLAN beträgt 1550 Bytes ohne Fragmentierung (sollte mit den MTU der physischen Infrastruktur übereinstimmen). Dies ermöglicht vShield, die Konnektivität zu überprüfen und sicherzustellen, dass die Infrastruktur für den VXLAN-Verkehr vorbereitet ist.
Eine minimale Paketgröße führt zu Fragmentierung. Demzufolge kann vShield nur die Konnektivität
prüfen, jedoch nicht, ob die Infrastruktur für größere Rahmengrößen eingerichtet ist.
10
Klicken Sie im Fenster [Destination] auf [Browse Hosts] .
11
Wählen Sie im Dialogfeld „Select Host“ den Zielhost aus.
12
13
Klicken Sie auf [Start Test] .
Die Ergebnisse des Host-to-Host-Ping-Tests werden angezeigt.
Durchführen des Broadcast-Tests
Sie können einen Broadcast-Test durchführen, um MAC-Adressen aufzulösen. Ein einzelner Host sendet eine Broadcast-Nachricht an alle anderen Geräte in dem Netzwerksegment.
1
2
3
4
5
Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, die Sie testen möchten.
6
Klicken Sie auf die Registerkarte [Hosts] .
7
Markieren Sie einen Host.
8
9
) und wählen Sie [Test Connectivity] .
Klicken Sie im Dialogfeld „Test Connectivity Between Hosts in the Network“ auf [Broadcast] .
Der in Schritt 7 ausgewählte Host wird im Feld „Source Host“ angezeigt. Klicken Sie auf [Browse] ,
wenn Sie einen anderen Quellhost auswählen möchten.
10
Wählen Sie die Größe des Testpakets.
Die Standardgröße bei VXLAN beträgt 1550 Bytes ohne Fragmentierung (sollte mit den MTU der physischen Infrastruktur übereinstimmen). Dies ermöglicht vShield, die Konnektivität zu überprüfen und sicherzustellen, dass die Infrastruktur für den VXLAN-Verkehr vorbereitet ist.
Eine minimale Paketgröße führt zu Fragmentierung. Demzufolge kann vShield die Konnektivität der
Infrastruktur prüfen, jedoch nicht, ob die Infrastruktur für größere Rahmengrößen eingerichtet ist.
11
Klicken Sie auf [Start Test] .
Die Ergebnisse des Broadcast-Tests werden angezeigt.
VMware, Inc.
57
Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung
Flow Monitoring ist ein Tool zur Datenverkehrsanalyse, das Ihnen detaillierte Informationen zum Datenverkehr auf Ihrer virtuellen VXLAN-Leitung liefert, der eine vShield App-Instanz durchläuft. Die Flow Monitoring-Ausgabe zeigt, welche Maschinen Daten über welche Anwendung austauschen. Diese Daten umfassen
die Anzahl von Sitzungen und Paketen sowie die Bytes, die pro Sitzung übertragen werden. Die Sitzungsdetails umfassen die Quellen, Ziele, Sitzungsrichtungen und Anwendungen sowie die verwendeten Ports.
Anhand der Sitzungsdetails können Firewallregeln für das Zulassen oder Blockieren von Datenverkehr erstellt werden.
Sie können Flow Monitoring als forensisches Tool zum Ermitteln von nicht autorisierten Diensten sowie
zum Untersuchen ausgehender Sitzungen nutzen. Flow Monitoring-Daten stehen für zwei Wochen zur Verfügung.
Flow Monitoring-Daten sind nur dann verfügbar, wenn Sie auf den Hosts in den Clustern mit virtuellen
VXLAN-Leitungen vShield App installiert haben.
Weitere Informationen finden Sie unter Kapitel 12, „vShield App Flow Monitoring“, auf Seite 167.
Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen
vShield App bietet Firewall-Schutz für Ihre virtuellen VXLAN-Leitungen, indem Zugriffsrichtlinien erzwungen werden.
Weitere Informationen finden Sie unter Kapitel 13, „vShield App Firewall-Management“, auf Seite 175.
Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung
Nach der Synchronisierung mit vCenter Server erfasst vShield Manager auf jeder virtuellen Maschine die
IP-Adressen aller virtuellen vCenter-Gastmaschinen von VMware Tools. vShield vertraut nicht allen IP-Adressen, die von VMware Tools auf einer virtuellen Maschine bereitgestellt wurden. Wenn die Sicherheit einer virtuellen Maschine gefährdet wurde, kann die IP-Adresse manipuliert worden sein. Demzufolge könnten Übertragungen mit böswilligen Absichten Firewallrichtlinien umgehen.
SpoofGuard ermöglicht die Autorisierung der von den VMware Tools gemeldeten IP-Adressen und bei Bedarf deren Änderung, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig
den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden.
SpoofGuard wird getrennt von den App Firewall-Regeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde.
Weitere Informationen finden Sie unter „Verwenden von SpoofGuard“, auf Seite 183.
Bearbeiten von Netzwerkbereichen
Sie können einen Netzwerkbereich bearbeiten, erweitern oder verkleinern.
Anzeigen und Bearbeiten eines Netzwerkbereichs
Sie können die virtuellen VXLAN-Leitungen und die Cluster in einem ausgewählten Netzwerkbereich sowie die für den Netzwerkbereich verfügbaren Dienste anzeigen.
Vorgehensweise
58
1
2
3
VMware, Inc.
4
Klicken Sie auf die Registerkarte [Network Scope] .
Alle Netzwerkbereiche für das ausgewählte Datencenter werden angezeigt.
5
Klicken Sie in der Spalte [Name] auf einen Netzwerkbereich.
Auf der Registerkarte „Summary“ werden folgende Informationen angezeigt. Klicken Sie im entsprechenden Abschnitt auf [Edit] , wenn Sie Änderungen vornehmen möchten.
n
Der Abschnitt „Properties“ enthält den Namen und die Beschreibung des Netzwerkbereichs sowie
die Anzahl der auf diesem Netzwerkbereich basierenden virtuellen VXLAN-Leitungen.
n
Der Abschnitt „Network Scope“ führt die Cluster in dem Netzwerkbereich auf und informiert darüber, ob diese für ein virtualisiertes Netzwerk bereit sind (ob sie einem vDS zugeordnet wurden).
n
Der Abschnitt „Available Services“ enthält die für den Netzwerkbereich verfügbaren Dienste.
Erweitern eines Netzwerkbereichs
Sie können Cluster zu einem Netzwerkbereich hinzufügen. Dadurch werden alle vorhandenen virtuellen
VXLAN-Leitungen gestreckt, sodass sie den neu hinzugefügten Clustern zur Verfügung stehen.
Voraussetzungen
Die Cluster, die Sie einem Netzwerkbereich hinzufügen, müssen vorbereitet werden. Siehe „Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen“, auf Seite 52.
Vorgehensweise
1
2
3
4
5
6
Klicken Sie unter [Scope Details] auf [Expand] .
Das Dialogfeld „Add Clusters to a Network Scope (Expand)“ wird geöffnet.
7
Wählen Sie die Cluster aus, die Sie dem Netzwerkbereich hinzufügen möchten.
8
Verkleinern eines Netzwerkbereichs
Sie können Cluster aus einem Netzwerkbereich entfernen. Vorhandene virtuelle VXLAN-Leitungen können
verkürzt werden, um den kontrahierten Bereich aufzunehmen.
Vorgehensweise
1
2
3
4
5
VMware, Inc.
59
6
Klicken Sie unter [Scope Details] auf [Contract] .
Das Dialogfeld „Remove Clusters from a Network Scope (Contract)“ wird geöffnet.
7
Wählen Sie die Cluster aus, die Sie aus dem Netzwerkbereich entfernen möchten.
8
Bearbeiten einer virtuellen VXLAN-Leitung
Sie können den Namen und die Beschreibung einer virtuellen VXLAN-Leitung bearbeiten.
Vorgehensweise
1
2
3
4
5
Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie bearbeiten möchten.
6
7
8
Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen
Dieses Szenario stellt eine Situation dar, in der das Unternehmen ACME Enterprise im ACME-Datencenter
über zwei Cluster mit mehreren ESX-Hosts verfügt. Die Engineering-Abteilung (mit der Portgruppe „PGEngineering“) sowie die Finance-Abteilung (mit der Portgruppe „PG-Finance“) befinden sich auf Cluster1.
Die Marketing-Abteilung (PG-Marketing) verwendet Cluster2. Beide Cluster werden von einem einzelnen
vCenter Server 5.1 verwaltet.
Abbildung 8‑2. Netzwerk von ACME Enterprise vor der Implementierung virtueller VXLAN-Leitungen
Cluster 2
Cluster 1
VM
VM
VM
VM
PGEngineering
VM
VM
PGFinance
vDS1
Physischer Switch
VM
PGMarketing
vDS2
Physischer Switch
Engineering: VLAN10:10.10.1.0/24
Finanz: VLAN20:10.20.1.0/24
Marketing: VLAN30:10.30.1.0/24
60
VMware, Inc.
ACME verfügt auf Cluster1 über unzureichende Rechenressourcen, während Cluster2 nicht ausgelastet ist.
Der Netzwerk-Supervisor von ACME bittet Peter Admin (Virtualisierungsadministrator bei ACME) zu ermitteln, wie eine Nutzung der Cluster2-Maschinen durch die Engineering-Abteilung aussehen könnte, bei
der die virtuellen Maschinen der Engineering-Abteilung auf beiden Clustern miteinander kommunizieren.
Dies würde es ACME ermöglichen, durch Ausdehnen der L2-Schicht die Rechenkapazität beider Cluster zu
nutzen.
Wenn Peter Admin diese Aufgabenstellung auf eine herkömmliche Weise lösen würde, müsste er die beiden VLANs auf eine besondere Weise verbinden, um beiden Clustern die Zugehörigkeit zur selben L2-Domäne zu ermöglichen. Das würde bedeuten, dass ACME ein neues physisches Gerät für die Trennung des
Datenverkehrs anschaffen müsste, und es würde Probleme wie VLAN-Sprawl, Netzwerk-Loops sowie einen Mehraufwand bei Administrations- und Management-Aufgaben nach sich ziehen.
Peter Admin erinnert sich an die Demo zu virtuellen VXLAN-Leitungen, die er auf der VMworld 2011 gesehen hat, und beschließt, vShield Version 5.1 zu testen. Er kommt zu dem Schluss, dass ihm der Aufbau einer
virtuellen VXLAN-Leitung zwischen dvSwitch1 und dvSwitch2 ermöglichen wird, die L2-Schicht bei ACME auszuweiten.
Abbildung 8‑3. ACME Enterprise implementiert eine virtuelle VXLAN-Leitung
Cluster 2
Cluster 1
Virtuelle Leitung erstreckt sich über mehrere VLANs/Subnetze
VM
VM
VM
VM
PGEngineering
VM
VM
PGFinance
vDS1
Physischer Switch
VM
VM
VM
VM
VM
VM
PGEngineering
PGMarketing
vDS2
Physischer Switch
Engineering: VXLAN5000:10.10.1.0/24
Finanz: VXLAN5001:10.20.1.0/24
Marketing: VXLAN5002:10.30.1.0/24
Nachdem Peter Admin die virtuelle VXLAN-Leitung zwischen den beiden Clustern eingerichtet hat, kann
er die virtuellen Maschinen mithilfe von vMotion über die vDSes verschieben.
VMware, Inc.
61
Abbildung 8‑4. vMotion über eine virtuelle VXLAN-Leitung
vMotion-Bereich
VM
VM
VM
VM
PGEngineering
vMotion-Bereich
VM
VM
PGFinance
VM
VM
VM
VM
VM
PGEngineering
PGMarketing
vDS1
VM
vDS2
Engineering: VXLAN5000:10.10.1.0/24
Finanz: VXLAN5001:10.20.1.0/24
Marketing: VXLAN5002:10.30.1.0/24
Lassen Sie uns nachvollziehen, welche Schritte Peter Admin durchführen muss, um bei ACME Enterprise
eine virtuelle VXLAN-Leitung aufbauen.
Peter Admin ordnet Distributed Switches einem Cluster zu
Peter Admin muss jeden Cluster, der Teil eines virtualisierten Netzwerks werden soll, einem vDS zuordnen.
Wenn er einem Switch einen Cluster zuordnet, wird jeder Host in diesem Cluster für die Verwendung virtueller VXLAN-Leitungen befähigt.
Voraussetzungen
1
Peter Admin erhält vom Administrator für vShield Manager bei ACME einen Segment-ID-Pool (4097 5010). Vom Netzwerkadministrator bei ACME erhält er einen Multicast-Adressbereich (224.0.0.0 bis
239.255.255.255).
2
Peter Admin legt die verwaltete IP-Adresse für vCenter Server fest.
a
Auswählen [Administration] > [vCenter Server Settings] > [Runtime Settings] .
b
In Geben Sie in das Feld „vCenter Server Managed IP“ 10.115.198.165 ein.
c
3
Peter Admin stellt sicher, dass in den für den VXLAN-Transport verwendeten VLANs ein DHCP-Server verfügbar ist.
4
Peter Admin verifiziert, dass dvSwitch1 und dvSwitch2 über dieselbe Version verfügen und vom selben Anbieter stammen.
Vorgehensweise
62
1
2
Wählen Sie im Bestandslistenbereich „ACME-Datencenter“ aus.
3
4
5
Klicken Sie unter „Connectivity“ auf [Edit] .
VMware, Inc.
6
Wählen Sie im Dialogfeld „Prepare Infrastructure for VXLAN Networking“ die Option „Cluster1“ für
den Anschluss an die virtuelle VXLAN-Leitung aus.
7
Geben Sie 10 für das ACME-VXLAN-Transport-VLAN ein, das von dvSwitch1 verwendet werden soll.
8
9
Behalten Sie unter „Specify Transport Attributes“ für dvSwitch1 den Wert „1600“ als „Maximum Transmission Units (MTU)“ bei.
Unter MTU versteht man die maximale Menge der Daten, die in einem Paket übertragen werden kann,
bevor es in kleinere Pakete aufgeteilt wird. Peter Admin weiß, dass Datenverkehr-Frames bei virtuellen
VXLAN-Leitungen aufgrund der Verkapselung etwas größer sind. Demzufolge muss der MTU-Wert
für jeden Switch 1550 oder mehr betragen.
10
Wiederholen Sie die Schritte 5 bis 7 und wählen Sie „Cluster2“ für den Anschluss an die virtuelle
VXLAN-Leitung aus.
11
Geben Sie für dvSwitch2 in „Specify Transport Attributes“ den Wert 20 ein.
12
Behalten Sie für dvSwitch2 den Wert „1600“ als „Maximum Transmission Units (MTU)“ bei.
13
Nachdem Peter Admin Cluster1 und Cluster2 den entsprechenden Switches zugeordnet hat, sind die Hosts
in diesen Clustern für virtuelle VXLAN-Leitungen vorbereitet:
1
Jedem Host im Cluster1 und Cluster2 wird ein VXLAN-Kernelmodul und eine VMKNIC hinzugefügt.
2
Auf dem der virtuellen VXLAN-Leitung zugeordneten vDS wird eine spezielle dvPortGroup erstellt,
mit der die VMKNIC verbunden wird.
Peter Admin weist vShield Manager einen Segment-ID-Pool und einen
Multicast-Adressbereich zu
Peter Admin muss den Segment-ID-Pool angeben, den er für die Isolierung des Netzwerkdatenverkehrs der
Firma ABC erhalten hat, sowie den Multicast-Adressbereich für das Verteilen des Datenverkehrs im Netzwerk, um die Überlastung einer einzelnen Multicast-Adresse zu vermeiden.
Vorgehensweise
1
2
Wählen Sie im Bestandslistenbereich „ABC-Datencenter“ aus.
3
4
5
Klicken Sie auf die Registerkarte [Segment ID] .
6
Das Dialogfeld „Edit Settings“ wird geöffnet.
7
Geben Sie in „Segment ID Pool“ 500-510 ein.
8
Geben Sie unter „Multicast Addresses“ 224.1.1.50-224.1.1.60 ein.
9
VMware, Inc.
63
Peter Admin fügt einen Netzwerkbereich hinzu
Das physische Netzwerk, das eine virtuelle VXLAN-Leitung stützt, wird Netzwerkbereich genannt. Bei einem Netzwerkbereich handelt es sich um den von einem virtualisierten Netzwerk umfassten ComputingWirkungsbereich.
Vorgehensweise
1
2
3
4
Klicken Sie auf die Registerkarte [Network Scopes] .
5
).
Das Dialogfeld „Add Network Scope“ wird angezeigt.
6
Geben Sie im Feld „Name“ [ACME‐Netzwerkbereich] ein.
7
Geben Sie im Feld „Description“ [Bereich mit ACME‐Clustern] ein.
8
Wählen Sie Cluster1 und Cluster2 aus, um sie dem Netzwerkbereich hinzuzufügen.
9
Peter Admin fügt eine virtuelle VXLAN-Leitung hinzu
Nachdem Peter Admin das Fabric für eine virtuelle VXLAN-Leitung vorbereitet hat, kann er eine virtuelle
VXLAN-Leitung hinzufügen. Eine virtuelle VXLAN-Leitung sorgt für die erforderliche Netzwerkabstraktion, sodass die vNICs einer virtuellen VXLAN-Leitung diese immer für die Verbindung zur Außenwelt verwenden.
Voraussetzungen
1
Das ACME-Netzwerk ist jetzt für die Aufnahme virtueller VXLAN-Leitungen vorbereitet.
2
Peter Admin hat einen Netzwerkbereich hinzugefügt.
Vorgehensweise
1
2
3
4
5
Klicken Sie auf das Symbol [Add] .
6
Geben Sie im Feld „Name“ Virtuelle ACME-Leitung ein.
7
Geben Sie im Feld „Description“
Virtuelle Leitung zur Erweiterung des ACME-Engineering-Netzwerks auf Cluster 2 ein.
8
Wählen Sie unter [Network Scope] „ACME-Netzwerkbereich“ aus.
9
Überprüfen Sie die Details des Netzwerkbereichs.
10
vShield generiert eine virtuelle VXLAN-Leitung, die zwischen dvSwitch1 und dvSwitch2 L2-Konnektivität (über VXLANs) bereitstellt.
64
VMware, Inc.
Weiter
Peter Admin kann nun die bei ACME für die Produktion verwendeten virtuellen Maschinen mit der virtuellen VXLAN-Leitung verbinden und diese an eine vShield Edge anschließen.
VMware, Inc.
65
66
VMware, Inc.
vShield Edge-Management
9
vShield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Ma®
schinen in einer Portgruppe, vDS-Portgruppe oder einem Cisco Nexus 1000V-Switch. vShield Edge verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen
Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vShield Edge umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vShield Edge Perimeter-Sicherheit für virtuelle Datencenter (VDCs) bietet.
n
„Anzeigen des Status einer vShield Edge-Instanz“, auf Seite 68
n
„Konfigurieren der vShield Edge-Einstellungen“, auf Seite 68
n
„Verwalten von Appliances“, auf Seite 68
n
„Arbeiten mit Schnittstellen“, auf Seite 70
n
„Arbeiten mit Zertifikaten“, auf Seite 73
n
„Verwalten der vShield Edge-Firewall“, auf Seite 76
n
„Verwalten von NAT-Regeln“, auf Seite 82
n
„Arbeiten mit statischen Routen“, auf Seite 84
n
„Verwalten des DHCP-Diensts“, auf Seite 85
n
„Verwalten von VPN-Diensten“, auf Seite 88
n
„Verwalten des Lastverteilerdiensts“, auf Seite 146
n
„Grundlegendes zu High Availability“, auf Seite 151
n
„Konfigurieren von DNS-Servern“, auf Seite 152
n
„Konfigurieren von Remote-Syslog-Servern“, auf Seite 153
n
„Ändern der CLI-Anmeldedaten“, auf Seite 153
n
„Durchführen eines Upgrades von vShield Edge auf Large oder X-Large“, auf Seite 154
n
„Herunterladen von Tech Support-Protokollen für vShield Edge“, auf Seite 154
n
„Synchronisieren von vShield Edge mit vShield Manager“, auf Seite 155
n
„Erneutes Bereitstellen von vShield Edge“, auf Seite 155
VMware, Inc.
67
Anzeigen des Status einer vShield Edge-Instanz
Die Statusseite enthält Diagramme für den Datenverkehr, der über die Schnittstellen der ausgewählten
vShield Edge-Instanz fließt, sowie Verbindungsstatistiken für die Firewall- und Lastausgleichsdienste.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Link [Edges] .
5
Doppelklicken Sie auf die vShield Edge-Instanz, deren Status Sie überprüfen möchten.
6
Klicken Sie auf die Registerkarte [Status] .
Konfigurieren der vShield Edge-Einstellungen
Auf der Seite „Settings“ werden detaillierte Informationen über die ausgewählte vShield Edge-Instanz angezeigt.
Vorgehensweise
1
Navigieren Sie im vSphere-Client zu [Inventory] > [Hosts and Clusters] .
2
3
4
5
6
Klicken Sie auf den Link [Settings] .
Angezeigt werden vShield Edge-Details, für die vShield Edge-Instanz konfigurierte Dienste sowie die
HA- und DNS-Konfigurationen.
Weiter
Sie können die gewünschte Konfiguration ändern, indem Sie auf [Change] klicken.
Verwalten von Appliances
Sie können Appliances hinzufügen, bearbeiten oder löschen. Eine vShield Edge-Instanz bleibt offline, bis ihr
wenigstens eine Appliance hinzugefügt wurde.
Hinzufügen einer Appliance
Sie müssen mindestens eine Appliance zu vShield Edge hinzufügen, bevor Sie sie bereitstellen können.
Vorgehensweise
68
1
2
3
4
VMware, Inc.
Kapitel 9 vShield Edge-Management
5
6
7
Klicken Sie unter [Edge Appliances] auf das [Add] -Symbol (
).
8
Wählen Sie im Dialogfeld „Add Edge Appliance“ den Cluster oder den Ressourcenpool sowie den Datenspeicher für die Appliance aus.
9
(Optional) Wählen Sie den Host aus, auf dem die Appliance hinzugefügt werden soll.
10
(Optional) Wählen Sie den vCenter-Ordner aus, in dem die Appliance hinzugefügt werden soll.
11
Ändern einer Appliance
Sie können eine vShield Edge-Appliance ändern.
Vorgehensweise
1
2
3
4
5
6
7
Wählen Sie unter [Edge Appliances] die zu ändernde Appliance aus.
8
Klicken Sie auf das Symbol [Edit] (
).
9
Nehmen Sie im Dialogfeld „Edit Edge Appliance“ die entsprechenden Änderungen vor.
10
Klicken Sie auf [Save] .
Löschen einer Appliance
Sie können eine vShield Edge-Appliance löschen.
Vorgehensweise
1
2
3
4
5
6
7
Wählen Sie unter [Edge Appliances] die zu löschende Appliance aus.
8
VMware, Inc.
Klicken Sie auf das Symbol [Delete] (
).
69
Arbeiten mit Schnittstellen
Sie installieren eine vShield Edge-Instanz auf einem Datencenter und können bis zu zehn interne oder
Uplink-Schnittstellen hinzufügen. Eine vShield Edge-Instanz muss über mindestens eine interne Schnittstelle verfügen, bevor sie bereitgestellt werden kann.
Hinzufügen einer Schnittstelle
Sie können einer virtuellen vShield Edge-Instanz bis zu zehn interne und Uplink-Schnittstellen hinzufügen.
Sie müssen mindestens eine interne Schnittstelle hinzufügen, damit HA funktioniert.
Vorgehensweise
1
2
3
4
5
6
7
Klicken Sie auf den Link [Interfaces] .
8
).
9
Geben Sie im Dialogfeld „Add Edge Interface“ einen Namen für die Schnittstelle ein.
10
Wählen Sie [Internal] bzw. [Uplink] , um anzugeben, ob es sich um eine interne oder eine externe
Schnittstelle handelt.
11
Wählen Sie die Portgruppe oder die virtuelle VXLAN-Leitung aus, mit der diese Schnittstelle verbunden werden soll.
12
13
a
Klicken Sie auf [Select] neben dem Feld [Connected To] .
b
Klicken Sie je nachdem, womit die Schnittstelle verbunden werden soll, auf die Registerkarte [Vir‐
tual Wire] , [Standard Portgroup] oder [Distributed Portgroup] .
c
Wählen Sie die entsprechende virtuelle Leitung oder Portgruppe aus.
d
Wählen Sie den Konnektivitätsstatus für die Schnittstelle aus.
Klicken Sie unter [Configure Subnets] auf das Symbol [Add] (
hinzuzufügen.
), um der Schnittstelle ein Subnetz
Eine Schnittstelle kann über mehrere nicht überlappende Subnetze verfügen.
14
Klicken Sie unter [Add Subnet] auf das Symbol [Add] (
), um eine IP-Adresse einzugeben.
Wenn Sie mehr als eine IP-Adresse eingeben, können Sie die primäre IP-Adresse auswählen. Eine
Schnittstelle kann eine primäre und mehrere sekundäre IP-Adressen haben. vShield Edge betrachtet die
primäre IP-Adresse als die Quelladresse für den lokal generierten Datenverkehr.
Sie müssen der Schnittstelle zuerst eine IP-Adresse hinzufügen, bevor Sie sie für jede beliebige Funktionskonfiguration verwenden können.
70
15
Geben Sie die Subnetzmaske für die Schnittstelle ein und klicken Sie auf [Save] .
16
Ändern Sie die standardmäßige MTU, falls erforderlich.
VMware, Inc.
17
Wählen Sie unter [Options] die erforderlichen Optionen aus.
Option
Beschreibung
Enable Proxy ARP
Unterstützt das Überlappen der Netzwerkweiterleitung zwischen verschiedenen Schnittstellen.
Send ICMP Redirect
Leitet Routing-Informationen an Hosts weiter.
18
Geben Sie die Fence-Parameter ein und klicken Sie auf [Add] .
19
Wiederholen Sie die Schritte Schritt 8 bis Schritt 18, um weitere Schnittstellen hinzuzufügen.
Ändern von Schnittstelleneinstellungen
Sie können die Portgruppe oder die virtuelle Leitung, mit der eine Schnittstelle verbunden ist, ändern und
die IP-Adressen der Schnittstelle aktualisieren.
Vorgehensweise
1
2
3
Klicken Sie auf die Registerkarte [Edge] .
4
5
6
Klicken Sie auf [Interfaces] .
7
).
8
Nehmen Sie die erforderlichen Änderungen vor.
9
Löschen einer Schnittstelle
Sie können eine vShield Edge-Schnittstelle löschen.
Vorgehensweise
1
2
3
4
5
6
7
Klicken Sie auf den Link [Interfaces]
8
Wählen Sie die zu löschende Schnittstelle.
9
VMware, Inc.
)
71
Aktivieren einer Schnittstelle
Eine Schnittstelle muss aktiviert sein, damit vShield Edge die virtuellen Maschinen innerhalb dieser Schnittstelle (Portgruppe oder virtuelle VXLAN-Leitung) isolieren kann.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie die zu aktivierende Schnittstelle aus.
9
Klicken Sie auf das Symbol [Enable] (
).
Deaktivieren einer Schnittstelle
Sie können eine Schnittstelle deaktivieren
Vorgehensweise
72
1
2
3
4
5
6
7
8
Wählen Sie die zu deaktivierende Schnittstelle aus.
9
Klicken Sie auf das Symbol [Disable] .
VMware, Inc.
Arbeiten mit Zertifikaten
vShield Edge unterstützt selbstsignierte Zertifikate, von einer Zertifizierungsstelle (CA) signierte Zertifikate
und Zertifikate, die von einer Zertifizierungsstelle generiert und signiert wurden.
Konfigurieren eines von einer Zertifizierungsstelle signierten Zertifikats
Sie können eine Signaturanforderung (CSR) generieren und sie von einer Zertifizierungsstelle signieren lassen. Wenn Sie eine CSR auf globaler Ebene generieren, steht sie allen vShield Edge-Instanzen in Ihrer Bestandsliste zur Verfügung.
Vorgehensweise
1
Option
Beschreibung
So generieren Sie ein globales Zertifikat
a
So generieren Sie ein Zertifikat für
vShield Edge
b
Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings &
Reports] .
Klicken Sie auf die Registerkarte [SSL‐Zertifikat] .
a
b
c
d
e
f
g
Klicken Sie auf den Link [Certificates] .
Klicken Sie auf [Actions] und wählen Sie [Generate CSR] .
2
Geben Sie den Namen Ihres Unternehmens und der Organisationseinheit ein.
3
Geben Sie Ort, Straße und Land Ihres Unternehmens ein.
4
Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation zwischen den Hosts aus.
Beachten Sie, dass SSL VPN-Plus nur RSA-Zertifikate unterstützt.
5
Ändern Sie bei Bedarf die Standardschlüsselgröße.
6
Geben Sie für ein globales Zertifikat eine Beschreibung ein.
7
Klicken Sie auf [Generate] (auf globaler Ebene) bzw. auf [OK] (auf vShield Edge-Ebene).
Die Signaturanforderung wird generiert und in der Zertifikatsliste angezeigt.
8
VMware, Inc.
Lassen Sie diese CSR von einer Online-Zertifizierungsstelle signieren.
73
9
Importieren Sie das signierte Zertifikat.
Option
Beschreibung
So importieren Sie ein signiertes
Zertifikat auf globaler Ebene
a
Klicken Sie auf der Registerkarte „SSL Certificates“ der vShield Mana-
b
c
d
ger-Benutzeroberfläche auf
neben [Import Signed Certificate] .
Klicken Sie auf [Browse] und wählen Sie die CSR-Datei aus.
Wählen Sie den Zertifikatstyp aus.
So generieren Sie ein Zertifikat für
vShield Edge
a
b
c
d
Kopieren Sie den Inhalt des signierten Zertifikats.
Klicken Sie auf der Registerkarte [Certificates] auf [Actions] und wählen Sie [Import Certificate] .
Fügen Sie im Dialogfeld „Import CSR“ den Inhalt des signierten Zertifikats ein.
Das von der Zertifizierungstelle signierte Zertifikat wird in die Liste der Zertifikate aufgenommen.
Hinzufügen eines CA-Zertifikats
Durch das Hinzufügen eines CA-Zertifikats werden Sie die Interim-Zertifizierungsstelle (CA) für Ihr Unternehmen. Sie sind dann berechtigt, Ihre eigenen Zertifikate zu signieren.
Vorgehensweise
1
2
3
4
5
6
7
8
) und wählen Sie anschließend [CA Certificate] aus.
9
Kopieren Sie den Zertifikatsinhalt und fügen Sie ihn in das Textfeld „Certificate“ ein.
10
Geben Sie eine Beschreibung für das CA-Zertifikat ein.
11
Sie können jetzt Ihre eigenen Zertifikate signieren.
Konfigurieren eines selbstsignierten Zertifikats
Sie können selbstsignierte Serverzertifikate erstellen, installieren und verwalten.
Voraussetzungen
Stellen Sie sicher, dass Sie über ein CA-Zertifikat verfügen, sodass Sie Ihre eigenen Zertifikate signieren können.
Vorgehensweise
74
1
2
3
VMware, Inc.
4
5
6
7
8
Führen Sie zum Generieren einer Signaturanforderung (CSR) die folgenden Schritte aus.
a
Klicken Sie auf das Symbol [Generate CSR] (
).
b
Geben Sie im Feld „Common Name“ die IP-Adresse oder den vollqualifizierten Domänennamen
(FQDN) von vShield Manager ein.
c
Geben Sie den Namen Ihres Unternehmens und der Organisationseinheit ein.
d
Geben Sie Ort, Straße und Land Ihres Unternehmens ein.
e
Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation zwischen den Hosts aus.
Beachten Sie, dass SSL VPN-Plus nur RSA-Zertifikate unterstützt. Zwecks Abwärtskompatibilität
wird RSA empfohlen.
f
Ändern Sie bei Bedarf die Standardschlüsselgröße.
g
Geben Sie eine Beschreibung für das Zertifikat ein.
h
Die Signaturanforderung wird generiert und in der Zertifikatsliste angezeigt.
9
10
Stellen Sie sicher, dass das von Ihnen angelegte Zertifikat ausgewählt ist.
Klicken Sie auf das Symbol [Self Sign Certificate] (
).
11
Geben Sie die Anzahl der Tage ein, die das selbstsignierte Zertifikat gültig ist.
12
Verwenden von Zertifikaten
Sie können ein Clientzertifikat unter Verwendung eines CAI-Befehls oder eines REST-Aufrufs erstellen. Anschließend können Sie dieses Zertifikat an Ihre Remotebenutzer verteilen, die das Zertifikat dann im Webbrowser installieren können
Der Hauptvorteil des Implementierens von Client-Zertifikaten besteht darin, dass für jeden Remotebenutzer
ein Client-Referenzzertifikat gespeichert und anhand des vom Remotebenutzer bereitgestellten Clientzertifikats überprüft werden kann. Um zu verhindern, dass ein bestimmter Benutzer zukünftig eine Verbindung
herstellt, können Sie das Referenzzertifikat aus der Liste der Clientzertifikate des Sicherheitsservers löschen.
Durch das Löschen des Zertifikats kann der Benutzer keine Verbindungen herstellen.
Hinzufügen einer Zertifikatswiderrufsliste
Eine CRL (Certificate Revocation List, Zertifikatswiderrufsliste) ist eine Liste von Abonnenten und deren
Status, die von Microsoft zur Verfügung gestellt und signiert wird.
Die Liste enthält die folgenden Elemente:
n
Die widerrufenen Zertifikate und den Grund des jeweiligen Widerrufs
n
Das jeweilige Ausstellungsdatum des Zertifikats
n
Der jeweilige Aussteller des Zertifikats
n
Ein vorgeschlagenes Datum für die nächste Freigabe
VMware, Inc.
75
Wenn ein potenzieller Benutzer versucht, auf einen Server zuzugreifen, wird anhand des CRL-Eintrags für
den bestimmten Benutzer der Zugriff zugelassen oder verweigert.
Vorgehensweise
1
2
3
4
5
6
7
8
) und wählen Sie [Certificate.]
9
Kopieren Sie die Liste und fügen Sie sie ein.
10
(Optional) Geben Sie eine Beschreibung ein.
11
Verwalten der vShield Edge-Firewall
vShield Edge bietet Firewallschutz für eingehende und ausgehende Sitzungen. Die standardmäßige Firewallrichtlinie blockiert den gesamten eingehenden Datenverkehr und lässt den gesamten ausgehenden Datenverkehr zu.
Zusätzlich zur standardmäßigen Firewallrichtlinie können Sie einen Satz von Regeln erstellen, um Datenverkehrssitzungen zwischen bestimmten Quellen und Zielen zuzulassen oder zu blockieren. Die standardmäßige Firewallrichtlinie und der Satz von Firewallregeln können für jede vShield Edge-Instanz separat
verwaltet werden.
Hinzufügen einer vShield Edge-Firewallregel
Sie können eine vShield Edge-Firewallregel für den Datenverkehr zu oder von einer vShield Edge-Schnittstelle oder IP-Adressgruppe hinzufügen.
Sie können mehrere vShield Edge-Schnittstellen und/oder IP-Adressgruppen als Quelle und Ziel für Firewallregeln hinzufügen.
Abbildung 9‑1. Firewallregel für den Datenverkehr von einer vShield Edge-Schnittstelle zu einem HTTPServer
76
VMware, Inc.
Abbildung 9‑2. Firewallregel für den ausgehenden Datenverkehr aller internen Schnittstellen (Subnetze auf
mit internen Schnittstellen verbundenen Portgruppen) einer vShield Edge-Instanz zu einem HTTP-Server
HINWEIS Wenn Sie als Quelle [internal] auswählen, wird die Regel automatisch aktualisiert, wenn Sie weitere interne Schnittstellen konfigurieren.
Abbildung 9‑3. Firewallregel für den Datenverkehr, die SSH in einem m/c in einem internen Netzwerk
zulässt
Vorgehensweise
1
2
3
4
5
6
Klicken Sie auf die Registerkarte [Firewall] .
VMware, Inc.
77
7
Option
Beschreibung
So fügen Sie eine Regel an einer bestimmten Stelle der Firewalltabelle
ein
a
b
Wählen Sie die gewünschte Regel aus.
So fügen Sie eine Regel durch Kopieren hinzu
a
b
und wählen Sie [Add Above]
Klicken Sie in der Spalte „No.“ auf
oder [Add Below] aus.
Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel
über der Standardregel eingefügt.
c
d
So fügen Sie eine Regel an einer beliebigen Stelle der Firewalltabelle
hinzu
Klicken Sie auf das Symbol „Copy“ (
).
und wählen Sie [Paste Above]
oder [Paste Below] aus.
a
).
Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel
über der Standardregel eingefügt.
Diese neue Regel ist standardmäßig aktiviert.
8
9
10
Zeigen Sie auf die Zelle [Name] der neuen Regel und klicken Sie auf
.
Geben Sie einen Namen für die neue Regel ein.
Zeigen Sie auf die Zelle [Source] der neuen Regel und klicken Sie auf
a
.
Wählen Sie [VnicGroup] oder [IPAddresses] .
[VnicGroup] zeigt vShield Edge-Schnittstellen ( [vse] ), [internal] (alle internen Schnittstellen), [ex‐
ternal] (alle Uplink-Schnittstellen) und alle internen und externen Schnittstellen für die vShield Edge-Instanz an. [IPAddresses] zeigt alle IP-Adressgruppen an.
b
Wählen Sie mindestens eine Schnittstelle oder IP-Adressgruppe aus.
Wenn Sie [vse] wählen, gilt die Regel für den Datenverkehr, der von der vShield Edge-Instanz generiert wird. Wenn Sie [internal] oder [external] wählen, gilt die Regel für den Datenverkehr, der
von einer internen oder Uplink-Schnittstelle der ausgewählten vShield Edge-Instanz kommt. Die
Regel wird automatisch aktualisiert, wenn Sie weitere Schnittstellen konfigurieren.
Wenn Sie [IPAddresses] wählen, können Sie eine neue IP-Adressgruppe erstellen. Sobald Sie die
neue Gruppe erstellt haben, wird sie automatisch zur Spalte „Source“ hinzugefügt. Weitere Informationen zum Erstellen einer IP-Adresse finden Sie unter „Erstellen einer IP-Adressgruppe“,
auf Seite 25.
Sie können den Quellport angeben, indem Sie auf neben [Advance options] klicken. Es wird
empfohlen, ab Version 5.1 den Quellport nicht anzugeben. Sie können stattdessen einen Dienst für
eine Protokoll-Port-Kombination erstellen. Siehe „Erstellen eines Diensts“, auf Seite 22.
c
78
VMware, Inc.
11
Zeigen Sie auf die Zelle [Destination] der neuen Regel und klicken Sie auf
a
.
Wählen Sie [VnicGroup] oder [IPAddresses] .
[VnicGroup] zeigt vShield Edge-Schnittstellen ( [vse] ), [internal] (alle internen Schnittstellen), [ex‐
ternal] (alle Uplink-Schnittstellen) und alle internen und Uplink-Schnittstellen für die vShield Edge-Instanz an. [IPAddresses] zeigt alle IP-Adressgruppen an.
b
Wählen Sie mindestens eine Schnittstelle oder IP-Adressgruppe aus.
Wenn Sie [vse] wählen, gilt die Regel für den Datenverkehr, der von der vShield Edge-Instanz generiert wird. Wenn Sie [internal] oder [external] wählen, gilt die Regel für den Datenverkehr, der
zu einer internen oder Uplink-Schnittstelle der ausgewählten vShield Edge-Instanz kommt. Wenn
Sie eine Schnittstelle zur vShield Edge-Instanz hinzufügen, gilt die Regel automatisch für die neue
Schnittstelle.
Wenn Sie [IPAddresses] wählen, können Sie eine neue IP-Adressgruppe erstellen. Sobald Sie die
neue Gruppe erstellt haben, wird sie automatisch zur Spalte „Destination“ hinzugefügt. Weitere Informationen zum Erstellen einer IP-Adresse finden Sie unter „Erstellen einer IP-Adressgruppe“,
auf Seite 25.
c
12
Zeigen Sie auf die Zelle [Service] der neuen Regel und klicken Sie auf
.
Wählen Sie einen Dienst aus. Klicken Sie zum Erstellen eines neuen Diensts auf [New] . Sobald Sie den
neuen Dienst erstellt haben, wird er automatisch zur Spalte „Service“ hinzugefügt. Weitere Informationen zum Erstellen eines neuen Diensts finden Sie unter „Erstellen eines Diensts“, auf Seite 22.
HINWEIS vShield Edge unterstützt nur Dienste, die mit L3-Protokollen definiert sind.
13
Zeigen Sie auf die Zelle [Action] der neuen Regel und klicken Sie auf
.
a
Klicken Sie auf [Deny] , um den Datenverkehr zwischen der angegebenen Quelle und dem Ziel zu
blockieren.
b
Klicken Sie auf [Log] , um alle Sitzungen, die unter diese Regel fallen, zu protokollieren.
Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen.
14
c
Geben Sie bei Bedarf Kommentare ein.
d
Klicken Sie auf
e
Um die Regel für die übersetzte IP-Adresse und Dienste für eine NAT-Regel anzuwenden, wählen
Sie [Translated IP] für [Match on] .
f
Klicken Sie auf [Enable Rule Direction] und wählen Sie [Incoming] oder [Outgoing] . Es wird
nicht empfohlen, die Richtung für Firewallregeln anzugeben.
g
neben [Advance options] .
Klicken Sie auf [Publish Changes] , um die neue Regel für die vShield Edge-Instanz zu veröffentlichen.
Weiter
n
VMware, Inc.
Deaktivieren Sie eine Regel durch Klicken auf
neben der Regelnummer in der Spalte [No.]
79
n
Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf
Spalten auswählen.
Name der Spalte
Angezeigte Informationen
Regel-Tag
Eindeutige ID, die das System für jede Regel generiert
Protokoll
Ob der Datenverkehr für diese Regel protokolliert bzw. nicht protokolliert wird
Statistik
Kommentare
n
klicken und die gewünschten
Durch Klicken auf
, um den Datenverkehr anzuzeigen, der unter diese Regel fällt (Anzahl
der Sitzungen, Datenpakete und Größe)
Kommentare zu dieser Regel
Suchen Sie nach Regeln, indem Sie Text in das Feld „Search“ eingeben.
Ändern der Standard-Firewallregel
Die standardmäßigen Firewalleinstellungen gelten für Datenverkehr, der unter keine der benutzerdefinierten Firewallregeln fällt. Die standardmäßige Firewallrichtlinie blockiert den gesamten eingehenden Datenverkehr. Sie können die Standardaktion und die Protokolleinstellungen ändern.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge, für die Sie die Standard-Firewallrichtlinie ändern möchten.
6
7
Wählen Sie die [Default Rule] (Standardregel), die als letzte Regel in der Firewalltabelle aufgelistet ist.
8
.
a
Klicken Sie auf [Accept] , um den Datenverkehr zwischen der angegebenen Quelle und dem Ziel
zuzulassen.
b
9
c
d
Klicken Sie auf [Publish Changes] .
Ändern einer vShield Edge-Firewallregel
Sie können benutzerdefinierte Firewallregeln ändern.
Vorgehensweise
80
1
2
3
VMware, Inc.
4
5
Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel ändern möchten.
6
7
Wählen Sie die zu ändernde Regel aus.
HINWEIS Sie können weder eine automatisch generierte Regel noch die Standardregel ändern.
8
Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [OK] .
9
Ändern der Priorität einer vShield Edge-Firewallregel
Sie können die Reihenfolge der benutzerdefinierten Firewallregeln ändern, um den über vShield Edge fließenden Datenverkehr anzupassen. Angenommen, Sie haben eine Regel erstellt, die Lastausgleichsdatenverkehr zulässt. Sie können nun eine Regel hinzufügen, die Lastausgleichsdatenverkehr für eine bestimmte IPAdressengruppe unterbindet, und diese Regel über die Regel für das Zulassen des Lastausgleichsdatenverkehrs stellen.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel bearbeiten möchten.
6
7
Wählen Sie die Regel aus, für die Sie die Priorität ändern möchten.
HINWEIS Sie können die Priorität weder für automatisch generierte Regeln noch für die Standardregel
ändern.
8
Klicken Sie auf das Symbol [Move Up] (
9
10
) oder [Move Down] (
).
Löschen einer vShield Edge-Firewallregel
Sie können benutzerdefinierte Firewallregeln löschen.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge, für die Sie eine Regel löschen möchten.
6
VMware, Inc.
81
7
Wählen Sie die zu löschende Regel aus.
HINWEIS Sie können weder automatisch generierte Regeln noch die Standardregel löschen.
8
).
Verwalten von NAT-Regeln
vShield Edge bietet den Dienst „Network Address Translation“ (NAT), der einem Computer oder einer
Gruppe von Computern innerhalb eines privaten Netzwerks eine öffentliche Adresse zuweist. Mithilfe dieser Technologie kann die Anzahl öffentlicher IP-Adressen verringert werden, die eine Organisation oder ein
Unternehmen verwenden muss. Dies hat wirtschaftliche Vorteile und dient der Sicherheit. Für den Zugriff
auf Dienste, die auf virtuellen Maschinen mit privaten Adressen ausgeführt werden, müssen NAT-Regeln
konfiguriert werden.
Die Konfiguration des NAT-Diensts gliedert sich in SNAT- (Source NAT, Quell-NAT) und DNAT-Regeln
(Destination NAT, Ziel-NAT).
Hinzufügen einer SNAT-Regel
Sie erstellen eine Quell-NAT-Regel (SNAT) zum Übersetzen einer privaten internen IP-Adresse in eine öffentliche IP-Adresse für ausgehenden Datenverkehr.
Voraussetzungen
Die übersetzte (öffentliche) IP-Adresse muss bereits zur vShield Edge-Schnittstelle, an der Sie die Regel hinzufügen möchten, hinzugefügt worden sein.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel hinzufügen möchten.
6
Klicken Sie auf die Registerkarte [NAT] .
7
) und wählen Sie [Add SNAT Rule] .
8
Wählen Sie die Schnittstelle aus, für die die Regel hinzugefügt werden soll.
9
Geben Sie die ursprüngliche Quell-IP-Adresse in einem der folgenden Formate ein.
Formatieren
Beispiel
IP-Adresse
192.168.10.1
IP-Adressenbereich
192.168.10.1-192.168.10.10
IP address/subnet
192.168.10.1/24
beliebigen
10
82
Geben Sie die übersetzte (öffentliche) Quell-IP-Adresse in einem der folgenden Formate ein.
Formatieren
Beispiel
IP-Adresse
192.168.10.1
IP-Adressenbereich
192.168.10.1-192.168.10.10
VMware, Inc.
Formatieren
Beispiel
IP address/subnet
192.168.10.1/24
beliebigen
11
Wählen Sie [Enabled] , um die Regel zu aktivieren.
12
Klicken Sie auf [Enable logging] , um die Übersetzung der Adresse zu protokollieren.
13
Klicken Sie auf [Add] , um die Regel zu speichern.
14
Hinzufügen einer DNAT-Regel
Beim Erstellen einer DNAT-Regel wird eine öffentliche IP-Adresse einer privaten internen IP-Adresse zugeordnet.
Voraussetzungen
Die ursprüngliche (öffentliche) IP-Adresse muss bereits zur vShield Edge-Schnittstelle, an der Sie die Regel
hinzufügen möchten, hinzugefügt worden sein.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel hinzufügen möchten.
6
Klicken Sie auf die Registerkarte [NAT] .
7
) und wählen Sie [Add DNAT Rule] .
8
Wählen Sie die Schnittstelle aus, für die die DNAT-Regel gelten soll.
9
Geben Sie die ursprüngliche (öffentliche) IP-Adresse in einem der folgenden Formate ein.
Formatieren
Beispiel
IP-Adresse
192.168.10.1
IP-Adressenbereich
192.168.10.1-192.168.10.10
IP address/subnet
192.168.10.1/24
beliebigen
10
Geben Sie das Protokoll ein.
11
Geben Sie den ursprünglichen Port bzw. Portbereich ein.
Formatieren
Beispiel
Portnummer
80
Portbereich
80-85
beliebigen
VMware, Inc.
83
12
Geben Sie die übersetzte IP-Adresse in einem der folgenden Formate ein.
Formatieren
Beispiel
IP-Adresse
192.168.10.1
IP-Adressenbereich
192.168.10.1-192.168.10.10
IP address/subnet
192.168.10.1/24
beliebigen
13
Geben Sie den übersetzten Port bzw. Portbereich ein.
Formatieren
Beispiel
Portnummer
80
Portbereich
80-85
beliebigen
14
Wählen Sie [Enabled] , um die Regel zu aktivieren.
15
Wählen Sie [Enable logging] , um die Übersetzung der Adresse zu protokollieren.
16
Klicken Sie auf [Add] , um die Regel zu speichern.
Arbeiten mit statischen Routen
Sie können ein Standard-Gateway festlegen und eine statische Route für Ihre Datenpakete hinzufügen.
Festlegen des Standard-Gateways
Bevor Sie eine statische Route hinzuzufügen, müssen Sie eine Uplink-Schnittstelle von vShield Edge als
Standard-Gateway zuweisen.
Vorgehensweise
84
1
2
3
4
5
6
7
Klicken Sie auf die Registerkarte [Static Routing] .
8
Klicken Sie unter [Default Gateway] auf [Edit] .
9
Wählen Sie die Schnittstelle aus, von der aus der nächste Hop in Richtung des Zielnetzwerks erreicht
werden kann.
10
Ändern Sie die Gateway-IP, falls erforderlich.
11
VMware, Inc.
Hinzufügen einer statischen Route
Sie können eine statische Route hinzufügen, der Ihre Datenpakete folgen.
Vorgehensweise
1
2
3
4
5
6
7
Klicken Sie auf die Registerkarte [Static Routing]
8
).
9
Wählen Sie die Schnittstelle aus, auf der Sie eine statische Route hinzufügen möchten.
10
Geben Sie unter [Network] das Netzwerk in CIDR-Notation ein.
11
Geben Sie die IP-Adresse für [Next Hop] ein.
12
Bearbeiten Sie unter [MTU] den maximalen Übertragungswert für die Datenpakete, falls erforderlich.
Der MTU-Wert darf nicht höher als der MTU-Wert sein, der in der vShield Edge-Schnittstelle festgelegt
wurde.
13
14
Verwalten des DHCP-Diensts
vShield Edge unterstützt IP-Adresspools und die 1:1-Zuordnung statischer IP-Adressen. Die Bindung statischer IP-Adressen basiert auf der von vCenter verwalteten Objekt- und Schnittstellen-ID des anfordernden
Clients.
Der vShield Edge-DHCP-Dienst beachtet folgende Richtlinien:
n
Die interne vShield Edge-Schnittstelle wird für die DHCP-Suche überwacht.
n
Die IP-Adresse der internen vShield Edge-Schnittstelle wird als standardmäßige Gateway-Adresse für
alle Clients verwendet und die Broadcast- und Subnetzmaskenwerte der internen Schnittstelle werden
für das Containernetzwerk verwendet.
In folgenden Fällen müssen Sie den DHCP-Dienst auf virtuellen Client-Maschinen neu starten:
n
Sie haben einen DHCP-Pool, ein Standard-Gateway oder einen DNS-Server geändert bzw. gelöscht.
n
Sie haben die interne IP-Adresse der vShield Edge-Instanz geändert.
VMware, Inc.
85
Hinzufügen eines DHCP-IP-Pools
Der DHCP-Dienst benötigt einen Pool von IP-Adressen. Ein IP-Pool ist ein sequenzieller Bereich von IP-Adressen innerhalb des Netzwerks. Virtuellen Maschinen, die von vShield Edge geschützt werden und keiner
Adresse zugeordnet sind, wird eine IP-Adresse aus diesem Pool zugewiesen. Die IP-Pool-Bereiche dürfen
sich nicht überschneiden, d. h., eine IP-Adresse darf nur einem IP-Pool angehören.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie einen DHCP-Pool hinzufügen möchten.
6
Klicken Sie auf die Registerkarte [DHCP] .
7
8
9
Klicken Sie im Bereich „DHCP Pools“ auf das Symbol [Add] (
).
Konfigurieren Sie den Pool.
Option
Aktion
[Auto Configure DNS]
Wählen Sie diese Option aus, wenn Sie die DNS-Dienst-Konfiguration für
die DHCP-Bindung verwenden möchten.
[Lease never expires]
Wählen Sie diese Option aus, um die Adresse dauerhaft an die MAC-Adresse der virtuellen Maschine zu binden. Wenn Sie diese Option auswählen, wird die Option [Lease Time] deaktiviert.
[Start IP]
Geben Sie die IP-Startadresse für den Pool ein.
[End IP]
Geben Sie die IP-Endadresse für den Pool ein.
[Domänenname]
Geben Sie den Domänennamen des DNS-Servers ein. Die Auswahl dieser
Option ist optional.
[Primary Name Server]
Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben
Sie den [Primary Nameserver] für den DNS-Dienst ein. Sie müssen die IPAdresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. Die Auswahl dieser Option ist optional.
[Secondary Name Server]
Sie den [Secondary Nameserver] für den DNS-Dienst ein. Sie müssen die
IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. Die Auswahl dieser Option ist optional.
[Default Gateway]
Geben Sie die Adresse des Standard-Gateways ein. Falls Sie die IP-Adresse
des Standard-Gateways nicht angeben, wird die interne Schnittstelle der
vShield Edge-Instanz als Standard-Gateway verwendet. Die Auswahl dieser Option ist optional.
[Lease Time]
Legen Sie fest, ob Sie die Adresse für den standardmäßigen Zeitraum (1
Tag) für den Client leasen möchten, oder geben Sie für den Zeitraum einen
Wert in Sekunden an. Die Option „Lease Time“ steht nicht zur Verfügung,
wenn Sie [Lease never expires] ausgewählt haben. Die Auswahl dieser
Option ist optional.
Weiter
Stellen Sie sicher, dass der DHCP-Dienst aktiviert ist. Unter [DHCP Service Status] über dem Bereich
„DHCP Pools“ muss die Option „Enabled“ ausgewählt sein.
86
VMware, Inc.
Hinzufügen einer statischen DHCP-Bindung
Wenn auf einer virtuellen Maschine Dienste ausgeführt werden und Sie nicht möchten, dass die IP-Adresse
geändert wird, können Sie eine IP-Adresse an die MAC-Adresse einer virtuellen Maschine binden. Die IPAdresse, die Sie binden, darf keinen IP-Pool überlappen.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel bearbeiten möchten.
6
Klicken Sie auf die Registerkarte [DHCP] .
7
8
Klicken Sie im Bereich „DHCP Bindings“ auf [Add] (
Konfigurieren Sie die Bindung.
Option
Aktion
[Auto Configure DNS]
Wählen Sie diese Option aus, wenn Sie die DNS-Dienst-Konfiguration für
die DHCP-Bindung verwenden möchten.
[Lease never expires]
Wählen Sie diese Option aus, um die Adresse dauerhaft an die MAC-Adresse der virtuellen Maschine zu binden.
[Schnittstelle]
Wählen Sie die zu bindende vShield Edge-Schnittstelle aus.
[VM-Name]
Wählen Sie die zu bindende virtuelle Maschine aus.
[VM vNIC Index]
Wählen Sie die Netzwerkkarte der virtuellen Maschine aus, die an die IPAdresse gebunden werden soll.
[Hostname]
Geben Sie den Hostnamen der virtuellen DHCP-Clientmaschine ein.
[IP Address]
Geben Sie die Adresse ein, an die Sie die MAC-Adresse der ausgewählten
virtuellen Maschine binden möchten.
[Domänenname]
Geben Sie den Domänennamen des DNS-Servers ein.
[Primary Name Server]
Sie den [Primary Nameserver] für den DNS-Dienst ein. Sie müssen die IPAdresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben.
[Secondary Name Server]
Sie den [Secondary Nameserver] für den DNS-Dienst ein. Sie müssen die
IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben.
[Default Gateway]
Geben Sie die Adresse des Standard-Gateways ein. Falls Sie die IP-Adresse
des Standard-Gateways nicht angeben, wird die interne Schnittstelle der
vShield Edge-Instanz als Standard-Gateway verwendet.
[Lease Time]
Falls Sie [Lease never expires] nicht ausgewählt haben, geben Sie an, ob
Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den Client
leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden
an.
9
10
VMware, Inc.
).
87
Weiter
Stellen Sie sicher, dass der DHCP-Dienst aktiviert ist. Unter [DHCP Service Status] über dem Bereich
„DHCP Pools“ muss die Option „Enabled“ ausgewählt sein.
Verwalten von VPN-Diensten
vShield Edge-Module unterstützen Site-to-Site-IPSec-VPN zwischen einer vShield Edge-Instanz und Remote-Sites. Darüber hinaus unterstützen vShield Edge-Module SSL VPN-Plus, um Remotebenutzern zu ermöglichen, auf private Unternehmensanwendungen zuzugreifen.
1
Überblick über IPSec VPN auf Seite 88
vShield Edge-Module unterstützen Standort-zu-Standort-IPSec-VPNs zwischen einer vShield Edge-Instanz und Remotestandorten.
2
SSL VPN-Plus – Überblick auf Seite 112
Mit SSL VPN-Plus können Remotebenutzer eine sichere Verbindung mit privaten Netzwerken hinter
einem vShield Edge-Gateway herstellen. Remotebenutzer können auf Server und Anwendungen in
den privaten Netzwerken zugreifen.
Überblick über IPSec VPN
vShield Edge-Module unterstützen Standort-zu-Standort-IPSec-VPNs zwischen einer vShield Edge-Instanz
und Remotestandorten.
vShield Edge unterstützt die Zertifikatsauthentifizierung, den Pre-Shared Key-Modus, den IP-Unicast-Datenverkehr und kein dynamisches Routing-Protokoll zwischen der vShield Edge-Instanz und den RemoteVPN-Routern. Sie können hinter jedem Remote-VPN-Router mehrere Subnetze konfigurieren, um hinter einer vShield Edge-Instanz über IPSec-Tunnel eine Verbindung mit dem internen Netzwerk herzustellen. Diese Subnetze und das interne Netzwerk hinter einer vShield Edge-Instanz dürfen keine überlappenden Adressbereiche aufweisen.
Sie können einen vShield Edge-Agenten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse einer vShield Edge-Instanz in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Router verwenden diese öffentliche Adresse für den Zugriff auf die vShield
Edge-Instanz.
Sie können Remote-VPN-Router auch hinter einem NAT-Gerät platzieren. Zur Einrichtung des Tunnels
müssen Sie sowohl die interne VPN-Adresse als auch die VPN-Gateway-ID angeben. Für die VPN-Adresse
ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich.
Sie können maximal 64 Tunnel haben, die über maximal 10 Sites verteilt sind.
Konfigurieren des IPSec VPN-Diensts
Sie können einen vShield Edge-Tunnel zwischen einem lokalen und einem Peer-Subnetz einrichten.
1
Konfigurieren der IPSec VPN-Parameter auf Seite 89
Sie müssen mindestens eine externe IP-Adresse an der vShield Edge konfigurieren, um den IPSec
VPN-Dienst anbieten zu können.
2
Aktivieren des IPSec VPN-Diensts auf Seite 90
Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum
Peer-Subnetz übertragen werden kann.
88
VMware, Inc.
Konfigurieren der IPSec VPN-Parameter
Sie müssen mindestens eine externe IP-Adresse an der vShield Edge konfigurieren, um den IPSec VPNDienst anbieten zu können.
Vorgehensweise
1
2
3
4
5
Klicken Sie auf die Registerkarte [VPN] .
6
Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden.
7
).
Das Dialogfeld „Add IPSec VPN“ wird geöffnet.
8
Geben Sie einen Namen für das IPSec VPN ein.
9
Geben Sie die IP-Adresse der vShield Edge-Instanz im Feld [Local Id] ein. Diese wird zur Peer-ID auf
der Remote-Site.
10
Geben Sie die IP-Adresse des lokalen Endpunkts ein.
Wenn Sie unter Verwendung eines vorab installierten Schlüssels (Pre-Shared Key) eine IP-Adresse zum
IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein.
11
Geben Sie die Subnetze, die von den Sites gemeinsam genutzt werden sollen, im CIDR-Format ein.
Trennen Sie mehrere Subnetze jeweils durch ein Komma.
12
Geben Sie die Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (common name) im Peer-Zertifikat sein. Bei PSK-Peers
kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie die öffentliche IP-Adresse
des VPN oder ein FQDN für den VPN-Dienst als Peer-ID verwenden.
13
Geben Sie im Feld „Peer Endpoint“ die IP-Adresse der Peer-Site ein. Falls Sie das Feld leer lassen, wartet vShield Edge auf das Peer-Gerät, um eine Verbindung anzufordern.
14
Geben Sie die interne IP-Adresse des Peer-Subnetzes im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma.
15
Wählen Sie den Verschlüsselungsalgorithmus aus.
16
Wählen Sie unter „Authentication Method“ eine der folgenden Authentifizierungsmethoden aus:
Option
Beschreibung
PSK (Pre Shared Key)
Gibt an, dass der von vShield Edge und der Peer-Site gemeinsam genutzte
geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime
Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte
sein.
Certificate
Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird.
17
Geben Sie den Shared Key ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen.
18
Klicken Sie auf [Display Shared Key] , um den Schlüssel auf der Peer-Site anzuzeigen.
VMware, Inc.
89
19
Wählen Sie unter „Diffie-Hellman (DH) Group“ das kryptographische Schema aus, das es der Peer-Site
und vShield Edge ermöglicht, über einen ungesicherten Kommunikationskanal ein Shared Secret einzurichten.
20
Bearbeiten Sie die standardmäßige MTU, falls erforderlich.
21
Wählen Sie, ob der Schwellenwert für Perfect Forward Secrecy (PFS) aktiviert oder deaktiviert werden
soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat.
22
vShield Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz.
Weiter
Aktivieren Sie den IPSec VPN-Dienst.
Aktivieren des IPSec VPN-Diensts
Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum PeerSubnetz übertragen werden kann.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie unter „IPSec VPN Service Status“ auf [Enable] .
Weiter
Klicken Sie auf [Enable Logging] , um den Datenverkehr zwischen dem lokalen Subnetz und dem Peer-Subnetz zu protokollieren.
Bearbeiten des IPSec VPN-Diensts
Sie können einen IPSec VPN-Dienst bearbeiten.
Vorgehensweise
90
1
2
3
4
5
6
7
8
Wählen Sie den zu bearbeitenden IPSec VPN-Dienst aus.
VMware, Inc.
9
).
Das Dialogfeld „Edit IPSec VPN“ wird geöffnet.
10
11
Löschen des IPSec-Diensts
Sie können einen IPSec-Dienst löschen.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie den IPSec-Dienst aus, den Sie löschen möchten.
9
).
Der ausgewählte IPSec-Dienst wird gelöscht.
Aktivieren des IPSec-Diensts
Sie müssen einen IPSec-Dienst aktivieren, damit der Datenverkehr zwischen den lokalen und den Peer-Subnetzen übertragen werden kann.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie den IPSec-Dienst aus, den Sie aktivieren möchten.
9
).
Der ausgewählte Dienst wird aktiviert.
VMware, Inc.
91
Deaktivieren des IPSec-Diensts
Sie können einen IPSec-Dienst deaktivieren.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie den IPSec-Dienst aus, den Sie deaktivieren möchten.
9
Klicken Sie auf das Symbol [Disable] (
).
Der ausgewählte Dienst wird deaktiviert.
vShield Edge-VPN-Konfigurationsbeispiele
Dieses Szenario enthält Konfigurationsbeispiele für eine einfache IPSEC-VPN-Punkt-zu-Punkt-Verbindung
zwischen einer vShield Edge-Instanz und einem Cisco- oder WatchGuard-VPN am anderen Ende.
In diesem Szenario verbindet vShield Edge das interne Netzwerk 192.168.5.0/24 mit dem Internet. Die
vShield Edge-Schnittstellen sind wie folgt konfiguriert:
n
Uplink-Schnittstelle: 10.115.199.103
n
Interne Schnittstelle: 192.168.5.1
Das Remote-Gateway verbindet das interne Netzwerk 172.16.0.0/16 mit dem Internet. Die Remote-GatewaySchnittstellen sind wie folgt konfiguriert:
n
Uplink-Schnittstelle: 10.24.120.90/24
n
Interne Schnittstelle: 172.16.0.1/16
Abbildung 9‑4. vShield Edge stellt Verbindung mit einem Remote-VPN-Gateway her
192.168.5.0/24
172.15.0.0/16
10.115.199.103
192.168.5.1
10.24.120.90
172.16.0.1
Internet
vShield Edge
HINWEIS Für Tunnel zwischen vShield Edge und vShield Edge IPSEC können Sie dasselbe Szenario verwenden, indem Sie die zweite vShield Edge-Instanz als Remote-Gateway einrichten.
92
VMware, Inc.
Terminologie
IPSec ist ein Rahmen aus offenen Standards. Die Protokolle der vShield Edge-Instanz und anderer VPN-Appliances, die Sie verwenden können, um Probleme mit IPSEC VPN zu beheben, enthalten viele technische
Begriffe.
Dies sind einige der Standardeinträge, die vorkommen können:
n
ISAKMP (Internet Security Association and Key Management Protocol), ein Protokoll für den Aufbau
von Sicherheitsverbindungen (Security Associations, SA) und den Austausch kryptografischer Schlüssel in einer Internet-Umgebung, ist in RFC 2408 definiert. ISAKMP bietet nur einen Rahmen für die Authentifizierung und den Schlüsselaustausch und ist vom Schlüsselaustausch selbst unabhängig.
n
Das Schlüsselvereinbarungsprotokoll Oakley ermöglicht es authentifizierten Parteien, Schlüsselmaterial
unter Verwendung des Diffie-Hellman-Schlüsselaustauschalgorithmus über eine unsichere Verbindung
auszutauschen.
n
IKE (Internet Key Exchange) ist eine Kombination aus ISAKMP und Oakley. vShield Edge bietet IKEv2.
n
Der Diffie-Hellman-Schlüsselaustausch (DH-Schlüsselaustausch) ist ein Protokoll aus dem Bereich der
Kryptografie, das zwei Parteien ohne gegenseitige Kenntnisse voneinander ermöglicht, über einen unsicheren Kommunikationskanal einen gemeinsamen sicheren Schlüssel zu erzeugen. VSE unterstützt
DH-Gruppe 2 (1024 Bits) und DH-Gruppe 5 (1536 Bits).
IKE Phase 1 und Phase 2
IKE ist eine Standardmethode für den Aufbau einer sicheren, authentifizierten Kommunikation.
Parameter der Phase 1
In Phase 1 wird die gegenseitige Authentifizierung der Peers eingerichtet, es werden kryptographische Parameter ausgehandelt und der Sitzungsschlüssel wird generiert. vShield Edge verwendet folgende Parameter der Phase 1:
n
Main-Modus
n
TripleDES / AES [konfigurierbar]
n
SHA-1
n
MODP-Gruppe 2 (1024 Bits)
n
Pre-Shared Secret [konfigurierbar]
n
SA-Lebensdauer von 28800 Sekunden (8 Stunden) ohne neu zugewiesene KB
n
Aggressiver ISAKMP-Modus deaktiviert
Parameter der Phase 2
In der IKE-Phase 2 wird ein IPSec-Tunnel ausgehandelt. Dabei wird das vom IPSec-Tunnel zu verwendende
Schlüsselmaterial erstellt (entweder durch das Zugrundelegen der Schlüssel aus IKE-Phase 1 oder mit der
Durchführung eines erneuten Schlüsselaustauschs). Folgende Parameter der IKE-Phase 2 werden von
vShield Edge unterstützt:
n
TripleDES / AES [entspricht der Einstellung in Phase 1]
n
SHA-1
n
ESP-Tunnelmodus
n
MODP-Gruppe 2 (1024 Bits)
n
PFS (Perfect Forward Secrecy) für Neuzuweisung
n
SA-Lebensdauer von 3600 Sekunden (1 Stunde) ohne neu zugewiesene KB
VMware, Inc.
93
n
Selektoren für alle IP-Protokolle und alle Ports zwischen den beiden Netzen unter Verwendung von
IPv4-Subnetzen
Beispiele für den Transaktionsmodus
vShield Edge unterstützt „Main Mode“ für Phase 1 und „Quick Mode“ für Phase 2.
vShield Edge schlägt eine Richtlinie vor, die PSK, 3DES/AES128, SHA-1 und die DH-Gruppe 2/5 erfordert.
Der Peer muss diese Richtlinie akzeptieren, andernfalls scheitert die Aushandlungsphase.
Phase 1: Transaktionen im Main-Modus
Dieses Beispiel zeigt den Austausch einer von vShield Edge zu einem Cisco-Gerät initiierten Phase-1-Aushandlung.
Die folgenden Transaktionen werden nacheinander zwischen vShield Edge und einem Cisco VPN-Gerät im
Main-Modus durchgeführt.
1
2
3
vShield Edge an Cisco
n
Vorschlag: Verschlüsselung 3DES-CBC, SHA, PSK, Group5(Group2)
n
DPD aktiviert
Cisco an vShield Edge
n
enthält den von Cisco gewählten Vorschlag
n
Wenn das Cisco-Gerät keinen der Parameter akzeptiert, den vShield Edge in Schritt 1 gesendet hat,
sendet das Cisco-Gerät die Meldung mit dem Flag „NO_PROPOSAL_CHOSEN“ und beendet die
Aushandlung.
n
4
n
5
DH-Schlüssel und Nonce
vShield Edge an Cisco (verschlüsselt)
n
6
DH-Schlüssel und Nonce
ID verwenden (PSK)
Cisco an vShield Edge (verschlüsselt)
n
ID verwenden (PSK)
n
Wenn das Cisco-Gerät feststellt, dass der PSK nicht übereinstimmt, sendet es eine Nachricht mit
dem Flag „INVALID_ID_INFORMATION“. Phase 1 schlägt fehl.
Phase 2: Transaktionen im Quick-Modus
Die folgenden Transaktionen werden nacheinander zwischen vShield Edge und einem Cisco VPN-Gerät im
Quick-Modus durchgeführt.
1
vShield Edge schlägt dem Peer die Richtlinie für Phase 2 vor. Beispiel:
Aug 26 12:16:09 weiqing-desktop
pluto[5789]:
"s1-c1" #2: initiating Quick Mode
PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW
{using isakmp#1 msgid:d20849ac
proposal=3DES(3)_192-SHA1(2)_160
pfsgroup=OAKLEY_GROUP_MODP1024}
94
VMware, Inc.
2
Das Cisco-Gerät sendet NO_PROPOSAL_CHOSEN, falls es keine zu dem Vorschlag passende Richtlinie findet. Andernfalls sendet das Cisco-Gerät den Satz der gewählten Parameter.
3
Um das Debuggen zu erleichtern, können Sie in vShield Edge die IPSec-Protokollierung einschalten
und auf Cisco das Crypto-Debugging (debug crypto isakmp <Level>) aktivieren.
Konfigurieren des IPSec VPN-Diensts – Beispiel
Sie müssen VPN-Parameter konfigurieren und anschließend den IPSEC-Dienst aktivieren.
Vorgehensweise
1
Konfigurieren von vShield Edge VPN-Parametern – Beispiel auf Seite 95
Sie müssen mindestens eine externe IP-Adresse an der vShield Edge konfigurieren, um den IPSec
VPN-Dienst anbieten zu können.
2
Aktivieren des IPSec VPN-Diensts - Beispiel auf Seite 96
Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum
Peer-Subnetz übertragen werden kann.
Konfigurieren von vShield Edge VPN-Parametern – Beispiel
Sie müssen mindestens eine externe IP-Adresse an der vShield Edge konfigurieren, um den IPSec VPNDienst anbieten zu können.
Vorgehensweise
1
2
3
4
5
6
7
).
Das Dialogfeld „Add IPSec VPN“ wird geöffnet.
8
Geben Sie einen Namen für das IPSec VPN ein.
9
Geben Sie die IP-Adresse der vShield Edge-Instanz im Feld [Local Id] ein. Diese wird zur Peer-ID auf
der Remote-Site.
10
Geben Sie die IP-Adresse des lokalen Endpunkts ein.
Wenn Sie unter Verwendung eines vorab installierten Schlüssels (Pre-Shared Key) eine IP-Adresse zum
IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein.
11
Geben Sie die Subnetze, die von den Sites gemeinsam genutzt werden sollen, im CIDR-Format ein.
Trennen Sie mehrere Subnetze jeweils durch ein Komma.
12
Geben Sie die Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (common name) im Peer-Zertifikat sein. Bei PSK-Peers
kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie die öffentliche IP-Adresse
des VPN oder ein FQDN für den VPN-Dienst als Peer-ID verwenden.
VMware, Inc.
95
13
Geben Sie im Feld „Peer Endpoint“ die IP-Adresse der Peer-Site ein. Falls Sie das Feld leer lassen, wartet vShield Edge auf das Peer-Gerät, um eine Verbindung anzufordern.
14
Geben Sie die interne IP-Adresse des Peer-Subnetzes im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma.
15
Wählen Sie den Verschlüsselungsalgorithmus aus.
16
Wählen Sie unter „Authentication Method“ eine der folgenden Authentifizierungsmethoden aus:
Option
Beschreibung
PSK (Pre Shared Key)
Gibt an, dass der von vShield Edge und der Peer-Site gemeinsam genutzte
geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime
Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte
sein.
Certificate
Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird.
17
Geben Sie den Shared Key ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen.
18
Klicken Sie auf [Display Shared Key] , um den Schlüssel auf der Peer-Site anzuzeigen.
19
Wählen Sie unter „Diffie-Hellman (DH) Group“ das kryptographische Schema aus, das es der Peer-Site
und vShield Edge ermöglicht, über einen ungesicherten Kommunikationskanal ein Shared Secret einzurichten.
20
Ändern Sie den MTU-Schwellenwert, falls erforderlich.
21
Wählen Sie, ob der Schwellenwert für Perfect Forward Secrecy (PFS) aktiviert oder deaktiviert werden
soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat.
22
vShield Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz.
Weiter
Aktivieren Sie den IPSec VPN-Dienst.
Aktivieren des IPSec VPN-Diensts - Beispiel
Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum PeerSubnetz übertragen werden kann.
Vorgehensweise
1
2
3
4
Doppelklicken Sie auf ein vShield Edge-Gateway.
5
6
7
Klicken Sie unter „IPSec VPN Service Status“ auf [Enable] .
Weiter
Klicken Sie auf [Enable Logging] , um den Datenverkehr zwischen dem lokalen Subnetz und dem Peer-Subnetz zu protokollieren.
96
VMware, Inc.
Verwenden eines a Cisco 2821 Integrated Services-Router
Im Folgenden werden Konfigurationen beschrieben, die unter Verwendung von Cisco IOS durchgeführt
wurden.
Vorgehensweise
1
Konfigurieren von Schnittstellen und der Standardroute
interface GigabitEthernet0/0
ip address 10.24.120.90 255.255.252.0
duplex auto
speed auto
crypto map MYVPN
!
ip address 172.16.0.1 255.255.0.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 10.24.123.253
2
Konfigurieren der IKE-Richtlinie
Router# config term
Router(config)# crypto
Router(config-isakmp)#
pre-share
3
isakmp policy 1
encryption 3des
group 2
hash sha
lifetime 28800
authentication
exit
PSS-Zuordnung für jeden Peer
Router# config term
Router(config)# crypto isakmp key vshield
address 10.115.199.103
Router(config-isakmp)# exit
4
Definieren der IPSEC-Transformation
Router# config term
Router(config)# crypto ipsec transform-set
myset esp-3des esp-sha-hmac
Router(config-isakmp)# exit
5
Erstellen der IPSEC-Zugriffsliste
Router# config term
Enter configuration commands, one per line.
End with CNTL/Z.
Router(config)# access-list 101 permit ip
172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255
Router(config)# exit
VMware, Inc.
97
6
Binden der Richtlinie an eine Crypto Map und Bezeichnen der Crypto Map
Im folgenden Beispiel wird die Crypto Map mit „MYVPN“ bezeichnet.
Router# config term
Router(config)# crypto map MYVPN 1
ipsec-isakmp
% NOTE: This new crypto map will remain
disabled until a peer and a valid
access list have been configured.
Router(config-crypto-map)# set transform-set
myset
Router(config-crypto-map)# set pfs group1
Router(config-crypto-map)# set peer
10.115.199.103
Router(config-crypto-map)# match address 101
Router(config-crypto-map)# exit
Beispiel: Beispielkonfiguration
router2821#show running-config output
Building configuration...
Current configuration : 1263 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router2821
!
boot-start-marker
boot-end-marker
!
! card type command needed for slot 0
! card type command needed for slot 1
enable password cisco
!
no aaa new-model
!
resource policy
!
ip subnet-zero
!
ip cef
!no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key vshield address 10.115.199.103
!
98
VMware, Inc.
crypto ipsec transform-set myset esp-3des
esp-sha-hmac
!
crypto map MYVPN 1 ipsec-isakmp
set peer 10.115.199.103
set transform-set myset
set pfs group1
match address 101
!
ip address 10.24.120.90 255.255.252.0
duplex auto
speed auto
crypto map MYVPN
!
ip address 172.16.0.1 255.255.0.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.24.123.253
!
ip http server
no ip http secure-server
!
access-list 101 permit ip 172.16.0.0
0.0.255.255 192.168.5.0 0.0.0.255
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!
scheduler allocate 20000 1000
!
end
Verwenden von Cisco ASA 5510
Verwenden Sie die folgende Ausgabe für die Konfiguration von Cisco ASA 5510.
ciscoasa# show running-config output
: Saved
:
ASA Version 8.2(1)18
!
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
VMware, Inc.
99
names
!
interface Ethernet0/0
nameif untrusted
security-level 100
ip address 10.24.120.90 255.255.252.0
!
nameif trusted
security-level 90
ip address 172.16.0.1 255.255.0.0
!
shutdown
no nameif
no security-level
no ip address
!
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
boot system disk0:/asa821-18-k8.bin
ftp mode passive
access-list ACL1 extended permit ip 172.16.0.0 255.255.0.0
192.168.5.0 255.255.255.0
access-list ACL1 extended permit ip 192.168.5.0 255.255.255.0
172.16.0.0 255.255.0.0
access-list 101 extended permit icmp any any
pager lines 24
mtu untrusted 1500
mtu trusted 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any untrusted
icmp permit any trusted
no asdm history enable
arp timeout 14400
access-group 101 in interface untrusted
access-group 101 out interface untrusted
access-group 101 in interface trusted
access-group 101 out interface trusted
route untrusted 10.115.0.0 255.255.0.0 10.24.123.253 1
route untrusted 192.168.5.0 255.255.255.0 10.115.199.103 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 icmp 0:00:02
100
VMware, Inc.
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00
sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
crypto ipsec transform-set MYSET esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map MYVPN 1 match address ACL1
crypto map MYVPN 1 set pfs
crypto map MYVPN 1 set peer 10.115.199.103
crypto map MYVPN 1 set transform-set MYSET
crypto map MYVPN interface untrusted
crypto isakmp enable untrusted
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 10.0.0.0 255.0.0.0 untrusted
telnet timeout 5
ssh timeout 5
console timeout 0
no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username admin password f3UhLvUj1QsXsuK7 encrypted
tunnel-group 10.115.199.103 type ipsec-l2l
tunnel-group 10.115.199.103 ipsec-attributes
pre-shared-key *
!
!
prompt hostname context
Cryptochecksum:29c3cc49460831ff6c070671098085a9
: end
Konfigurieren von WatchGuard Firebox X500
Sie können Ihre WatchGuard Firebox X500 als Remote-Gateway konfigurieren.
HINWEIS Genaue Anweisungen finden Sie in Ihrer WatchGuard Firebox-Dokumentation.
Vorgehensweise
1
Wählen Sie in „Firebox System Manager“ [Tools] > [Policy Manager] >.
2
Wählen Sie in „Policy Manager“ [Network] > [Configuration] .
3
Konfigurieren Sie die Schnittstellen und klicken Sie auf [OK] .
4
(Optional) Wählen Sie [Network] > [Routes] , um eine Standardroute zu konfigurieren.
VMware, Inc.
101
5
Wählen Sie [Network] > [Branch Office VPN] > [Manual IPSec] , um das Remote-Gateway zu konfigurieren.
6
Klicken Sie im Dialogfeld „IPSec Configuration“ auf [Gateways] , um das IPSEC Remote Gateway zu
konfigurieren.
7
Klicken Sie im Dialogfeld „IPSec Configuration“ auf [Tunnels] , um einen Tunnel zu konfigurieren.
8
Klicken Sie im Dialogfeld „IPSec Configuration“ auf [Add] , um eine Routing-Richtlinie hinzuzufügen.
9
Klicken Sie auf [Schließen] .
10
Bestätigen Sie, dass der Tunnel aktiv ist.
Beheben von vShield Edge-Konfigurationsfehlern – Beispiel
Anhand dieser Informationen können Sie konfigurationsbedingte Aushandlungsprobleme beheben.
Erfolgreiche Aushandlung (sowohl Phase 1 als auch Phase 2)
Die folgenden Beispiele zeigen das Ergebnis einer erfolgreichen Aushandlung zwischen vShield Edge und
einem Cisco-Gerät.
vShield Edge
Von der vShield Edge-Befehlszeilenschnittstelle aus (ipsec auto-status, Teil des Befehls „show service ipsec“):
000 #2: "s1-c1":500 STATE_QUICK_I2 (sent QI2, IPsec SA established);
EVENT_SA_REPLACE in 2430s; newest IPSEC; eroute owner; isakmp#1; idle;
import:admin initiate
000 #2: "s1-c1" [email protected] [email protected]
[email protected] [email protected] ref=0 refhim=4294901761
000 #1: "s1-c1":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in
27623s; newest ISAKMP; lastdpd=0s(seq in:0 out:0); idle;
Cisco
ciscoasa# show crypto isakmp sa detail
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
IKE Peer: 10.20.129.80
Type : L2L
Role
Rekey : no
State
: responder
: MM_ACTIVE
Encrypt : 3des
Hash
: SHA
Auth : preshared Lifetime: 28800
Lifetime Remaining: 28379
102
VMware, Inc.
Phase 1-Richtlinie stimmt nicht überein
Im Folgenden sind Protokolleinträge für Fehler aufgrund der Nichtübereinstimmung der Phase-1-Richtlinie
aufgeführt.
vShield Edge
vShield Edge hängt im Zustand „STATE_MAIN_I1“. Suchen Sie unter „/var/log/messages“ nach Informationen, die zeigen, dass der Peer eine IKE-Meldung zurückgesendet hat, bei der „NO_PROPOSAL_CHOSEN“
festgelegt ist.
000 #1: "s1-c1":500 STATE_MAIN_I1 (sent MI1,
expecting MR1); EVENT_RETRANSMIT in 7s; nodpd; idle;
000 #1: pending Phase 2 for "s1-c1" replacing #0
Aug 26 12:31:25 weiqing-desktop pluto[6569]:
| got payload 0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0
| ***parse ISAKMP Notification Payload:
|
next payload type: ISAKMP_NEXT_NONE
Aug 26 12:31:25 weiqing-desktop pluto[6569]: |
length: 96
|
DOI: ISAKMP_DOI_IPSEC
protocol ID: 0
SPI size: 0
|
Notify Message Type: NO_PROPOSAL_CHOSEN
"s1-c1" #1: ignoring informational payload,
type NO_PROPOSAL_CHOSEN msgid=00000000
Cisco
Wenn „debug crypto“ aktiviert ist, wird eine Fehlermeldung ausgegeben, die angibt, dass keine Vorschläge
akzeptiert wurden.
ciscoasa# Aug 26 18:17:27 [IKEv1]:
IP = 10.20.129.80, IKE_DECODE RECEIVED
Message (msgid=0) with payloads : HDR + SA (1)
+ VENDOR (13) + VENDOR (13) + NONE (0) total length : 148
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80,
processing SA payload
Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute
types for class Group Description: Rcv'd: Group 5
Cfg'd: Group 2
Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute
types for class Group Description: Rcv'd: Group 5
Cfg'd: Group 2
Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, IKE_DECODE SENDING
Message (msgid=0) with payloads : HDR + NOTIFY (11)
+ NONE (0) total length : 124
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80,
All SA proposals found unacceptable
Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, Error processing
payload: Payload ID: 1
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, IKE MM Responder
FSM error history (struct &0xd8355a60) <state>, <event>:
VMware, Inc.
103
MM_DONE, EV_ERROR-->MM_START, EV_RCV_MSG-->MM_START,
EV_START_MM-->MM_START, EV_START_MM-->MM_START,
EV_START_MM-->MM_START, EV_START_MM-->MM_START,
EV_START_MM-->MM_START, EV_START_MM
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, IKE SA
MM:9e0e4511 terminating: flags 0x01000002, refcnt 0,
tuncnt 0
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, sending
delete/delete with reason message
Phase 2 stimmt nicht überein
Im Folgenden sind Protokolleinträge für Fehler aufgrund der Nichtübereinstimmung der Phase-2-Richtlinie
aufgeführt.
vShield Edge
vShield Edge hängt im Status „STATE_QUICK_I1“. Ein Protokollmeldung zeigt, dass der Peer eine
NO_PROPOSAL_CHOSEN-Meldung gesendet hat.
000 #2: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting
QR1); EVENT_RETRANSMIT in 11s; lastdpd=-1s(seq in:0 out:0);
idle; import:admin initiate
Aug 26 12:33:54 weiqing-desktop pluto[6933]: | got payload
0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0
Aug 26 12:33:54 weiqing-desktop pluto[6933]: | ***parse
ISAKMP Notification Payload:
next payload
type: ISAKMP_NEXT_NONE
length: 32
|
protocol ID: 3
SPI size: 16
Notify Message
Type: NO_PROPOSAL_CHOSEN
Aug 26 12:33:54 weiqing-desktop pluto[6933]: "s1-c1" #3:
ignoring informational payload, type NO_PROPOSAL_CHOSEN
msgid=00000000
Cisco
Die Debug-Meldungen zeigen, dass Phase 1 abgeschlossen wurde, Phase 2 jedoch fehlschlug, weil das Aushandeln der Richtlinien gescheitert ist.
Aug 26 16:03:49 [IKEv1]: Group = 10.20.129.80,
IP = 10.20.129.80, PHASE 1 COMPLETED
Aug 26 16:03:49 [IKEv1]: IP = 10.20.129.80, Keep-alive type
for this connection: DPD
Aug 26 16:03:49 [IKEv1 DEBUG]: Group = 10.20.129.80,
IP = 10.20.129.80, Starting P1 rekey timer: 21600 seconds
Aug 26 16:03:49 [IKEv1]: IP = 10.20.129.80, IKE_DECODE RECEIVED
Message (msgid=b2cdcb13) with payloads : HDR + HASH (8)
+ SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0)
total length : 288
.
104
VMware, Inc.
.
.
Aug 26 16:03:49 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80,
Session is being torn down. Reason: Phase 2 Mismatch
PFS-Nichtübereinstimmung
Im Folgenden sind Protokolleinträge für Fehler aufgrund von PFS-Nichtübereinstimmung aufgeführt.
vShield Edge
PFS wird als Teil der Phase 2 ausgehandelt. Bei Nichtübereinstimmung von PFS ähnelt das Verhalten dem
unter „Phase 2 stimmt nicht überein“, auf Seite 104 beschriebenen Fehlerfall.
000 #4: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting
QR1); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0);
idle; import:admin initiate
Aug 26 12:35:52 weiqing-desktop pluto[7312]: | got payload 0x800
(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0
| ***parse ISAKMP Notification Payload:
next payload
type: ISAKMP_NEXT_NONE
length: 32
|
protocol ID: 3
SPI size: 16
Notify Message
Type: NO_PROPOSAL_CHOSEN
Aug 26 12:35:52 weiqing-desktop pluto[7312]: "s1-c1" #1: ignoring
informational payload, type NO_PROPOSAL_CHOSEN
msgid=00000000
Aug 26 12:35:52 weiqing-desktop pluto[7312]: | info: fa 16 b3 e5
91 a9 b0 02 a3 30 e1 d9 6e 5a 13 d4
Aug 26 12:35:52 weiqing-desktop pluto[7312]: | info: 93 e5 e4 d7
| processing informational NO_PROPOSAL_CHOSEN (14)
Cisco
<BS>Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80,
IP = 10.20.129.80, sending delete/delete with
reason message
IP = 10.20.129.80, constructing blank hash payload
IP = 10.20.129.80, constructing blank hash payload
IP = 10.20.129.80, constructing IKE delete payload
IP = 10.20.129.80, constructing qm hash payload
Message (msgid=19eb1e59) with payloads : HDR + HASH (8)
+ DELETE (12) + NONE (0) total length : 80
VMware, Inc.
105
Aug 26 19:00:26 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80,
Session is being torn down. Reason: Phase 2 Mismatch
PSK stimmt nicht überein
Im Folgenden sind Protokolleinträge für Fehler aufgrund von PSK-Nichtübereinstimmung aufgeführt.
vShield Edge
Der PSK wird in der letzten Runde der Phase 1 ausgehandelt. Wenn die PSK-Aushandlung fehlschlägt, ist
der Status von vShield Edge „STATE_MAIN_I4“. Der Peer sendet eine INVALID_ID_INFORMATION-Meldung.
"s1-c1" #1: transition from state STATE_MAIN_I3 to
state STATE_MAIN_I4
STATE_MAIN_I4: ISAKMP SA established
{auth=OAKLEY_PRESHARED_KEY
cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024}
Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: Dead Peer
Detection (RFC 3706): enabled
initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW
{using isakmp#1 msgid:e8add10e proposal=3DES(3)_192-SHA1(2)_160
pfsgroup=OAKLEY_GROUP_MODP1024}
ignoring informational payload, type INVALID_ID_INFORMATION
msgid=00000000
Cisco
Aug 26 15:27:07 [IKEv1]: IP = 10.115.199.191,
IKE_DECODE SENDING Message (msgid=0) with payloads : HDR
+ KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130)
Aug 26 15:27:07 [IKEv1]: Group = 10.115.199.191,
IP = 10.115.199.191, Received encrypted Oakley Main Mode
packet with invalid payloads, MessID = 0
Message (msgid=0) with payloads : HDR + NOTIFY (11)
Aug 26 15:27:07 [IKEv1]: Group = 10.115.199.191,
IP = 10.115.199.191, ERROR, had problems decrypting
packet, probably due to mismatched pre-shared key.
Aborting
Paketerfassung für eine erfolgreiche Aushandlung
Die folgende Liste zeigt eine Paketerfassungssitzung für eine erfolgreiche Aushandlung zwischen vShield
Edge und einem Cisco-Gerät.
No.
9203
Protocol Info
ISAKMP Identity Protection
(Main Mode)
Frame 9203 (190 bytes on wire, 190 bytes captured)
106
Time
768.394800
Source
10.20.129.80
Destination
10.20.131.62
VMware, Inc.
Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd),
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Internet Protocol, Src: 10.20.129.80 (10.20.129.80),
Dst: 10.20.131.62 (10.20.131.62)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 0000000000000000
Next payload: Security Association (1)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags: 0x00
Message ID: 0x00000000
Length: 148
Security Association payload
Next payload: Vendor ID (13)
Payload length: 84
Domain of interpretation: IPSEC (1)
Situation: IDENTITY (1)
Proposal payload # 0
Next payload: NONE (0)
Payload length: 72
Proposal number: 0
Protocol ID: ISAKMP (1)
SPI Size: 0
Proposal transforms: 2
Transform payload # 0
Next payload: Transform (3)
Payload length: 32
Transform number: 0
Transform ID: KEY_IKE (1)
Life-Type (11): Seconds (1)
Life-Duration (12): Duration-Value (28800)
Encryption-Algorithm (1): 3DES-CBC (5)
Hash-Algorithm (2): SHA (2)
Authentication-Method (3): PSK (1)
Group-Description (4): 1536 bit MODP group (5)
Payload length: 32
Transform number: 1
Group-Description (4): Alternate 1024-bit MODP group (2)
Vendor ID: 4F456C6A405D72544D42754D
Payload length: 16
Vendor ID: 4F456C6A405D72544D42754D
Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD)
Payload length: 20
VMware, Inc.
107
Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD)
No.
9204
Time
768.395550
Source
10.20.131.62
Destination
10.20.129.80
Protocol Info
(Main Mode)
Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5),
Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd)
Dst: 10.20.129.80 (10.20.129.80)
Responder cookie: 34704CFC8C8DBD09
Next payload: Security Association (1)
Version: 1.0
Flags: 0x00
Length: 104
Security Association payload
Payload length: 52
Domain of interpretation: IPSEC (1)
Situation: IDENTITY (1)
Proposal payload # 1
Payload length: 40
Proposal number: 1
Protocol ID: ISAKMP (1)
SPI Size: 0
Proposal transforms: 1
Payload length: 32
Transform number: 1
Group-Description (4): Alternate 1024-bit MODP group (2)
Vendor ID: Microsoft L2TP/IPSec VPN Client
Payload length: 24
Vendor ID: Microsoft L2TP/IPSec VPN Client
No.
9205
Time
768.399599
Source
10.20.129.80
Destination
10.20.131.62
Protocol Info
(Main Mode)
108
VMware, Inc.
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Dst: 10.20.131.62 (10.20.131.62)
Next payload: Key Exchange (4)
Version: 1.0
Flags: 0x00
Length: 180
Key Exchange payload
Next payload: Nonce (10)
Payload length: 132
Key Exchange Data (128 bytes / 1024 bits)
Nonce payload
Payload length: 20
Nonce Data
No.
9206
Time
768.401192
Source
10.20.131.62
Destination
10.20.129.80
Protocol Info
(Main Mode)
Dst: 10.20.129.80 (10.20.129.80)
Next payload: Key Exchange (4)
Version: 1.0
Flags: 0x00
Length: 256
Key Exchange payload
Next payload: Nonce (10)
Payload length: 132
Key Exchange Data (128 bytes / 1024 bits)
Nonce payload
Payload length: 24
Nonce Data
Vendor ID: CISCO-UNITY-1.0
Payload length: 20
Vendor ID: CISCO-UNITY-1.0
Vendor ID: draft-beaulieu-ike-xauth-02.txt
VMware, Inc.
109
Payload length: 12
Vendor ID: draft-beaulieu-ike-xauth-02.txt
Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A
Payload length: 20
Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A
Vendor ID: CISCO-CONCENTRATOR
Payload length: 20
Vendor ID: CISCO-CONCENTRATOR
No.
9207
Time
768.404990
Source
10.20.129.80
Destination
10.20.131.62
Protocol Info
(Main Mode)
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Dst: 10.20.131.62 (10.20.131.62)
Next payload: Identification (5)
Version: 1.0
Flags: 0x01
Length: 68
Encrypted payload (40 bytes)
No.
9208
Time
768.405921
Source
10.20.131.62
Destination
10.20.129.80
Protocol Info
ISAKMP
Identity Protection
(Main Mode)
Dst: 10.20.129.80 (10.20.129.80)
Next payload: Identification (5)
Version: 1.0
Flags: 0x01
Length: 84
No.
9209
110
Time
768.409799
Source
10.20.129.80
Destination
10.20.131.62
Protocol Info
ISAKMP
Quick Mode
VMware, Inc.
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Dst: 10.20.131.62 (10.20.131.62)
Next payload: Hash (8)
Version: 1.0
Exchange type: Quick Mode (32)
Flags: 0x01
Message ID: 0x79a63fb1
Length: 292
No.
9210
Time
768.411797
Source
10.20.131.62
Destination
10.20.129.80
Protocol Info
ISAKMP
Quick Mode
Dst: 10.20.129.80 (10.20.129.80)
Version: 1.0
Flags: 0x01
Length: 292
No.
9211
Time
768.437057
Source
10.20.129.80
Destination
10.20.131.62
Protocol Info
ISAKMP
Quick Mode
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Dst: 10.20.131.62 (10.20.131.62)
Version: 1.0
VMware, Inc.
111
Flags: 0x01
Length: 52
SSL VPN-Plus – Überblick
Mit SSL VPN-Plus können Remotebenutzer eine sichere Verbindung mit privaten Netzwerken hinter einem
vShield Edge-Gateway herstellen. Remotebenutzer können auf Server und Anwendungen in den privaten
Netzwerken zugreifen.
vShield Manager
Unternehmens-LAN
Admin
Remotebenutzer stellen Verbindung
über den Webzugriffsmodus her
Internet
Externes
vShield Edge
SSL VPN
WindowsServer
Remotebenutzer stellen Verbindung
über den SSL-Client her
Konfigurieren von Network Access SSL VPN-Plus
Im Netzwerkzugriffsmodus kann ein Remotebenutzer auf private Netzwerke zugreifen, sobald er einen
SSL-Client heruntergeladen und installiert hat.
Voraussetzungen
Bei dem SSL VPN-Gateway muss Port 443 für externe Netzwerke zugänglich sein. Bei dem SSL VPN-Client
muss die IP-Adresse des vShield Edge-Gateways sowie Port 443 vom Clientsystem aus zugänglich sein.
Vorgehensweise
1
Hinzufügen eines IP-Pools auf Seite 113
Dem Remotebenutzer wird eine virtuelle IP-Adresse aus dem IP-Pool, den Sie hinzugefügt haben, zugewiesen.
2
Hinzufügen eines privaten Netzwerks auf Seite 113
Fügen Sie das Netzwerk hinzu, auf das der Remotebenutzer zugreifen soll.
3
Hinzufügen eines Installationspakets auf Seite 114
Erstellen Sie ein SSL VPN-Plus-Client-Installationspaket für den Remotebenutzer.
4
Hinzufügen eines Benutzers auf Seite 116
Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu.
112
VMware, Inc.
5
Hinzufügen der Authentifizierung auf Seite 116
Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen
authentifizierten Server werden authentifiziert.
6
Hinzufügen von SSL VPN-Plus-Servereinstellungen auf Seite 121
Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vShield Edge-Schnittstelle SSL aktivieren zu können.
7
Aktivieren des SSL VPN-Plus-Diensts auf Seite 122
Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können.
Hinzufügen eines IP-Pools
Vorgehensweise
1
2
3
4
5
6
7
Klicken Sie auf die Registerkarte [SSL VPN‐Plus] .
8
Klicken Sie im Bereich [Configure] auf [IP Pool] .
9
).
Das Dialogfeld „Add IP Pool“ wird geöffnet.
10
Geben Sie die IP-Startadresse und die IP-Endadresse für den IP-Pool ein.
11
Geben Sie die Netzmaske des IP-Pools ein.
12
Geben Sie die IP-Adresse für die Routing-Schnittstelle des vShield Edge-Gateways ein.
13
(Optional) Geben Sie eine Beschreibung für den IP-Pool ein.
14
Wählen Sie aus, ob der IP-Pool aktiviert oder deaktiviert werden soll.
15
(Optional) Geben Sie im Bereich [Advanced] den DNS-Namen ein.
16
(Optional) Geben Sie den Namen des sekundären DNS ein.
17
Geben Sie das verbindungsspezifische DNS-Suffix für die domänenbasierte Hostnamenauflösung ein.
18
Geben Sie Adresse des WINS-Servers ein.
19
Hinzufügen eines privaten Netzwerks
Vorgehensweise
1
VMware, Inc.
113
2
3
4
5
6
7
8
Klicken Sie im Bereich [Configure] auf [Private Networks] .
9
)
Das Dialogfeld „Add Private Network“ wird angezeigt.
10
Geben Sie die IP-Adresse des privaten Netzwerks ein.
11
Geben Sie die Netzmaske des privaten Netzwerks ein.
12
(Optional) Geben Sie eine Beschreibung für das Netzwerk ein.
13
Geben Sie an, ob Sie den privaten Netzwerk- und Internetdatenverkehr über das SSL VPN-Plus-aktivierte vShield Edge übertragen oder vShield Edge übergehen möchten, um den Datenverkehr direkt an
den privaten Server zu übertragen.
14
Wenn Sie [Send traffic over the tunnel] ausgewählt haben, wählen Sie [Enable TCP Optimization] ,
um die Geschwindigkeit der Internetverbindung zu optimieren.
Bei einem konventionellen SSL VPNs-Tunnel mit vollem Zugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Dies führt dazu, dass Anwendungs-Layer-Daten zweimal in zwei getrennten TCP-Streams eingekapselt werden. Wenn Pakete verloren gehen (was auch unter optimalen Internetbedingungen passieren kann), tritt eine Leistungsbeeinträchtigung mit der Bezeichnung „TCP-over-TCP Meltdown“ ein. Im Wesentlichen korrigieren zwei
TCP-Instrumente ein einzelnes Paket von IP-Daten, was den Netzdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Die TCP-Optimierung behebt dieses „TCP-over-TCP“-Problem
und sorgt somit für eine optimierte Leistung.
15
Geben Sie die Portnummern ein, die Sie öffnen möchten, damit der Remotebenutzer auf die internen
Server bzw. Maschinen des Unternehmens zugreifen kann, wie. z. B. 3389 für RDP, 20/21 für FTP und
80 für HTTP. Wenn Sie möchten, dass der Benutzer uneingeschränkten Zugriff erhält, lassen Sie das
Feld [Ports] leer.
16
Geben Sie an, ob Sie das private Netzwerk aktivieren oder deaktivieren möchten.
17
Weiter
n
Fügen Sie einen IP-Pool hinzu.
n
Fügen Sie eine entsprechende Firewallregel hinzu, um den privaten Netzwerkdatenverkehr zuzulassen.
Hinzufügen eines Installationspakets
Vorgehensweise
114
1
2
3
VMware, Inc.
4
5
6
7
8
Klicken Sie im Bereich [Configure] auf [Installation Package] .
9
).
Das Dialogfeld „Add Installation Package“ wird geöffnet.
10
Geben Sie einen Profilnamen für das Installationspaket ein.
11
Geben Sie unter [Gateway] die IP-Adresse oder den FQDN der öffentlichen vShield Edge-Schnittstelle
ein.
Diese IP-Adresse bzw. der FQDN ist an den SSL-Client gebunden. Wenn der Client installiert wird,
können Sie diese IP-Adresse bzw. diesen FQDN auf dem SSL-Client sehen.
12
Geben Sie die Portnummer ein, die Sie in den Servereinstellungen für SSL VPN-Plus angegeben haben.
Siehe „Hinzufügen von SSL VPN-Plus-Servereinstellungen“, auf Seite 121.
13
(Optional) Um weitere vShield Edge-Uplink-Schnittstellen an den SSL-Client zu binden, führen Sie die
folgenden Schritte aus:
a
).
b
Geben Sie die IP-Adresse und die Portnummer ein.
c
14
Das Installationspaket wird standardmäßig für das Windows-Betriebssystem erstellt. Wählen Sie „Linux“ oder „Mac“, um auch ein Installationspaket für das Linux- bzw. Mac-Betriebssystem zu erstellen.
15
(Optional) Geben Sie eine Beschreibung für das Installationspaket ein.
16
Wählen Sie [Enable] , um das Installationspaket auf der Seite „Installation Package“ anzuzeigen.
17
Wählen Sie bei Bedarf die folgenden Optionen aus.
18
VMware, Inc.
Option
Beschreibung
Start client on logon
Wenn sich der Remotebenutzer beim System anmeldet, wird der SSL VPNClient gestartet.
Allow remember password
Aktiviert die Option zum Speichern des Kennworts.
Enable silent mode installation
Blendet die Installationsbefehle des Remotebenutzers aus.
Hide SSL client network adapter
Blendet den VMware SSL VPN-Plus-Adapter aus, der zusammen mit dem
SSL VPN-Installationspaket auf dem Computer des Remotebenutzers installiert ist.
Hide client system tray icon
Mit dieser Option können Sie das SSL VPN-Taskleistensymbol, das angibt,
ob die VPN-Verbindung aktiv ist oder nicht, ausblenden.
Create desktop icon
Erstellt auf dem Desktop des Benutzers ein Symbol zum Starten des SSLClients.
Enable silent mode operation
Blendet das Popup, das angibt, dass die Installation abgeschlossen ist, aus.
Server security certificate validation
Der SSL VPN-Client prüft das SSL VPN-Serverzertifikat, bevor die sichere
Verbindung hergestellt wird.
Klicken Sie auf [OK.]
115
Weiter
Hinzufügen der Benutzeranmeldedaten des Remotebenutzers
Hinzufügen eines Benutzers
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie im Bereich [Configure] auf [Users] .
9
).
Das Dialogfeld „Add User“ wird geöffnet.
10
Geben Sie die Benutzer-ID ein.
11
Geben Sie das Kennwort ein.
12
Geben Sie das Kennwort erneut ein.
13
(Optional) Geben Sie den Vornamen des Benutzers ein.
14
(Optional) Geben Sie den Nachnamen des Benutzers ein.
15
(Optional) Geben Sie eine Beschreibung für den Benutzer ein.
16
Wählen Sie unter „Password Details“ die Option [Password never expires] aus, sodass das Benutzerkennwort immer beibehalten wird.
17
Weiter
Hinzufügen von SSL VPN-Servereinstellungen.
Hinzufügen der Authentifizierung
Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius
oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
n
Hinzufügen des AD-Authentifizierungsservers auf Seite 117
Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle
Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
n
Hinzufügen des LDAP-Authentifizierungsservers auf Seite 118
Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden.
Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
116
VMware, Inc.
n
Hinzufügen eines RADIUS-Authentifizierungsservers auf Seite 119
Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
n
Hinzufügen eines RSA-ACE-Authentifizierungsservers auf Seite 120
Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
n
Hinzufügen eines lokalen Authentifizierungsservers auf Seite 120
Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
Hinzufügen des AD-Authentifizierungsservers
Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie im Bereich [Configure] auf [Authentication] .
9
)
Das Dialogfeld „Add Server“ wird geöffnet.
10
Wählen Sie unter [Type] die Option [AD] aus.
11
Geben Sie die IP-Adresse des externen Servers ein.
12
Geben Sie die Portnummer für den AD-Server ein.
13
Wählen Sie [Enable SSL] , um den SSL-Dienst auf dem angegebenen Server zu aktivieren.
14
Geben Sie unter [Timeout Period] den Zeitraum in Sekunden ein, innerhalb dem der AD-Server antworten muss.
15
Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist.
16
Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben.
Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen.
17
Geben Sie den Bind-DN ein.
Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die
Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte AD-Benutzer abzufragen. Wenn der DN
zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des AD-Benutzers verwendet.
VMware, Inc.
117
18
Geben Sie das Bind-Kennwort zum Authentifizieren des AD-Benutzers ein.
19
Geben Sie das Bind-Kennwort erneut ein.
20
Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird.
Für Active Directory lautet der Attributname für die Anmeldung sAMAccountName.
21
Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen.
Das Format für Suchfilter lautet Attribut Operator Wert.
22
Wählen Sie [Use this server for secondary authentication] , wenn Sie diesen AD-Server als zweite Authentifizierungsebene verwenden möchten.
23
Hinzufügen des LDAP-Authentifizierungsservers
Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
Vorgehensweise
1
2
3
4
5
6
7
8
9
)
10
Wählen Sie unter [Type] die Option [LDAP] aus.
11
12
Geben Sie die Portnummer für den LDAP-Server ein.
13
14
Geben Sie das Zeitlimit in Sekunden ein.
15
16
118
VMware, Inc.
17
Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte LDAP-Benutzer abzufragen. Wenn der DN
zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des LDAP-Benutzers
verwendet.
18
Geben Sie das Bind-Kennwort zum Authentifizieren des LDAP-Benutzers ein und bestätigen Sie es.
19
20
21
Wählen Sie [Use this server for secondary authentication] , wenn Sie diesen LDAP-Server als zweite
Authentifizierungsebene verwenden möchten.
22
Hinzufügen eines RADIUS-Authentifizierungsservers
Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden.
Vorgehensweise
1
2
3
4
5
6
7
8
9
)
10
Wählen Sie unter [Type] die Option [RADIUS] aus.
11
Geben Sie die IP-Adresse des RSA Radius-Servers ein.
12
Geben Sie die Portnummer des RADIUS-Servers ein.
13
14
15
Geben Sie das Shared Secret ein, das Sie beim Hinzufügen des Authentifizierungsagenten in der RSASicherheitskonsole festgelegt haben, und bestätigen Sie es durch erneute Eingabe.
16
Geben Sie die NAS-IP-Adresse für die Authentifizierung ein.
17
Geben Sie die Anzahl der Verbindungsversuche an, die durchgeführt werden sollen, wenn der RADIUS-Server nicht antwortet.
VMware, Inc.
119
18
Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten.
Wählen Sie bei Bedarf [Terminate Session if authentication fails] .
19
Hinzufügen eines RSA-ACE-Authentifizierungsservers
Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden.
Vorgehensweise
1
2
3
4
5
6
7
8
9
)
10
Wählen Sie unter [Type] die Option [RSA‐ACE] aus.
11
(Optional) Geben Sie das Zeitlimit (in Sekunden) für den RSA-Server ein.
12
Wählen Sie unter [Configuration File] die Datei sdconf.rec aus, die Sie vom RSA Authentication Manager heruntergeladen haben.
13
14
Geben Sie im Abschnitt [Advanced] die IP-Adresse der vShield Edge-Schnittstelle ein, über die der
RSA-Server verfügbar ist.
15
16
Hinzufügen eines lokalen Authentifizierungsservers
Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle
Vorgehensweise
120
1
2
3
4
5
VMware, Inc.
6
7
8
9
)
10
Wählen Sie unter [Type] die Option [LOCAL] aus.
11
Wählen Sie zum Definieren einer Kennwortrichtlinie die Option [Password Policy] aus und geben Sie
die erforderlichen Werte an.
12
Definieren Sie eine Kontosperrungsrichtlinie, indem Sie die Option [Enable] neben [Account Lockout
Policy] auswählen.
a
Geben Sie unter [Retry Count] die Anzahl der möglichen Wiederholungsversuche für den Remotebenutzer ein, falls dieser ein falsches Kennwort eingegeben hat.
b
Geben Sie unter [Retry Duration] das Zeitintervall ein, nach dessen Ablauf das Konto des Remotebenutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird.
Wenn Sie beispielsweise für [Retry Count] den Wert 5 und für [Retry Duration] 1 Minute festlegen, wird das Konto des Remotebenutzers nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt.
c
Geben Sie unter [Lockout Duration] die Dauer der Kontosperre ein. Nach Ablauf dieser Zeitspanne wird die Kontosperre automatisch aufgehoben.
13
14
15
Hinzufügen von SSL VPN-Plus-Servereinstellungen
Vorgehensweise
1
2
3
4
5
6
7
8
9
Klicken Sie im Bereich [Configure] auf [Server Settings] .
10
Klicken Sie auf [Change.]
Das Dialogfeld „Change Server Settings“ wird geöffnet.
VMware, Inc.
121
11
Wählen Sie die vShield Edge-Schnittstelle aus, für die Sie SSL VPN-Plus aktivieren möchten. Wählen
Sie [ANY ‐ 0.0.0.0] , um SSL VPN-Plus auf allen Schnittstellen des ausgewählten vShield Edge zu aktivieren.
12
Ändern Sie die Portnummer, falls erforderlich. Diese Portnummer ist für das Konfigurieren des Installationspakets erforderlich.
13
Wählen Sie die Verschlüsselungsmethode aus.
14
(Optional) Wählen Sie in der Tabelle „Server Certificates“ das Serverzertifikat aus, das Sie hinzufügen
möchten.
15
Weiter
Aktivieren Sie den SSL VPN-Plus-Dienst.
Aktivieren des SSL VPN-Plus-Diensts
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf
.
Weiter
Auf dem Dashboard werden Dienststatus, Anzahl der aktiven SSL VPN-Sitzungen sowie Sitzungsstatistiken
und Datenflussinformationen angezeigt.
Konfigurieren von Web Access SSL VPN-Plus
Im Webzugriffsmodus kann ein Remotebenutzer auf private Netzwerke zugreifen, ohne einen SSL-Client
herunterladen zu müssen.
Vorgehensweise
1
Erstellen einer Webressource auf Seite 123
Sie können einen Server für den Webzugriff hinzufügen, mit dem der Remotebenutzer über einen
Webbrowser eine Verbindung herstellen kann.
2
Hinzufügen eines Benutzers auf Seite 123
3
Hinzufügen der Authentifizierung auf Seite 124
Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen
authentifizierten Server werden authentifiziert.
122
VMware, Inc.
4
Hinzufügen von SSL VPN-Plus-Servereinstellungen auf Seite 129
5
Aktivieren des SSL VPN-Plus-Diensts auf Seite 130
Erstellen einer Webressource
Sie können einen Server für den Webzugriff hinzufügen, mit dem der Remotebenutzer über einen Webbrowser eine Verbindung herstellen kann.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf [Web Resource] .
9
).
Das Dialogfeld „Add Web Resource“ wird geöffnet.
10
Geben Sie einen Namen für die Webressource ein.
11
Geben Sie die URL der Webressource ein, auf die der Remotebenutzer zugreifen soll.
12
Je nachdem, ob der Remotebenutzer von der Webressource lesen oder darauf schreiben möchte, wählen
Sie die [HTTPMethod] aus.
13
Geben Sie die Beschreibung für die Webressource ein. Diese Beschreibung wird auf dem Web-Portal angezeigt, wenn der Remotebenutzer auf die Webressource zugreift.
14
Wählen Sie [Enable] , um die Webressource zu aktivieren. Die Webressource muss aktiviert sein, damit
der Remotebenutzer darauf zugreifen kann.
Weiter
Fügen Sie einen lokalen Benutzer oder eine Authentifizierung für einen externen Benutzer hinzu.
Vorgehensweise
1
2
3
4
5
VMware, Inc.
123
6
7
8
9
).
10
11
12
13
14
15
16
17
Weiter
Hinzufügen der Authentifizierung
Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius
oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
n
Hinzufügen des AD-Authentifizierungsservers auf Seite 124
Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle
n
Hinzufügen des LDAP-Authentifizierungsservers auf Seite 126
Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden.
n
Hinzufügen eines RADIUS-Authentifizierungsservers auf Seite 127
Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
n
Hinzufügen eines RSA-ACE-Authentifizierungsservers auf Seite 127
Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
n
Hinzufügen eines lokalen Authentifizierungsservers auf Seite 128
Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
Hinzufügen des AD-Authentifizierungsservers
Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
Vorgehensweise
1
124
VMware, Inc.
2
3
4
5
6
7
8
9
)
10
Wählen Sie unter [Type] die Option [AD] aus.
11
12
Geben Sie die Portnummer für den AD-Server ein.
13
14
Geben Sie unter [Timeout Period] den Zeitraum in Sekunden ein, innerhalb dem der AD-Server antworten muss.
15
16
17
Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte AD-Benutzer abzufragen. Wenn der DN
zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des AD-Benutzers verwendet.
18
Geben Sie das Bind-Kennwort zum Authentifizieren des AD-Benutzers ein.
19
Geben Sie das Bind-Kennwort erneut ein.
20
21
22
Wählen Sie [Use this server for secondary authentication] , wenn Sie diesen AD-Server als zweite Authentifizierungsebene verwenden möchten.
23
VMware, Inc.
125
Hinzufügen des LDAP-Authentifizierungsservers
Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert.
Vorgehensweise
1
2
3
4
5
6
7
8
9
)
10
Wählen Sie unter [Type] die Option [LDAP] aus.
11
12
Geben Sie die Portnummer für den LDAP-Server ein.
13
14
15
16
17
Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte LDAP-Benutzer abzufragen. Wenn der DN
zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des LDAP-Benutzers
verwendet.
18
Geben Sie das Bind-Kennwort zum Authentifizieren des LDAP-Benutzers ein und bestätigen Sie es.
19
20
126
21
Wählen Sie [Use this server for secondary authentication] , wenn Sie diesen LDAP-Server als zweite
Authentifizierungsebene verwenden möchten.
22
VMware, Inc.
Hinzufügen eines RADIUS-Authentifizierungsservers
Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden.
Vorgehensweise
1
2
3
4
5
6
7
8
9
)
10
Wählen Sie unter [Type] die Option [RADIUS] aus.
11
Geben Sie die IP-Adresse des RSA Radius-Servers ein.
12
Geben Sie die Portnummer des RADIUS-Servers ein.
13
14
15
Geben Sie das Shared Secret ein, das Sie beim Hinzufügen des Authentifizierungsagenten in der RSASicherheitskonsole festgelegt haben, und bestätigen Sie es durch erneute Eingabe.
16
Geben Sie die NAS-IP-Adresse für die Authentifizierung ein.
17
Geben Sie die Anzahl der Verbindungsversuche an, die durchgeführt werden sollen, wenn der RADIUS-Server nicht antwortet.
18
19
Hinzufügen eines RSA-ACE-Authentifizierungsservers
Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden.
Vorgehensweise
1
2
3
4
5
6
VMware, Inc.
127
7
8
9
)
10
Wählen Sie unter [Type] die Option [RSA‐ACE] aus.
11
(Optional) Geben Sie das Zeitlimit (in Sekunden) für den RSA-Server ein.
12
Wählen Sie unter [Configuration File] die Datei sdconf.rec aus, die Sie vom RSA Authentication Manager heruntergeladen haben.
13
14
Geben Sie im Abschnitt [Advanced] die IP-Adresse der vShield Edge-Schnittstelle ein, über die der
RSA-Server verfügbar ist.
15
16
Hinzufügen eines lokalen Authentifizierungsservers
Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle
Vorgehensweise
1
2
3
4
5
6
7
8
9
)
128
10
Wählen Sie unter [Type] die Option [LOCAL] aus.
11
Wählen Sie zum Definieren einer Kennwortrichtlinie die Option [Password Policy] aus und geben Sie
die erforderlichen Werte an.
VMware, Inc.
12
Definieren Sie eine Kontosperrungsrichtlinie, indem Sie die Option [Enable] neben [Account Lockout
Policy] auswählen.
a
Geben Sie unter [Retry Count] die Anzahl der möglichen Wiederholungsversuche für den Remotebenutzer ein, falls dieser ein falsches Kennwort eingegeben hat.
b
Geben Sie unter [Retry Duration] das Zeitintervall ein, nach dessen Ablauf das Konto des Remotebenutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird.
Wenn Sie beispielsweise für [Retry Count] den Wert 5 und für [Retry Duration] 1 Minute festlegen, wird das Konto des Remotebenutzers nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt.
c
Geben Sie unter [Lockout Duration] die Dauer der Kontosperre ein. Nach Ablauf dieser Zeitspanne wird die Kontosperre automatisch aufgehoben.
13
14
15
Hinzufügen von SSL VPN-Plus-Servereinstellungen
Vorgehensweise
1
2
3
4
5
6
7
8
9
Klicken Sie im Bereich [Configure] auf [Server Settings] .
10
Klicken Sie auf [Change.]
Das Dialogfeld „Change Server Settings“ wird geöffnet.
11
Wählen Sie die vShield Edge-Schnittstelle aus, für die Sie SSL VPN-Plus aktivieren möchten. Wählen
Sie [ANY ‐ 0.0.0.0] , um SSL VPN-Plus auf allen Schnittstellen des ausgewählten vShield Edge zu aktivieren.
12
Ändern Sie die Portnummer, falls erforderlich. Diese Portnummer ist für das Konfigurieren des Installationspakets erforderlich.
13
Wählen Sie die Verschlüsselungsmethode aus.
14
(Optional) Wählen Sie in der Tabelle „Server Certificates“ das Serverzertifikat aus, das Sie hinzufügen
möchten.
15
VMware, Inc.
129
Weiter
Aktivieren Sie den SSL VPN-Plus-Dienst.
Aktivieren des SSL VPN-Plus-Diensts
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf
.
Weiter
Auf dem Dashboard werden Dienststatus, Anzahl der aktiven SSL VPN-Sitzungen sowie Sitzungsstatistiken
und Datenflussinformationen angezeigt.
Arbeiten mit IP-Pools
Sie können einen IP-Pool hinzufügen, bearbeiten oder löschen.
Hinzufügen eines IP-Pools
Vorgehensweise
1
2
3
4
5
6
7
8
9
).
Das Dialogfeld „Add IP Pool“ wird geöffnet.
130
10
Geben Sie die IP-Startadresse und die IP-Endadresse für den IP-Pool ein.
11
Geben Sie die Netzmaske des IP-Pools ein.
VMware, Inc.
12
Geben Sie die IP-Adresse für die Routing-Schnittstelle des vShield Edge-Gateways ein.
13
(Optional) Geben Sie eine Beschreibung für den IP-Pool ein.
14
Wählen Sie aus, ob der IP-Pool aktiviert oder deaktiviert werden soll.
15
(Optional) Geben Sie im Bereich [Advanced] den DNS-Namen ein.
16
(Optional) Geben Sie den Namen des sekundären DNS ein.
17
Geben Sie das verbindungsspezifische DNS-Suffix für die domänenbasierte Hostnamenauflösung ein.
18
Geben Sie Adresse des WINS-Servers ein.
19
Bearbeiten eines IP-Pools
Sie können einen IP-Pool bearbeiten.
Vorgehensweise
1
2
3
4
5
6
7
8
9
Wählen Sie den zu bearbeitenden IP-Pool aus.
10
Wählen Sie den zu bearbeitenden IP-Pool aus.
11
).
Das Dialogfeld „Edit IP Pool“ wird geöffnet.
12
13
Löschen eines IP-Pools
Sie können einen IP-Pool löschen.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie den zu löschenden IP-Pool aus.
VMware, Inc.
131
9
).
Der ausgewählte IP-Pool wird gelöscht.
Aktivieren eines IP-Pools
Sie können einen IP-Pool aktivieren, wenn Sie möchten, dass einem Remotebenutzer eine IP-Adresse aus
dem Pool zugewiesen wird.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie den IP-Pool aus, den Sie aktivieren möchten.
9
).
Der ausgewählte IP-Pool wird aktiviert.
Deaktivieren eines IP-Pools
Sie können einen IP-Pool deaktivieren, wenn Sie nicht möchten, dass einem Remotebenutzer eine IP-Adresse aus dem Pool zugewiesen wird.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie den IP-Pool aus, den Sie deaktivieren möchten.
9
).
Der ausgewählte IP-Pool wird deaktiviert.
Ändern der Reihenfolge eines IP-Pools
SSL VPN weist dem Remotebenutzer eine IP-Adresse gemäß der Reihenfolge des IP-Pools zu.
Vorgehensweise
132
1
2
VMware, Inc.
3
4
5
6
7
8
Wählen Sie den IP-Pool aus, für den Sie die Reihenfolge ändern möchten.
9
) oder Move Down (
).
Arbeiten mit privaten Netzwerken
Sie können ein privates Netzwerk, auf das ein Remotebenutzer zugreifen kann, hinzufügen, bearbeiten oder
löschen.
Hinzufügen eines privaten Netzwerks
Vorgehensweise
1
2
3
4
5
6
7
8
9
)
Das Dialogfeld „Add Private Network“ wird angezeigt.
10
Geben Sie die IP-Adresse des privaten Netzwerks ein.
11
Geben Sie die Netzmaske des privaten Netzwerks ein.
12
(Optional) Geben Sie eine Beschreibung für das Netzwerk ein.
13
Geben Sie an, ob Sie den privaten Netzwerk- und Internetdatenverkehr über das SSL VPN-Plus-aktivierte vShield Edge übertragen oder vShield Edge übergehen möchten, um den Datenverkehr direkt an
den privaten Server zu übertragen.
14
Wenn Sie [Send traffic over the tunnel] ausgewählt haben, wählen Sie [Enable TCP Optimization] ,
um die Geschwindigkeit der Internetverbindung zu optimieren.
Bei einem konventionellen SSL VPNs-Tunnel mit vollem Zugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Dies führt dazu, dass Anwendungs-Layer-Daten zweimal in zwei getrennten TCP-Streams eingekapselt werden. Wenn Pakete verloren gehen (was auch unter optimalen Internetbedingungen passieren kann), tritt eine Leistungsbeeinträchtigung mit der Bezeichnung „TCP-over-TCP Meltdown“ ein. Im Wesentlichen korrigieren zwei
TCP-Instrumente ein einzelnes Paket von IP-Daten, was den Netzdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Die TCP-Optimierung behebt dieses „TCP-over-TCP“-Problem
und sorgt somit für eine optimierte Leistung.
VMware, Inc.
133
15
Geben Sie die Portnummern ein, die Sie öffnen möchten, damit der Remotebenutzer auf die internen
Server bzw. Maschinen des Unternehmens zugreifen kann, wie. z. B. 3389 für RDP, 20/21 für FTP und
80 für HTTP. Wenn Sie möchten, dass der Benutzer uneingeschränkten Zugriff erhält, lassen Sie das
Feld [Ports] leer.
16
Geben Sie an, ob Sie das private Netzwerk aktivieren oder deaktivieren möchten.
17
Weiter
n
Fügen Sie einen IP-Pool hinzu.
n
Fügen Sie eine entsprechende Firewallregel hinzu, um den privaten Netzwerkdatenverkehr zuzulassen.
Löschen eines privaten Netzwerks
Sie können ein privates Netzwerk löschen.
Vorgehensweise
1
2
3
4
5
6
7
8
9
Klicken Sie auf das Netzwerk, das Sie löschen möchten.
10
)
Das ausgewählte Netzwerk wird gelöscht.
Aktivieren eines privaten Netzwerks
Wenn Sie ein privates Netzwerk aktivieren, kann der Remotebenutzer über SSL VPN-Plus darauf zugreifen.
Vorgehensweise
134
1
2
3
4
5
6
7
8
9
Klicken Sie auf das Netzwerk, das Sie aktivieren möchten.
VMware, Inc.
10
).
Das ausgewählte Netzwerk wird aktiviert.
Deaktivieren eines privaten Netzwerks
Wenn Sie ein privates Netzwerk deaktivieren, kann der Remotebenutzer nicht über SSL VPN-Plus darauf
zugreifen.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf das Netzwerk, das Sie deaktivieren möchten.
9
).
Das ausgewählte Netzwerk wird deaktiviert.
Ändern der Reihenfolge eines privaten Netzwerks
SSL VPN-Plus ermöglicht Remotebenutzern den Zugriff auf private Netzwerke in der Reihenfolge, in der
sie im Bereich „Private Networks“ aufgeführt werden.
Wenn Sie für ein privates Netzwerk die Option [Enable TCP Optimization] auswählen, funktionieren innerhalb dieses Subnetzes möglicherweise einige Anwendungen, z. B. FTP im aktiven Modus, nicht. Zum
Hinzufügen eines FTP-Servers im aktiven Modus müssen Sie ein weiteres privates Netzwerk für diesen
FTP-Server mit deaktivierter Option „TCP Optimization“ hinzufügen. Außerdem muss das aktive private
TCP-Netzwerk aktiviert und über dem privaten Subnetz-Netzwerk platziert werden.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf das Symbol [Change Order] (
)
Das Dialogfeld „Change Order“ wird geöffnet.
9
10
VMware, Inc.
Wählen Sie das Netzwerk aus, für das Sie die Reihenfolge ändern möchten.
).
135
11
Arbeiten mit Installationspaketen
Sie können ein Installationspaket für den SSL-Client hinzufügen, löschen oder bearbeiten.
Hinzufügen eines Installationspakets
Vorgehensweise
1
2
3
4
5
6
7
8
9
).
Das Dialogfeld „Add Installation Package“ wird geöffnet.
10
Geben Sie einen Profilnamen für das Installationspaket ein.
11
Geben Sie unter [Gateway] die IP-Adresse oder den FQDN der öffentlichen vShield Edge-Schnittstelle
ein.
Diese IP-Adresse bzw. der FQDN ist an den SSL-Client gebunden. Wenn der Client installiert wird,
können Sie diese IP-Adresse bzw. diesen FQDN auf dem SSL-Client sehen.
12
Geben Sie die Portnummer ein, die Sie in den Servereinstellungen für SSL VPN-Plus angegeben haben.
Siehe „Hinzufügen von SSL VPN-Plus-Servereinstellungen“, auf Seite 121.
13
(Optional) Um weitere vShield Edge-Uplink-Schnittstellen an den SSL-Client zu binden, führen Sie die
folgenden Schritte aus:
a
136
).
b
Geben Sie die IP-Adresse und die Portnummer ein.
c
14
Das Installationspaket wird standardmäßig für das Windows-Betriebssystem erstellt. Wählen Sie „Linux“ oder „Mac“, um auch ein Installationspaket für das Linux- bzw. Mac-Betriebssystem zu erstellen.
15
(Optional) Geben Sie eine Beschreibung für das Installationspaket ein.
16
Wählen Sie [Enable] , um das Installationspaket auf der Seite „Installation Package“ anzuzeigen.
17
Option
Beschreibung
Start client on logon
Wenn sich der Remotebenutzer beim System anmeldet, wird der SSL VPNClient gestartet.
Allow remember password
Aktiviert die Option zum Speichern des Kennworts.
VMware, Inc.
18
Option
Beschreibung
Enable silent mode installation
Blendet die Installationsbefehle des Remotebenutzers aus.
Hide SSL client network adapter
Blendet den VMware SSL VPN-Plus-Adapter aus, der zusammen mit dem
SSL VPN-Installationspaket auf dem Computer des Remotebenutzers installiert ist.
Hide client system tray icon
Mit dieser Option können Sie das SSL VPN-Taskleistensymbol, das angibt,
ob die VPN-Verbindung aktiv ist oder nicht, ausblenden.
Create desktop icon
Erstellt auf dem Desktop des Benutzers ein Symbol zum Starten des SSLClients.
Enable silent mode operation
Blendet das Popup, das angibt, dass die Installation abgeschlossen ist, aus.
Server security certificate validation
Der SSL VPN-Client prüft das SSL VPN-Serverzertifikat, bevor die sichere
Verbindung hergestellt wird.
Weiter
Hinzufügen der Benutzeranmeldedaten des Remotebenutzers
Bearbeiten eines Installationspakets
Sie können ein Installationspaket bearbeiten.
Vorgehensweise
1
2
3
4
5
6
7
8
9
Wählen Sie das zu bearbeitende Installationspaket aus.
10
Klicken Sie auf das Symbol „Edit“ (
).
Das Dialogfeld „Edit Installation Package“ wird geöffnet.
11
12
Löschen eines Installationspakets
Sie können ein Installationspaket löschen.
Vorgehensweise
1
2
3
4
5
VMware, Inc.
137
6
7
8
9
Wählen Sie das zu löschende Installationspaket aus.
10
).
Der ausgewählte IP-Pool wird gelöscht.
Arbeiten mit Benutzern
Sie können Benutzer zur lokalen Datenbank hinzufügen, sie bearbeiten oder löschen.
Vorgehensweise
1
2
3
4
5
6
7
8
9
).
10
11
12
13
14
15
16
17
Weiter
138
VMware, Inc.
Bearbeiten eines Benutzers
Außer der Benutzer-ID können Sie alle Details für einen Benutzer bearbeiten.
Vorgehensweise
1
2
3
4
5
6
7
8
9
).
Das Dialogfeld „Edit User“ wird geöffnet.
10
11
Löschen eines Benutzers
Sie können einen Benutzer löschen.
Vorgehensweise
1
2
3
4
5
6
7
8
9
Wählen Sie den Benutzer aus, den Sie löschen möchten.
10
).
Der ausgewählte Benutzer wird gelöscht.
Ändern des Kennworts eines Benutzers
Sie können das Kennwort des Benutzers ändern.
Vorgehensweise
1
2
3
VMware, Inc.
139
4
5
6
7
8
9
Klicken Sie auf das Symbol [Change Password] .
Das Dialogfeld „Change Password“ wird geöffnet.
10
Geben Sie das neue Kennwort ein.
11
Geben Sie das neue Kennwort erneut ein.
12
Klicken Sie auf „Change password on next login“, damit das geänderte Kennwort bei der nächsten Anmeldung des Benutzers verwendet wird.
13
Bearbeiten der Client-Konfiguration
Sie können die Art und Weise ändern, wie der SSL VPN-Client-Tunnel reagiert, wenn sich der Remotebenutzer bei SSL VPN anmeldet.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf [Client Configuration] .
Das Dialogfeld „Change Client Configuration“ wird geöffnet.
9
Wählen Sie die Option [Tunneling Mode] aus.
Im Split-Tunnel-Modus fließt nur das VPN über das vShield Edge-Gateway. Im Full-Tunnel-Modus
wird das vShield Edge-Gateway zum Standardgateway des Remotebenutzers und der gesamte Datenverkehr (VPN, lokal und Internet) fließt über dieses Gateway.
10
140
Wenn Sie den Full-Tunnel-Modus gewählt haben:
a
Wählen Sie [Exclude local subnets] , sodass der lokale Datenverkehr nicht über den VPN-Tunnel
gesendet wird.
b
Geben Sie die IP-Adresse des Standard-Gateways des Remotebenutzersystems ein.
11
Wählen Sie [Enable auto reconnect] , wenn der Remotebenutzer automatisch wieder mit dem SSL
VPN-Client verbunden werden soll, nachdem die Verbindung getrennt wurde.
12
Wählen Sie [Start on login] , falls der SSL Client-Anmeldebildschirm angezeigt werden soll, wenn sich
der Remotebenutzer bei seinem Computer anmeldet.
VMware, Inc.
13
Wählen Sie [Client upgrade notification] , um den Remotebenutzer zu benachrichtigen, wenn ein Upgrade für den Client verfügbar ist. Der Remotebenutzer kann dann entscheiden, ob er das Upgrade installieren möchte.
14
Arbeiten mit Anmelde- und Abmeldeskripts
Sie können ein Anmelde- bzw. Abmeldeskript an das vShield Edge-Gateway binden.
Hinzufügen eines Skripts
Sie können mehrere Anmelde- bzw. Abmeldeskripts hinzufügen. Beispielsweise können Sie ein Anmeldeskript zum Starten von Internet Explorer mit gmail.com binden. Wenn sich der Remotebenutzer beim SSLClient anmeldet, öffnet Internet Explorer gmail.com.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf [Login/Logoff Scripts] .
9
).
Das Dialogfeld zum Hinzufügen von Anmelde- bzw. Abmeldeskripts wird geöffnet.
10
Klicken Sie unter [Script] auf [Browse] und wählen Sie das Skript aus, das Sie an das vShield EdgeGateway binden möchten.
11
Wählen Sie unter [Type] den Typ des Skripts aus.
Option
Beschreibung
Anmelden
Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN anmelden.
Logoff
Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN abmelden.
Beide
Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN anund abmelden.
12
Geben Sie eine Beschreibung für das Skript ein.
13
Wählen Sie [Enabled] , um das Skript zu aktivieren.
14
Bearbeiten eines Skripts
Sie können den Typ, die Beschreibung und den Status eines an das vShield Edge-Gateway gebundenen Anmelde- oder Abmeldeskripts ändern.
VMware, Inc.
141
Vorgehensweise
1
2
3
4
5
6
7
8
9
Wählen Sie ein Skript aus.
10
).
Das Dialogfeld zum Bearbeiten von Anmelde- bzw. Abmeldeskripts wird geöffnet.
11
12
Löschen eines Skripts
Sie können Anmelde- bzw. Abmeldeskripts löschen.
Vorgehensweise
1
2
3
4
5
6
7
8
9
10
).
Aktivieren eines Skripts
Zur ordnungsgemäßen Funktionsweise müssen Sie ein Skript aktivieren.
Vorgehensweise
142
1
2
3
4
5
VMware, Inc.
6
7
8
9
10
).
Deaktivieren eines Skripts
Sie können Anmelde- bzw. Abmeldeskripts deaktivieren.
Vorgehensweise
1
2
3
4
5
6
7
8
9
10
).
Aktualisieren eines Skripts
Nach dem Hinzufügen oder Löschen eines Skripts können Sie die Seite „Login/Logoff Scripts“ aktualisieren.
Vorgehensweise
1
2
3
4
5
6
7
8
9
10
VMware, Inc.
Klicken Sie auf das Symbol „Refresh“ (
).
143
Ändern der Reihenfolge eines Skripts
Sie können die Reihenfolge eines Skripts ändern. Angenommen, Sie haben ein Anmeldeskript zum Öffnen
von gmail.com in Internet Explorer vor ein Anmeldeskript zum Öffnen von yahoo.com gestellt. Wenn der
Remotebenutzer sich bei SSL VPN anmeldet, wird gmail.com vor yahoo.com angezeigt. Falls Sie nun die
Reihenfolge der Anmeldeskripts umkehren, wird zuerst yahoo.com und anschließend gmail.com geöffnet.
Vorgehensweise
1
2
3
4
5
6
7
8
9
Klicken Sie auf das Symbol [Change Order] (
)
Das Dialogfeld „Change Order“ wird geöffnet.
10
11
12
Wählen Sie das Skript aus, für das Sie die Reihenfolge ändern möchten.
).
SSL VPN-Plus-Protokolle
SSL VPN-Plus-Gateway-Protokolle werden an den auf der vShield Edge-Appliance konfigurierten SyslogServer gesendet. SSL VPN-Plus-Client-Protokolle werden auf dem Computer des Remotebenutzers im folgenden Verzeichnis gespeichert: %PROGRAMFILES%/VMWARE/SSL VPN Client/.
Bearbeiten der allgemeinen Einstellungen
Sie können Standard-VPN-Einstellungen bearbeiten.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf [General Settings] .
Das Dialogfeld „Change General Settings“ wird geöffnet.
144
VMware, Inc.
9
10
Auswählen
An
Prevent multiple logon using same
username
Der Remotebenutzer darf sich mit einem Benutzernamen nur einmal anmelden.
Enable compression
Aktiviert die intelligente TCP-basierte Datenkomprimierung und erhöht
die Datenübertragungsgeschwindigkeit.
Protokollierung aktivieren
Protokolliert den Datenverkehr, der über das SSL VPN-Gateway fließt.
Force virtual keyboard
Die Remotebenutzer dürfen die Web- oder Client-Anmeldeinformationen
nur über die virtuelle Tastatur eingeben.
Randomize keys of virtual keyboard
Zufällige Anordnung der Tasten der virtuellen Tastatur.
Enable forced timeout
Nach Ablauf des festgelegten Zeitlimits wird die Verbindung des Remotebenutzers getrennt. Geben Sie das Zeitlimit in Minuten ein.
Sitzungszeitüberschreitung bei
Leerlauf
Falls in der angegebenen Zeitspanne keine Benutzeraktivität stattfindet,
wird die Sitzung des Benutzers beendet.
User notification
Geben Sie die Meldung ein, die bei der Anmeldung des Remotebenutzers
angezeigt werden soll.
Enable public URL access
Ermöglicht dem Remotebenutzer den Zugriff auf Sites, die nicht vom Administrator konfiguriert wurden (und nicht im Webportal aufgeführt sind).
Bearbeiten der Webportal-Gestaltung
Sie können das Client-Banner bearbeiten, das an den SSL VPN-Client gebunden ist.
Vorgehensweise
1
2
3
4
5
6
7
8
Klicken Sie auf [Portal Customization] .
Das Dialogfeld „Change Web Portal Design“ wird geöffnet.
9
Geben Sie den Portaltitel ein.
10
Geben Sie den Firmennamen des Remotebenutzers ein.
11
Klicken Sie unter [Logo] auf [Change] und wählen Sie die Bilddatei für das Logo des Remotebenutzers
aus.
12
Klicken Sie unter [Colors] auf das Farbfeld neben dem nummerierten Element, für das Sie die Farbe ändern möchten, und wählen Sie die gewünschte Farbe aus.
13
VMware, Inc.
145
Verwalten des Lastverteilerdiensts
vShield Edge bietet Lastausgleich für TCP-, HTTP- und HTTPS-Datenverkehr. Lastausgleich bis Layer 7 ermöglicht die automatische Skalierung von Webanwendungen.
Für den Lastausgleich ordnen Sie eine externe oder öffentliche IP-Adresse einer Gruppe interner Server zu.
Der Lastausgleichsdienst akzeptiert TCP-, HTTP- oder HTTPS-Anforderungen über die externe IP-Adresse
und entscheidet, welcher interne Server verwendet werden soll. Port 8090 ist der überwachende StandardPort für TCP, Port 80 ist der Standard-Port für HTTP und Port 443 ist der Standard-Port für HTTPS.
Konfigurieren des Lastausgleichsdiensts
Sie können einen Pool von Backend-Servern erstellen und die Dienste angeben, die der Pool unterstützen
soll. Sie können dann zwei oder mehrere virtuelle Maschinen hinter einem Serverpool für den Lastausgleichsdienst zuweisen.
Vorgehensweise
1
Hinzufügen eines Serverpools auf Seite 146
Sie können einen Serverpool hinzufügen, um Backend-Server flexibel und effizient zu verwalten und
freizugeben. Ein Pool verwaltet Systemstatusprüfungs-Monitore und Lastausgleichsmethoden.
2
Hinzufügen von virtuellen Servern auf Seite 149
Fügen Sie eine interne oder Uplink-vShield Edge-Schnittstelle als virtuellen Server hinzu.
Hinzufügen eines Serverpools
Sie können einen Serverpool hinzufügen, um Backend-Server flexibel und effizient zu verwalten und freizugeben. Ein Pool verwaltet Systemstatusprüfungs-Monitore und Lastausgleichsmethoden.
Vorgehensweise
1
Öffnen des Assistenten zum Hinzufügen eines Pools auf Seite 147
Öffnen Sie den Assistenten „Add Pool“, um den Vorgang für das Hinzufügen eines Lastverteilerpools
zu starten.
2
Benennen des Lastverteilerpools auf Seite 147
Geben Sie einen aussagekräftigen Namen und eine optionale Beschreibung für den Lastverteilerpool
an.
3
Auswählen und Konfigurieren von Diensten für den Pool auf Seite 147
Sie können die Dienste auswählen und konfigurieren, die von diesem Pool unterstützt werden.
4
Definieren der Systemzustandsparameter auf Seite 148
Bei einer Systemzustandsprüfung wird geprüft, ob alle Server im Serverpool betriebsbereit sind und
auf Anfragen reagieren.
5
Hinzufügen von Servern auf Seite 148
Fügen Sie Backend-Server zum Pool hinzu.
6
Überprüfen der Einstellungen und Hinzufügen eines Pools auf Seite 149
Überprüfen Sie Ihre eingegebenen Einstellungen, bevor Sie den Serverpool hinzufügen.
146
VMware, Inc.
Öffnen des Assistenten zum Hinzufügen eines Pools
Öffnen Sie den Assistenten „Add Pool“, um den Vorgang für das Hinzufügen eines Lastverteilerpools zu
starten.
Vorgehensweise
1
2
3
4
5
6
Klicken Sie auf die Registerkarte [Load Balancer] .
7
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Pools] befinden.
8
).
Der Assistent „Add Pool“ wird geöffnet.
Benennen des Lastverteilerpools
Geben Sie einen aussagekräftigen Namen und eine optionale Beschreibung für den Lastverteilerpool an.
Vorgehensweise
1
Geben Sie auf der Seite „Name and Description“ des „Add Pool“-Assistenten einen Namen für den
Lastverteilerpool ein.
2
(Optional) Geben Sie eine Beschreibung für den Pool ein.
3
Auswählen und Konfigurieren von Diensten für den Pool
Sie können die Dienste auswählen und konfigurieren, die von diesem Pool unterstützt werden.
Vorgehensweise
1
Klicken Sie auf der Seite „Services“ des „Add Pool“-Assistenten für jeden Dienst, der unterstützt werden soll, auf [Enable] .
2
Wählen Sie für jeden aktivierten Dienst eine Ausgleichsmethode aus.
3
VMware, Inc.
Option
Beschreibung
IP_HASH
Wählt basierend auf einem Hash der Quell- und Ziel-IP-Adresse eines jeden Pakets einen Server aus.
LEAST_CONN
Verteilt basierend auf der Anzahl der bereits auf den Servern aktiven Verbindungen die Client-Anforderungen an mehrere Server. Neue Verbindungen werden an den Server mit den wenigsten Verbindungen gesendet.
ROUND_ROBIN
Dabei wird die jedem Server zugeordnete Gewichtung berücksichtigt. Dies
ist der geeignetste Algorithmus bei gleichmäßig verteilter Prozessorzeit
auf dem Server.
URI
Der linke Teil der URI (vor dem Fragezeichen) wird zerlegt und durch die
Gesamtgewichtung der laufenden Server geteilt. Aus dem Ergebnis wird
ersichtlich, welcher Server die Anforderung erhalten wird. Dies gewährleistet, dass eine URI immer auf denselben Server gerichtet ist, solange
kein Server heruntergefahren oder gestartet wird.
(Optional) Ändern Sie den Standardport für jeden aktivierten Dienst, falls erforderlich.
147
4
Wiederholen Sie Schritt 1 bis Schritt 3 für jeden weiteren Dienst, der für den Pool aktiviert werden soll.
5
Definieren der Systemzustandsparameter
Bei einer Systemzustandsprüfung wird geprüft, ob alle Server im Serverpool betriebsbereit sind und auf Anfragen reagieren.
vShield Edge unterstützt drei Prüfungsmodi für den Systemzustand.
Option
Beschreibung
TCP
TCP-Verbindungsprüfung.
HTTP
Die GET-/Standardmethode wird zum Ermitteln des Serverstatus verwendet. Nur die Antworten 2xx und 3xx
sind gültig. Andere Antworten (einschließlich keiner Antwort) deuten auf einen Serverausfall hin.
SSL
Testet Server unter Verwendung von SSLv3-Client-Hello-Meldungen. Der Server wird als gültig betrachtet,
wenn die Antwort Server-Hello-Meldungen enthält.
Vorgehensweise
1
Falls erforderlich, ändern Sie auf der Seite „Health Check“ des Assistenten „Add Pool“ den Überwachungsport für jeden Dienst, der von diesem Pool unterstützt werden soll.
Der Überwachungsport für den Systemzustand wird auch als Dienstport verwendet.
2
Wählen Sie den Prüfungsmodus für den Systemzustand für jeden Dienst aus.
3
Die Systemzustands-Prüfungsparameter werden in der nachfolgenden Tabelle aufgelistet. Sie können
die Standardwerte bei Bedarf ändern.
Parameter
Beschreibung
Interval
Intervall, zu dem ein Server angepingt wird.
Timeout
Zeit, innerhalb der eine Antwort vom Server empfangen werden muss.
Health Threshold
Anzahl der aufeinanderfolgenden erfolgreichen Systemzustandsprüfungen, die durchzuführen sind, bevor ein Server als betriebsbereit betrachtet wird.
Unhealth Threshold
Anzahl der aufeinanderfolgenden fehlgeschlagenen Systemzustandsprüfungen, die durchzuführen sind, bevor ein Server als ausgefallen betrachtet wird.
4
Geben Sie für HTTP die URI ein, auf die in den HTTP-Ping-Anforderungen verwiesen wird.
5
Hinzufügen von Servern
Fügen Sie Backend-Server zum Pool hinzu.
Vorgehensweise
1
Klicken Sie auf der Seite „Members“ auf den Assistenten „Add Pool“. Klicken Sie anschließend auf das
Symbol [Add] (
148
).
2
Geben Sie die IP-Adresse des Servers ein.
3
Geben Sie eine Gewichtung ein, um die Anzahl der Anforderungen festzulegen, die von diesem Backend-Server bedient werden sollen.
4
Ändern Sie bei Bedarf den Standardport und den Überwachungsport für den Server.
5
6
Wiederholen Sie die Schritte Schritt 1 bis Schritt 5, um weitere Server hinzuzufügen.
VMware, Inc.
7
Überprüfen der Einstellungen und Hinzufügen eines Pools
Überprüfen Sie Ihre eingegebenen Einstellungen, bevor Sie den Serverpool hinzufügen.
Vorgehensweise
1
Überprüfen Sie die Einstellungen für den Serverpool auf der Seite „Ready to Complete“ des Assistenten
„Add Pool“.
2
Klicken Sie auf [Previous] , um die Einstellungen zu ändern.
3
Klicken Sie auf [Finish] , um die Einstellungen zu übernehmen und den Pool hinzuzufügen.
4
Klicken Sie auf [Publish Changes] , damit die Pool-Konfiguration wirksam wird.
Hinzufügen von virtuellen Servern
Fügen Sie eine interne oder Uplink-vShield Edge-Schnittstelle als virtuellen Server hinzu.
Vorgehensweise
1
2
3
4
5
6
7
Klicken Sie auf die Registerkarte [Virtual Servers] .
8
).
9
Geben Sie einen Namen für den virtuellen Server ein.
10
(Optional) Geben Sie eine Beschreibung für den virtuellen Server ein.
11
Geben Sie die IP-Adresse der vShield Edge-Schnittstelle ein.
12
Wählen Sie den Pool aus, der dem virtuellen Server zugewiesen werden soll.
Die vom ausgewählten Pool unterstützten Dienste werden angezeigt.
13
Aktivieren Sie die Dienste, die unterstützt werden sollen, indem Sie im Bereich [Services] auf [Enable]
klicken.
14
Ändern Sie nach Bedarf die Einstellungen für den Standardport, die Persistenzmethode, den CookieNamen und den Cookie-Modus.
15
Klicken Sie auf [Enabled] , um den virtuellen Server zu aktivieren.
16
Klicken Sie auf [Enable logging] .
Bearbeiten eines Serverpools
Sie können einen Serverpool bearbeiten.
Vorgehensweise
1
2
VMware, Inc.
149
3
4
5
6
7
Vergewissern Sie sich, dass Sie sich auf der Registerkarte „Pool“ befinden.
8
Wählen Sie den zu bearbeitenden Pool aus.
9
10
).
Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [Finish] .
Löschen eines Serverpools
Sie können einen Serverpool löschen.
Vorgehensweise
1
2
3
4
5
6
7
Vergewissern Sie sich, dass Sie sich auf der Registerkarte „Pool“ befinden.
8
Wählen Sie den zu bearbeitenden Pool aus.
9
10
).
Bearbeiten eines virtuellen Servers
Sie können einen virtuellen Server bearbeiten.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie den zu bearbeitenden virtuellen Server aus.
9
10
150
).
VMware, Inc.
Löschen eines virtuellen Servers
Sie können einen virtuellen Server löschen.
Vorgehensweise
1
2
3
4
5
6
7
8
Wählen Sie den zu löschenden virtuellen Server aus.
9
).
Grundlegendes zu High Availability
High Availability (HA) stellt sicher, dass in Ihrem virtuellen Netzwerk immer eine vShield Edge-Appliance
verfügbar ist. Sie können HA entweder bei der Installation von vShield Edge oder in einer installierten
vShield Edge-Instanz aktivieren.
Statusbehaftete High Availability
Die primäre vShield Edge-Appliance befindet sich im aktiven und die sekundäre Appliance im Standby-Zustand. Alle vShield Edge-Dienste werden auf der aktiven Appliance ausgeführt. Die primäre Appliance hält
ein Taktsignal mit der Standby-Appliance aufrecht und sendet Dienst-Updates über eine interne Schnittstelle.
Wenn die Standby-Appliance im festgelegten Zeitintervall (der Standardwert ist 6 Sekunden) kein Taktsignal von der primären Appliance empfängt, gilt die primäre Appliance als ausgefallen. Die Standby-Appliance wechselt in den aktiven Zustand und übernimmt die Schnittstellenkonfiguration der primären Appliance. Sie startet die vShield Edge-Dienste, die auf der primären Appliance ausgeführt wurden. Bei der
Durchführung des Wechsels wird auf der Registerkarte [System Events] ein Systemereignis unter „Settings
& Reports“ angezeigt. Der Lastausgleichdienst und der VPN-Dienst müssen die TCP-Verbindung mit
vShield Edge wiederherstellen, wodurch der Dienst kurz unterbrochen wird. Virtuelle Leitungsverbindungen und Firewall-Sitzungen zwischen der primären und der Standby-Appliance werden synchronisiert, sodass es während des Wechsels keine Dienstunterbrechung gibt.
Wenn die vShield Edge-Appliance ausfällt und ein fehlerhafter Zustand gemeldet wird, erzwingt HA die
Synchronisierung der ausgefallenen Appliance, um sie wiederherzustellen. Nach der Wiederherstellung der
Appliance übernimmt diese die Konfiguration der derzeit aktiven Appliance und bleibt im Standby-Modus.
Wenn die vShield Edge-Appliance ausgefallen ist, müssen Sie sie löschen und eine neue Appliance hinzufügen.
vShield Edge repliziert die Konfiguration der primären Appliance für die Standby-Appliance. Sie können
auch manuell zwei Appliances hinzufügen. Es wird empfohlen, die primäre und die sekundäre Appliance
in getrennten Ressourcenpools und Datenspeichern anzulegen. Wenn Sie die primäre und sekundäre Appliance im selben Datenspeicher erstellen, muss der Datenspeicher von allen Hosts im Cluster gemeinsam genutzt werden, damit das HA-Appliance-Paar auf verschiedenen ESX-Hosts bereitgestellt wird. Wenn der
Datenspeicher ein lokaler Speicher ist, werden beide virtuelle Maschinen auf demselben Host bereitgestellt.
VMware, Inc.
151
vShield Edge stellt sicher, dass sich die zwei virtuellen HA vShield Edge-Maschinen auch dann nicht auf
demselben ESX-Host befinden, wenn Sie DRS und vMotion verwendet haben (es sei denn, Sie migrieren sie
per vMotion manuell auf denselben Host). Zwei virtuelle Maschinen werden auf vCenter in demselben Ressourcenpool und Datenspeicher wie die von Ihnen konfigurierte Appliance bereitgestellt. Die IP-Adressen
von lokalen Links werden virtuellen HA-Maschinen in der vShield Edge HA zugewiesen, damit sie untereinander kommunizieren können. Sie können Verwaltungs-IP-Adressen angeben, um die lokalen Links zu
überschreiben.
Wenn Syslog-Server konfiguriert sind, werden die Protokolle auf der aktiven Appliance an die Syslog-Server gesendet.
vSphere High Availability
vShield Edge HA ist mit vSphere HA kompatibel. Wenn der Host, auf dem die vShield Edge-Instanz ausgeführt wird, ausfällt, wird vShield Edge auf dem Standby-Host neu gestartet. Hierdurch wird sichergestellt,
dass das vShield Edge HA-Paar ein weiteres Failover verarbeiten kann.
Wenn vSphere HA nicht genutzt wird, übersteht das vShield Edge HA-Aktiv-Standby-Paar ein Failover.
Falls jedoch ein weiteres Failover auftritt, bevor das zweite HA-Paar wiederhergestellt wurde, kann dies die
Verfügbarkeit von vShield Edge beeinträchtigen.
Weitere Informationen zu vSphere HA finden Sie unter vSphere-Verfügbarkeit.
Ändern der HA-Konfiguration
Sie können die HA-Konfiguration ändern, die Sie bei der Installation von vShield Edge festgelegt haben.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie die Syslog-Server angeben möchten.
6
7
8
Klicken Sie im Bereich [HA Configuration] auf [Change] .
9
Nehmen Sie im Dialogfeld „Change HA Configuration“ die entsprechenden Änderungen vor.
10
Konfigurieren von DNS-Servern
Sie können externe DNS-Server konfigurieren, an die vShield Edge Namensauflösungsanforderungen von
Clients weiterleiten können. vShield Edge leitet Clientanwendungsanforderungen an die DNS-Server weiter, um einen Netzwerknamen vollständig aufzulösen und die Antworten der Server zwischenzuspeichern.
Vorgehensweise
152
1
2
3
4
VMware, Inc.
5
6
7
Klicken Sie im Bereich [DNS Configuration] auf [Change] .
8
Klicken Sie auf [Enable DNS Service] , um den DNS-Dienst zu aktivieren.
9
Geben Sie IP-Adressen für beide DNS-Server ein.
10
Ändern Sie bei Bedarf die Cachegröße.
11
Klicken Sie auf [Enable Logging] , um den DNS-Datenverkehr zu protokollieren.
Generierte Protokolle werden an den Syslog-Server gesendet.
12
Wählen Sie die Protokollierungsebene aus.
13
Konfigurieren von Remote-Syslog-Servern
Sie können einen oder zwei Remote-Syslog-Server konfigurieren. vShield Edge-Ereignisse und -Protokolle
im Zusammenhang mit Firewallereignissen, die von vShield Edge-Appliances ausgehen, werden an die Syslog-Server gesendet.
Vorgehensweise
1
2
3
4
5
Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie die Syslog-Server angeben möchten.
6
7
Klicken Sie im Fenster [Details] neben den Syslog-Servern auf [Change] .
8
Geben Sie die IP-Adressen beider Remote-Syslog-Server ein.
9
Klicken Sie zum Speichern der Konfiguration auf [Add] .
Ändern der CLI-Anmeldedaten
Sie können die Anmeldedaten ändern, die zum Anmelden bei der Befehlszeilenschnittstelle (CLI) verwendet werden sollen.
Vorgehensweise
1
2
3
4
5
Wählen Sie eine vShield Edge-Instanz aus.
6
7
VMware, Inc.
) und wählen Sie [Change CLI Credentials] .
153
8
Durchführen eines Upgrades von vShield Edge auf Large oder XLarge
Wenn Sie eine kompakte vShield Edge-Instanz installiert haben, können Sie ein Upgrade auf eine große
(large) bzw. sehr große (x-large) vShield Edge-Instanz durchführen.
Voraussetzungen
n
Eine kompakte vShield Edge-Instanz benötigt 256 MB Speicher und 200 MB Festplattenspeicher.
n
Eine große (large) vShield Edge-Instanz benötigt 1 GB Arbeitsspeicher und 256 MB Festplattenspeicher.
n
Eine sehr große (x-large) vShield Edge-Instanz benötigt 8 GB Arbeitsspeicher und 256 MB Festplattenspeicher. Ein sehr große vShield Edge-Instanz wird für eine Umgebung empfohlen, in der der Lastausgleichsdienst für Millionen gleichzeitiger Sitzungen verwendet wird.
Vorgehensweise
1
2
3
4
5
Wählen Sie eine kompakte vShield Edge-Instanz.
6
X‐Large] .
) und wählen Sie [Upgrade to Large] oder [Upgrade to
Das Upgrade der vShield Edge-Instanz wird durchgeführt.
Herunterladen von Tech Support-Protokollen für vShield Edge
Sie können Protokolle für den technischen Support für jede vShield Edge-Instanz herunterladen. Wenn
High Availability für die vShield Edge-Instanz aktiviert ist, werden die Support-Protokolle von beiden virtuellen vShield Edge-Maschinen heruntergeladen.
Vorgehensweise
1
2
3
4
5
6
154
) und wählen Sie [Download Tech Support Logs] .
7
Sobald die Protokolle für den technischen Support generiert wurden, klicken Sie auf [Download] .
8
Wählen Sie im Dialogfeld „Select Location for Download“ das Verzeichnis aus, in dem die Protokolldatei gespeichert werden soll.
9
10
Klicken Sie auf [Schließen] .
VMware, Inc.
Synchronisieren von vShield Edge mit vShield Manager
Wenn ein vShield-Dienst nicht antwortet oder nicht mit den Angaben von vShield Manager synchron ist,
können Sie eine Synchronisierungsanforderung von vShield Manager an vShield Edge senden.
Vorgehensweise
1
2
3
4
5
6
) und wählen Sie [Force Sync] .
Erneutes Bereitstellen von vShield Edge
Wenn vShield-Dienste nach einer erzwungenen Synchronisierung nicht wie erwartet funktionieren, können
Sie die vShield Edge-Instanz erneut bereitstellen.
Vorgehensweise
1
2
3
4
5
6
) und wählen Sie [Redeploy Edge] .
Die virtuelle vShield Edge-Maschine wird durch eine neue virtuelle Maschine ersetzt und alle Dienste werden wiederhergestellt. Wenn das erneute Bereitstellen nicht funktioniert, schalten Sie die virtuelle vShield
Edge-Maschine aus und wiederholen Sie den Vorgang.
HINWEIS Das erneute Bereitstellen gelingt in den folgenden Fällen möglicherweise nicht.
n
Der Ressourcenpool, auf dem vShield Edge installiert wurde, befindet sich nicht mehr in der vCenterBestandsliste oder seine MOID (Bezeichner in vCenter Server) hat sich geändert.
n
Der Datenspeicher, auf dem vShield Edge installiert wurde, ist beschädigt, nicht gemountet oder unzugänglich.
n
Die dvportGroups, an die die vShield-Schnittstellen angeschlossen wurden, befinden sich nicht mehr in
der vCenter-Bestandsliste oder ihre MOID (Bezeichner in vCenter Server) hat sich geändert.
Wenn eine der Bedingungen zutrifft, müssen Sie die MOID des Ressourcen-Pools, des Datenspeichers oder
der dvPortGroup mit dem Befehl „REST API“ aktualisieren. Weitere Informationen hierzu finden Sie im
vShield API Programming Guide.
VMware, Inc.
155
156
VMware, Inc.
Verwalten des Einfügens von
Diensten
10
VMware-Partner können NetX-Dienste in ihre virtuelle VMware-Umgebung integrieren.
Nachdem Sie die Dienste, die Sie anbieten möchten, entworfen haben, können Sie Ihre virtuelle Dienstmaschine implementieren und Anbietervorlagen erstellen, die die Einstellungen und Konfigurationsparameter
für die Ebenen eines angebotenen Diensts oder anderer Dienste enthalten, die Sie anbieten.
Ihr Service-Administrator registriert Ihren Service Manager und den Dienst mit vShield Manager und überwacht den Systemzustand und die Leistung des Diensts.
Dienstkonsumenten können zum Konfigurieren eines Diensts für einen Bereich des Netzwerks ein Dienstprofil erstellen und anbieterspezifische Attribute des Diensts bearbeiten. Anschließend können sie einen
Dienst an eine virtuelle Leitung binden.
n
„Einfügen von Netzwerkdiensten“, auf Seite 157
n
„Ändern der Prioritäten von Diensten“, auf Seite 160
n
„Bearbeiten eines Service Manager“, auf Seite 160
n
„Löschen eines Service Manager“, auf Seite 161
n
„Bearbeiten eines Diensts“, auf Seite 161
n
„Löschen eines Diensts“, auf Seite 161
n
„Bearbeiten eines Dienstprofils“, auf Seite 161
n
„Löschen eines Dienstprofils“, auf Seite 162
Einfügen von Netzwerkdiensten
VMware Solution Partner (Anbieter) können ihre Lösungen in vShield Manager integrieren und die Bereitstellung und Verwendung dieser Lösungen automatisieren. Am Netzwerkrand können Netzwerkdienste
eingesetzt werden, die mit vShield Edge-Diensten wie Lastausgleich und der vShield Edge-Firewall zusammenarbeiten.
Vorgehensweise
1
Registrieren des Service Manager auf Seite 158
Sie müssen den Service Manager des Lösungsanbieters bei vShield Manager registrieren. Ihr Service
Manager verwaltet Ihre Dienste in der vShield-Umgebung.
2
Registrieren des Diensts auf Seite 158
Registrieren Sie den Partnerdienst, den Sie bei vShield Manager registrieren möchten.
VMware, Inc.
157
3
Erstellen von Dienstprofilen auf Seite 159
Verbraucher von Diensten können ein Dienstprofil erstellen, das eine kombinierte Einstellung der
Konfiguration, die von der Virtualisierungs-Infrastruktur zum Ausführen des Diensts benötigt wird,
und der anbieterspezifischen Konfiguration für den Dienst darstellt. Zu der anbieterspezifischen Konfiguration gehören „network-region-awareness“, Dienstqualität usw. Darüber hinaus können Sie anbieterspezifische Attribute des Diensts bearbeiten.
4
Bereitstellen des Diensts auf Seite 160
Sie können einen Dienst auf einer virtuellen Leitung bereitstellen.
Registrieren des Service Manager
Sie müssen den Service Manager des Lösungsanbieters bei vShield Manager registrieren. Ihr Service Manager verwaltet Ihre Dienste in der vShield-Umgebung.
Vorgehensweise
1
2
Klicken Sie auf [Service Insertion] .
3
Klicken Sie auf die Registerkarte [Managers] .
4
).
Das Dialogfeld „Create Service Manager“ wird geöffnet.
5
Geben Sie einen Namen für den Service Manager ein.
6
(Optional) Geben Sie eine Beschreibung für den Service Manager ein.
7
(Optional) Geben Sie unter [Administrative URL] die URL des Service Manager des Lösungsanbieters
ein.
8
(Optional) Geben Sie unter [Base API URL] die URL der Website ein, auf der die REST APIs des Service
Manager zur Verfügung stehen.
Die Basis-API URL muss nur für Lösungen angegeben werden, die direkt in die virtuelle VMware-Umgebung integriert wurden.
9
(Optional) Geben Sie unter [Vendor Details] die ID und den Namen des Lösungsanbieters ein.
10
Geben Sie unter [Credentials] den Benutzernamen und das Kennwort zur Anmeldung beim Service
Manager ein.
11
Der Service Manager, den Sie erstellt haben, wird zur Service Manager-Tabelle hinzugefügt.
Registrieren des Diensts
Registrieren Sie den Partnerdienst, den Sie bei vShield Manager registrieren möchten.
Voraussetzungen
Der VMware-Lösungsanbieter muss für Sie eine Dienstvorlage angegeben haben. Die Vorlage definiert
möglicherweise die Dienstebene, die Sie hinzufügen, oder stellt weitere Informationen zu dem Dienst bereit.
Vorgehensweise
158
1
2
VMware, Inc.
Kapitel 10 Verwalten des Einfügens von Diensten
3
4
).
Der Service Wizard wird geöffnet.
5
Geben Sie einen Namen für den Dienst ein.
6
Wählen Sie eine Kategorie für den Dienst aus, den Sie hinzufügen.
7
Wählen Sie den Service Manager für den Dienst aus.
8
Geben Sie eine Beschreibung für den Dienst ein.
9
10
Um eine Dienstkonfiguration oder andere Anbieterinformationen hinzuzufügen, klicken Sie auf [Add]
(
).
Das Dialogfeld „Create Vendor Template“ wird geöffnet.
11
Geben Sie die ID und den Namen der Anbietervorlage ein.
12
Geben Sie eine Beschreibung für die Vorlage ein.
13
14
Klicken Sie unter „Service Configuration“ auf „Next“.
15
Überprüfen Sie die Informationen zum Dienst und zur Konfiguration.
16
Der Dienst wird zur Diensttabelle hinzugefügt.
Erstellen von Dienstprofilen
Verbraucher von Diensten können ein Dienstprofil erstellen, das eine kombinierte Einstellung der Konfiguration, die von der Virtualisierungs-Infrastruktur zum Ausführen des Diensts benötigt wird, und der anbieterspezifischen Konfiguration für den Dienst darstellt. Zu der anbieterspezifischen Konfiguration gehören
„network-region-awareness“, Dienstqualität usw. Darüber hinaus können Sie anbieterspezifische Attribute
des Diensts bearbeiten.
Ein Dienst kann mehrere Dienstprofile haben.
Vorgehensweise
1
2
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden.
3
Klicken Sie auf den Dienst, für den Sie ein Profil erstellen möchten.
4
Klicken Sie auf die Registerkarte [Service Profiles] .
5
).
Das Dialogfeld „Create Service Profile“ wird geöffnet.
6
Geben Sie einen Namen und eine Beschreibung für das Profil ein.
7
Wählen Sie die Anbietervorlage aus, für die Sie die Attribute bearbeiten möchten.
8
Bearbeiten Sie die erforderlichen Attributwerte.
9
VMware, Inc.
159
Bereitstellen des Diensts
Sie können einen Dienst auf einer virtuellen Leitung bereitstellen.
Vorgehensweise
1
Wählen Sie in der Bestandsliste von vShield Manager eine Datencenterressource aus.
2
3
Klicken Sie auf die Registerkarte [Virtual Wires] .
4
Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, auf der Sie einen Dienst bereitstellen möchten.
5
Klicken Sie im Bereich [Available Services] auf [Enable Services] .
6
Wählen Sie im Dialogfeld „Apply Service Profile to this Network“ den Dienst und das Dienstprofil aus,
die Sie anwenden möchten.
7
Ändern der Prioritäten von Diensten
Dienste werden in der Reihenfolge, in der sie in der Diensttabelle aufgeführt sind, angewendet. Sie können
einen Dienst in der Tabelle nach oben oder nach unten verschieben.
Voraussetzungen
Vorgehensweise
1
2
3
4
Wählen Sie den gewünschten Dienst aus.
5
6
7
Klicken Sie auf
.
wünschte Stelle zu verschieben.
), um den Dienst an die ge-
Bearbeiten eines Service Manager
Sie können einen Service Manager bearbeiten.
Vorgehensweise
1
2
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Managers] befinden.
3
Klicken Sie auf den Service Manager, den Sie bearbeiten möchten.
4
Das Dialogfeld „Edit Service Manager“ wird geöffnet.
5
160
VMware, Inc.
Kapitel 10 Verwalten des Einfügens von Diensten
6
Löschen eines Service Manager
Sie können einen Service Manager löschen.
Vorgehensweise
1
2
3
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Managers] befinden.
4
Klicken Sie auf den Service Manager, den Sie löschen möchten.
5
).
Bearbeiten eines Diensts
Falls erforderlich, können Sie einen Dienst bearbeiten.
Vorgehensweise
1
2
3
Klicken Sie auf den Dienst, den Sie bearbeiten möchten.
4
Das Dialogfeld „Edit Service“ wird geöffnet.
5
6
Löschen eines Diensts
Sie können einen Dienst löschen.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Dienst, den Sie löschen möchten.
5
).
Bearbeiten eines Dienstprofils
Sie können die Beschreibung, die Vorlage oder die Attribute eines Dienstprofils bearbeiten.
Vorgehensweise
1
2
VMware, Inc.
161
3
4
Klicken Sie auf den Dienst, für den Sie ein Profil erstellen möchten.
5
6
Klicken Sie auf das Profil, das Sie bearbeiten möchten.
7
Das Dialogfeld „Edit Service Profile“ wird geöffnet.
8
9
Löschen eines Dienstprofils
Sie können ein Dienstprofil löschen.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Dienst, für den Sie ein Profil löschen möchten.
5
6
Klicken Sie auf das Profil, das Sie löschen möchten.
7
162
).
VMware, Inc.
vShield App-Management
11
vShield App ist eine Hypervisor-basierte Firewall, die Anwendungen im virtuellen Datencenter vor netzwerkbasierten Angriffen schützt. Organisationen erhalten Sichtbarkeit und Kontrolle über die Netzwerkkommunikation zwischen virtuellen Maschinen. Sie können Zugriffssteuerungsrichtlinien anhand logischer
Konstrukte, wie z. B. VMware vCenter™-Container und vShield-Sicherheitsgruppen, und nicht nur anhand
physischer Konstrukte, wie z. B. IP-Adressen, erstellen. Außerdem bietet die flexible IP-Adressierung die
Möglichkeit, dieselbe IP-Adresse in mehreren Tenant-Zonen zu verwenden, was die Bereitstellung vereinfacht.
Sie sollten vShield App auf jedem ESX-Host innerhalb eines Clusters installieren, damit VMware vMotionVorgänge funktionieren und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert
werden. Standardmäßig kann eine virtuelle vShield App-Appliance nicht mit vMotion verschoben werden.
n
„Senden von vShield App-Systemereignissen an einen Syslog-Server“, auf Seite 163
n
„Anzeigen des aktuellen Systemstatus einer vShield App“, auf Seite 164
n
„Neustarten einer vShield App-Instanz“, auf Seite 164
n
„Erzwingen der Synchronisierung einer vShield App mit vShield Manager“, auf Seite 164
n
„Anzeigen der Datenverkehrsstatistiken in der vShield App-Benutzeroberfläche“, auf Seite 165
n
„Herunterladen der Protokolle des technischen Supports für vShield App“, auf Seite 165
n
„Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vShield App Firewall“, auf Seite 165
n
„Ausschließen virtueller Maschinen vom Schutz durch die vShield App“, auf Seite 166
Senden von vShield App-Systemereignissen an einen Syslog-Server
Sie können vShield App-Systemmeldungen senden, die in Zusammenhang mit Firewallereignissen stehen,
die von vShield App-Appliances an einen Syslog-Server übertragen werden.
Vorgehensweise
1
Navigieren Sie im vSphere-Client zu [Bestandsliste ] > [Hosts und Cluster] .
2
Wählen Sie aus der Ressourcenstruktur einen Host aus.
3
4
Erweitern Sie im Bereich [Service Virtual Machines] die vShield App-SVM.
5
Geben Sie im Bereich „Syslog Servers“ die IP-Adresse des Syslog-Servers ein.
VMware, Inc.
163
6
Wählen Sie im Dropdown-Menü [Log Level] die Ereignisstufe aus, ab der vShield App-Ereignisse an
den Syslog-Server gesendet werden sollen.
Wenn Sie z.B. [Emergency] auswählen, werden lediglich Notfallereignisse an den Syslog-Server gesendet. Bei Auswahl von [Critical] werden kritische Ereignisse sowie Warn- und Notfallereignisse an den
Syslog-Server gesendet.
vShield App-Ereignisse werden an bis zu drei Syslog-Instanzen gesendet.
7
Klicken Sie auf [Save] , um die neuen Einstellungen zu speichern.
Anzeigen des aktuellen Systemstatus einer vShield App
Über die Option [System Status] können Sie den Integritätsstatus einer vShield App-Instanz anzeigen und
beeinflussen. Die angezeigten Details umfassen Systemstatistiken, den Status von Schnittstellen, die Softwareversion sowie Umgebungsvariablen.
Vorgehensweise
1
Navigieren Sie in vSphere Client zu [Bestandsliste ] > [Hosts und Cluster] .
2
3
4
Im Bereich „Resource Utilization“ werden die Systemdetails für die vShield App angezeigt.
Neustarten einer vShield App-Instanz
Sie können eine vShield App-Instanz neu starten, um ein Problem bei der Ausführung zu beheben.
Vorgehensweise
1
2
3
4
5
Klicken Sie auf [Restart] .
Erzwingen der Synchronisierung einer vShield App mit vShield
Manager
Über die Option [Force Sync] wird die erneute Synchronisierung einer vShield App-Instanz mit vShield Manager erzwungen. Dies kann nach einem Software-Upgrade erforderlich sein.
Vorgehensweise
164
1
2
3
4
5
Klicken Sie auf [Force Sync] .
VMware, Inc.
Kapitel 11 vShield App-Management
Anzeigen der Datenverkehrsstatistiken in der vShield AppBenutzeroberfläche
Sie können die Datenverkehrstatistiken für die einzelnen vShield-Instanzen anzeigen.
Vorgehensweise
1
2
3
4
Im Bereich „Management Port Interface“ wird die Datenverkehrsstatistik für die vShield App angezeigt.
Herunterladen der Protokolle des technischen Supports für vShield
App
Sie können die Protokolle des technischen Supports für jeden Host herunterladen, auf dem Sie vShield App
installiert haben.
Vorgehensweise
1
2
3
Klicken Sie in „Service Virtual Machines“ auf [Download Support logs] .
4
Klicken Sie auf [Log file generated; click here to download] .
5
Öffnen oder speichern Sie die Protokolldatei.
Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vShield
App Firewall
Standardmäßig ist der Datenverkehr blockiert, wenn die vShield App-Appliance ausfällt oder nicht verfügbar ist. Sie können den ausfallsicheren Modus ändern, damit der Datenverkehr durchgeleitet wird.
Vorgehensweise
1
2
3
Klicken Sie auf die Registerkarte [vShield App] .
4
Klicken Sie unter [Fail Safe] auf [Change] .
5
Klicken Sie bei „Change App Fail Policy“ auf [Yes] .
VMware, Inc.
165
Ausschließen virtueller Maschinen vom Schutz durch die vShield App
Sie können virtuelle Maschinen vom Schutz durch die vShield App ausschließen. Diese Ausschlussliste gilt
innerhalb des angegebenen vShield Manager über alle vShield App-Installationen hinweg. Wenn eine virtuelle Maschine über mehrere vNICs verfügt, werden alle vom Schutz ausgeschlossen.
vShield Manager und virtuelle Dienstmaschinen werden automatisch vom Schutz der vShield App ausgeschlossen. Sie sollten vCenter Server und virtuelle Dienstmaschinen von Partnern ebenfalls ausschließen,
damit der Datenverkehr frei fließen kann.
Das Ausschließen von virtuellen Maschinen vom Schutz der vShield App ist für Fälle nützlich, bei denen
sich vCenter Server in demselben Cluster befindet, in dem vShield App eingesetzt wird. Nach der Aktivierung dieser Funktion wird kein Datenverkehr von ausgeschlossen virtuellen Maschinen durch die vShield
App-Appliance durchgeleitet.
HINWEIS vCenter Server kann in einen Cluster verschoben werden, der von vShield App geschützt wird, er
muss jedoch bereits in der Ausschlussliste vorhanden sein, um Verbindungsprobleme mit vCenter Server zu
vermeiden.
Vorgehensweise
1
2
3
Klicken Sie auf die Registerkarte [App Global Configuration] .
4
Klicken Sie unter [ Virtual Machines Exclusion List] auf [Add.]
Das Dialogfeld „Add Virtual Machines to Exclude“ wird geöffnet.
5
Klicken Sie auf das Feld neben „Select“ und klicken Sie dann auf die virtuelle Maschine, die Sie ausschließen möchten.
6
Klicken Sie auf [Select.]
Die ausgewählte virtuelle Maschine wird zur Liste hinzugefügt.
7
166
VMware, Inc.
vShield App Flow Monitoring
12
Flow Monitoring ist ein Tool zur Datenverkehrsanalyse, mit dem Sie detaillierte Informationen zum Datenverkehr in Ihrem virtuellen Netzwerk anzeigen können, der eine vShield App-Instanz durchläuft. Die Flow
Monitoring-Ausgabe zeigt, welche Maschinen Daten über welche Anwendung austauschen. Diese Daten
umfassen die Anzahl von Sitzungen und Paketen sowie die Bytes, die pro Sitzung übertragen werden. Die
Sitzungsdetails umfassen die Quellen, Ziele, Sitzungsrichtungen und Anwendungen sowie die verwendeten
Ports. Anhand der Sitzungsdetails können Firewallregeln für das Zulassen oder Blockieren von Datenverkehr erstellt werden.
Sie können Flow Monitoring als forensisches Tool zum Ermitteln von nicht autorisierten Diensten sowie
zum Untersuchen ausgehender Sitzungen nutzen.
n
„Anzeigen der Flow Monitoring-Daten“, auf Seite 168
n
„Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow Monitoring-Bericht aus“, auf Seite 171
n
„Ändern des Datumsbereichs der Flow Monitoring-Diagramme“, auf Seite 172
VMware, Inc.
167
Anzeigen der Flow Monitoring-Daten
Sie können Datenverkehrssitzungen anzeigen, die innerhalb der angegebenen Zeitspanne von einer vShield
App überprüft wurden. Standardmäßig werden die Daten der letzten 24 Stunden angezeigt. Der Minimalwert für die Zeitspanne beträgt eine Stunde, der Maximalwert zwei Wochen.
Vorgehensweise
1
168
Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Maschine, eine Portgruppe, einen Netzwerkadapter oder eine virtuelle Leitung aus.
Option
Aktion
Auswählen eines Datencenters oder
einer virtuellen Maschine
a
b
c
Wechseln Sie zu [Inventory] > [Hosts and Clusters] .
Wählen Sie ein Datencenter oder eine virtuelle Maschine aus.
Auswählen einer Portgruppe oder
eines Netzwerkadapters
a
b
c
Wechseln Sie zu [Inventory] > [Networking] .
Wählen Sie eine Portgruppe oder einen Netzwerkadapter aus.
Auswählen einer virtuellen Leitung
a
Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie
die Registerkarte [Network Virtualization] aus.
b Klicken Sie auf die Registerkarte „Networks“.
c Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie
eine Regel hinzufügen möchten.
HINWEIS Die Registerkarte „Flow Monitoring“ für virtuelle Leitungen ist
nur verfügbar, wenn vShield App auf mindestens einem Host im Cluster
installiert ist, von dem aus die virtuelle Leitung erstellt wurde. Flow Monitoring-Daten werden nur für den Datenverkehr angezeigt, der den Host
passiert, auf dem vShield App installiert ist.
VMware, Inc.
Kapitel 12 vShield App Flow Monitoring
2
Klicken Sie auf [Flow Monitoring] .
Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten 24 Stunden
an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen.
Die Leiste am oberen Rand der Seite zeigt den Prozentsatz für den zulässigen Datenverkehr in Grün,
für den blockierten Datenverkehr in Rot und für den durch SpoofGuard blockierten Datenverkehr in
Orange an.
Die Statistiken zum Datenverkehr werden auf drei Registerkarten angezeigt:
n
[Top Flows] zeigt den gesamten eingehenden und ausgehenden Datenverkehr pro Dienst über den
angegebenen Zeitraum an. Es werden die fünf Top-Dienste angezeigt.
n
[Top Destinations] zeigt den eingehenden Datenverkehr pro Ziel über den angegebenen Zeitraum
an. Es werden die fünf Top-Ziele angezeigt.
n
[Top Sources] zeigt den ausgehenden Datenverkehr pro Quelle über den angegebenen Zeitraum
an. Es werden die fünf Top-Quellen angezeigt.
Jede Registerkarte stellt die Datenverkehrsinformationen in einem Liniendiagramm dar. Wenn Sie die
Maus über die Plot-Punkte auf dem Diagramm bewegen, werden folgende Informationen angezeigt:
Anwendung/Protokoll:Port, Datenverkehsquelle oder -Ziel (abhängig von der ausgewählten Registerkarte), Datum und Uhrzeit, ob der Datenverkehr vShield App passiert hat sowie die Paketgröße.
VMware, Inc.
169
3
Klicken Sie auf die Registerkarte [Details] .
Es werden detaillierte Informationen zum gesamten Datenverkehr für den ausgewählten Dienst angezeigt. Klicken Sie auf [Load More Records] , um weitere Flows anzuzeigen. Die Registerkarte [Allowed
Flows] enthält die zulässigen Datenverkehrssitzungen, die Registerkarte [Blocked Flows] den blockierten Datenverkehr.
Sie können nach Dienstnamen suchen.
4
Klicken Sie auf ein Element in der Tabelle, um die Regeln anzuzeigen, die den Datenverkehr zugelassen
oder blockiert haben.
Die Spalte „Description“ gibt an, ob dieser Datenverkehr durch eine Regel oder durch SpoofGuard blockiert wurde. Klicken Sie auf [Load More Records] , um zusätzliche Datenströme anzuzeigen.
170
5
Wenn Sie Regeln gruppieren möchten, wählen Sie im Dropdown-Menü [Group By] die entsprechende
Option aus.
6
Klicken Sie auf [Rule Id] , um die Regeldetails anzuzeigen.
VMware, Inc.
Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow
Monitoring-Bericht aus
Indem Sie einen Drilldown für die Datenverkehrsdaten durchführen, können Sie die Nutzung Ihrer Ressourcen auswerten und Sitzungsinformationen an die App Firewall senden, um auf jeder beliebigen Ebene
eine neue Regel zum Zulassen oder Ablehnen von Datenverkehr zu erstellen.
Vorgehensweise
1
2
Option
Aktion
a
b
c
a
b
c
a
3
Klicken Sie auf die Registerkarte [Details] .
Klicken Sie auf [Load More Records] , um weitere Flows anzuzeigen.
4
Klicken Sie auf einen Dienst, um den Datenfluss für diesen Dienst zu sehen.
Es werden alle Regeln, die Datenverkehr für diesen Dienst zugelassen oder abgelehnt haben, angezeigt.
5
VMware, Inc.
Klicken Sie auf eine Regel-ID, um die Regeldetails anzusehen.
171
6
n
n
So bearbeiten Sie eine Regel:
1
Klicken Sie auf [Edit Rule] in der Spalte [Actions] .
2
Ändern Sie den Namen, die Aktion oder die Kommentare für die Regel.
3
Klicken Sie auf OK.
So fügen Sie eine Regel hinzu:
1
Klicken Sie auf [Add Rule] in der Spalte [Actions] .
2
Füllen Sie das Formular vollständig aus, um die Regel hinzuzufügen.
Es ist nicht möglich, ein Protokoll, eine IP-Adresse oder eine MAC-Adresse als Quelle oder
Ziel zu einer Firewallregel hinzuzufügen. Falls die Quelle oder das Ziel der Regel eine IP- oder
MAC-Adresse ist, müssen Sie ein IPSet oder MACSet für diese Adresse anlegen. Falls die
Quelle oder das Ziel der Regel ein Protokoll ist, müssen Sie für dieses Protokoll einen Dienst
erstellen.
Weitere Informationen zum Ausfüllen des Formulars für Firewallregeln finden Sie unter „Hinzufügen einer Firewallregel“, auf Seite 178.
3
Die Regel wird oben in die Firewallregeltabelle eingefügt.
Ändern des Datumsbereichs der Flow Monitoring-Diagramme
Sie können den Datumsbereich der Flow Monitoring-Daten ändern, um eine Verlaufsansicht der Datenverkehrsdaten anzuzeigen.
Vorgehensweise
1
2
Option
Aktion
a
b
c
a
b
c
a
d Klicken Sie auf die Registerkarte [Sicherheit] .
172
VMware, Inc.
3
Klicken Sie neben [Time Period] auf [Change] .
4
Wählen Sie den Zeitraum aus oder geben Sie ein neues Start- und Enddatum ein.
Die maximale Zeitspanne, für die Sie Verkehrsflussdaten anzeigen können, sind die letzten zwei Wochen.
5
VMware, Inc.
Klicken Sie auf [Aktualisieren] .
173
174
VMware, Inc.
vShield App Firewall-Management
13
vShield App bietet Firewall-Schutz, indem Zugriffsrichtlinien erzwungen werden. Die Registerkarte App Firewall enthält die Zugriffssteuerungsliste für die vShield App Firewall.
n
„Verwenden der App Firewall“, auf Seite 175
n
„Arbeiten mit Firewallregeln“, auf Seite 178
n
„Verwenden von SpoofGuard“, auf Seite 183
Verwenden der App Firewall
Der App Firewall-Dienst stellt eine zentrale Firewall für ESX-Hosts dar. Die App Firewall ermöglicht das
Erstellen von Regeln, die den Zugriff auf virtuelle Maschinen sowie den Zugriff durch virtuelle Maschinen
zulassen oder blockieren. Jede installierte vShield App Instanz erzwingt die App Firewall-Regeln.
Sie können App Firewall-Regeln auf der Namespace-Ebene verwalten, um mehreren vShield App-Instanzen
unter diesen Containern einen einheitlichen Regelsatz bereitzustellen. Namespace-Ebenen umfassen Datencenter, virtuelle Leitungen und Portgruppen mit unabhängigem Namespace. Während sich die Zugehörigkeit zu diesen Containern dynamisch ändern kann, behält die App Firewall den Status vorhandener Sitzungen bei, ohne dass eine Neukonfiguration von Firewallregeln erforderlich ist. Auf diese Weise ist die App
Firewall durchgängig und effektiv für alle ESX-Hosts unter den verwalteten Containern aktiviert.
Namespaces in einer Multi-Tenant-Umgebung
Mithilfe der Namespace-Funktion kann vShield App im Multi-Tenant-Modus ausgeführt werden. Jeder Tenant kann eigene Firewallregeln und Sicherheitsgruppen haben.
Standardmäßig verwenden alle Portgruppen in einem Datencenter denselben IP-Adressbereich. Sie können
einen unabhängigen Namespace zu einer Portgruppe zuweisen. Dann gelten die Firewallregeln auf Datencenterebene nicht mehr für diese Portgruppe.
So weisen Sie einer Portgruppe eine unabhängige IP-Adresse zu
1
Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] .
2
Wählen Sie in der Ressourcenstruktur eine Portgruppe aus.
3
4
Klicken Sie auf [Namespace] .
5
Klicken Sie auf [Change to Independent namespace] .
6
Klicken Sie auf [Reload] , um die aktualisierten Informationen anzuzeigen.
VMware, Inc.
175
Grundlegendes zu Diensten und Dienstgruppen
Bei einem Dienst handelt es sich um die Kombination aus Protokoll und Port und eine Dienstgruppe ist eine
Kombination aus zwei oder mehreren Diensten. Sie können Firewallregeln für Dienste und Servicegruppen
definieren
Weitere Informationen zum Erstellen von Anwendungen finden Sie unter „Arbeiten mit Diensten und
Dienstgruppen“, auf Seite 22.
Entwerfen von Sicherheitsgruppen
Beim Erstellen von App Firewall-Regeln können Sie Regeln basierend auf dem Datenverkehr zu oder von
einem bestimmten Container definieren, die für alle Ressourcen in diesem Container gelten. Sie können beispielsweise eine Regel festlegen, die jeglichen Datenverkehr innerhalb eines Clusters blockiert, der ein bestimmtes Ziel außerhalb des Clusters hat. Sie können eine Regel erstellen, um den eingehenden Datenverkehr zu blockieren, der über keine VLAN-ID verfügt. Wenn Sie einen Container als Quelle oder Ziel angeben, berücksichtigt die Regel alle IP-Adressen innerhalb dieses Containers.
Eine Sicherheitsgruppe ist eine vertrauenswürdige Zone, die Sie zum Zweck des App Firewall-Schutzes erstellen und der Sie Ressourcen zuweisen. Sicherheitsgruppen sind Container, wie eine vApp oder ein Cluster. Sicherheitsgruppen ermöglichen das Erstellen eines Containers, indem Ressourcen wie virtuelle Maschinen und Netzwerkadapter nach Wunsch zugewiesen werden. Nach der Erstellung einer Sicherheitsgruppe
fügen Sie die Gruppe dem Quell- oder Zielfeld einer App Firewall-Regel als Container hinzu. Weitere Informationen finden Sie unter „Gruppieren von Objekten“, auf Seite 25.
Der Geltungsbereich der Sicherheitsgruppe ist auf die Ressourcenebene beschränkt, auf der sie erstellt wurde. Wenn Sie beispielsweise eine Sicherheitsgruppe auf Datencenterebene erstellen, kann die Sicherheitsgruppe nur dann als Quelle oder Ziel hinzugefügt werden, wenn Sie eine Firewallregel auf Datencenterebene erstellen. Wenn Sie eine Regel für eine Portgruppe mit einem unabhängigen Namespace innerhalb dieses
Datencenters erstellen, ist die Sicherheitsgruppe nicht verfügbar.
Grundlegendes zu systemdefinierten Regeln in App Firewall
Die standardmäßige App Firewall-Regel lässt die Durchleitung von Datenverkehr durch alle vShield AppInstanzen zu. Die Standardregel für L3-Datenverkehr wird in der Firewalltabelle auf der Registerkarte [Ge‐
neral] aufgeführt. Die Standardregel für L2-Datenverkehr können Sie in der Firewalltabelle auf der Registerkarte [Ethernet] sehen. Die Standardregel befindet sich immer am Ende der Regeltabelle und kann weder
gelöscht noch hinzugefügt werden. Sie können jedoch für jede Regel das Element [Action] von [Allow] in
[Block] ändern sowie die Anmerkungen zur Regel bearbeiten und festlegen, ob der Datenverkehr zu dieser
Regel protokolliert werden soll.
Grundlegendes zu allgemeinen Regeln und Ethernet-Regeln
Die Registerkarte [App Firewall] bietet mehrere Sätze konfigurierbarer Regeln: Layer 3-Regeln (L3-Regeln)
(Registerkarte [General] ) und Layer 2-Regeln (L2-Regeln) (Registerkarte [Ethernet] ).
Standardmäßig darf der gesamte allgemeine und Ethernet-Datenverkehr durchgeleitet werden. Sie können
Regeln auf Datencenterebene, auf der Ebene der virtuellen Leitungen sowie auf Portgruppenebene mit unabhängigen Namespaces konfigurieren.
176
VMware, Inc.
Kapitel 13 vShield App Firewall-Management
Prioritäten von Firewallregeln
Jede vShield App-Instanz erzwingt App Firewall-Regeln in absteigender Reihenfolge. Eine vShield App-Instanz vergleicht jede Datenverkehrssitzung zunächst mit der obersten Regel in der App Firewalltabelle und
anschließend mit den nachfolgenden Regeln in der Tabelle. Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen.
Das Erzwingen von Ethernet-Regeln hat Vorrang vor allgemeinen Regeln.
Planen der Erzwingung von App Firewall-Regeln
Mithilfe der App Firewall können Sie basierend auf der geltenden Netzwerkrichtlinie Zulassungs- und
Blockierungsregeln konfigurieren.
In den folgenden Beispielen werden zwei gängige Firewall-Richtlinien beschrieben:
Gesamten Datenverkehr
standardmäßig zulassen
Sie lassen standardmäßig den gesamten Datenverkehr zu und fügen Blockierungssregeln hinzu, die auf Flow Monitoring-Daten oder einer manuellen
App Firewall-Regelkonfiguration basieren. Wenn in diesem Szenario eine
Sitzung keiner der Blockierungsregeln entspricht, lässt die vShield App-Instanz die Durchleitung des Datenverkehrs zu.
Gesamten Datenverkehr
standardmäßig blockieren
Sie können den [Action] -Status der Standardregeln von [Allow] in [Block]
ändern und für bestimmte Systeme und Anwendungen explizit Zulassungsregeln hinzufügen. Wenn in diesem Szenario eine Sitzung keiner der Zulassungsregeln entspricht, unterbindet vShield App die Sitzung, bevor sie ihr
Ziel erreicht. Wenn Sie die Standardregeln so ändern, dass der gesamte Datenverkehr unterbunden wird, blockiert vShield App sowohl den ein- als
auch den ausgehenden Datenverkehr.
VMware, Inc.
177
Arbeiten mit Firewallregeln
Sie können vor oder nach dem Installieren einer Anwendung L3- und L2-Firewallregeln konfigurieren und
veröffentlichen. Sobald eine Anwendung installiert ist, werden die zuletzt veröffentlichten Firewallregeln
angewendet.
Hinzufügen einer Firewallregel
Sie können auf verschiedenen Containerebenen (Datencenter, virtuelle Leitung, Portgruppe mit unabhängigem Namespace) Firewallregeln hinzufügen. Wenn Sie pro Regel mehrere Objekte als Quell- und Zielebene
hinzufügen, können Sie die Gesamtzahl an zu erstellenden Firewallregeln verringern.
Vorgehensweise
1
Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Leitung oder eine Portgruppe mit unabhängigem Namespace aus.
Firewallregelebene
Methode
Datencenter
a
b
c
Wählen Sie ein Datencenter aus.
Virtuelle Leitung
a
d
Klicken Sie auf die Registerkarte „Networks“.
Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie
Klicken Sie auf die Registerkarte [Sicherheit] .
a
b
c
Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus.
b
c
Portgruppe mit einem unabhängigen Namespace
178
VMware, Inc.
2
Klicken Sie auf die Registerkarte [App Firewall] . Stellen Sie sicher, dass Sie für virtuelle Leitungen die
Registerkarte [Firewall] auswählen.
3
Wählen Sie zum Hinzufügen einer L3-Regel die Registerkarte [General] aus. Klicken Sie auf die Registerkarte [Ethernet] , um eine L2-Regel hinzuzufügen.
4
n
Wenn Sie eine Regel an einer bestimmten Position in die Firewalltabelle einfügen möchten, führen
Sie die folgenden Schritte aus.
a
b
n
und wählen Sie [Add Above] oder [Add Below] aus.
Um eine Regel durch Kopieren hinzuzufügen, führen Sie die folgenden Schritte aus.
a
b
c
d
u
Klicken Sie auf das Symbol „Copy“ (
).
und wählen Sie [Paste Above] oder [Paste Below] aus.
).
Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die
systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt.
5
6
VMware, Inc.
Zeigen Sie auf die Zelle [Name] der neuen Regel und klicken Sie auf
.
Geben Sie einen Namen für die neue Regel ein.
179
7
Zeigen Sie auf die Zelle [Source] der neuen Regel und klicken Sie auf
a
.
Wählen Sie unter [View] den Container des Ursprungs der Kommunikation aus.
Die Objekte des ausgewählten Containers werden angezeigt.
b
Wählen Sie mindestens ein Objekt aus und klicken Sie auf
.
Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Source“ hinzugefügt. Weitere Informationen
zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter „Gruppieren von Objekten“,
auf Seite 25.
c
Um einen Quellport anzugeben, klicken Sie auf [Advance options] und geben Sie die Portnummer
oder den Bereich ein.
d
Wählen Sie [Negate Source] , um den Quellport von der Regel auszuschließen.
e
8
Option
Ergebnis
[Negate Source] ausgewählt
Die Regel gilt für Datenverkehr, der von allen Quellen außer der Quelle, die
Sie in Schritt 7c angegeben haben, ausgeht.
[Negate Source] nicht ausgewählt
Die Regel gilt für Datenverkehr, der von der in Schritt 7c angegebenen Quelle
ausgeht.
Zeigen Sie auf die Zelle [Destination] der neuen Regel und klicken Sie auf
a
.
Wählen Sie unter [View] den Container des Ziels der Kommunikation aus.
Die Objekte des ausgewählten Containers werden angezeigt.
b
Wählen Sie mindestens ein Objekt aus und klicken Sie auf
.
Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Ziel“ hinzugefügt. Weitere Informationen
zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter „Gruppieren von Objekten“,
auf Seite 25.
c
Um einen Zielport anzugeben, klicken Sie auf [Advance options] und geben Sie die Portnummer
oder den Bereich ein.
d
Wählen Sie [Negate Destination] , um den Zielport von der Regel auszuschließen.
e
9
Option
Regel gilt für
[Negate Destination] ausgewählt
Datenverkehr zu allen Zielen außer dem Ziel, das Sie in Schritt 8c
festgelegt haben.
[Negate Destination] nicht ausgewählt
Datenverkehr an das Ziel, das Sie in Schritt 8c angegeben haben.
.
a
Klicken Sie auf [Block] , um den Datenverkehr zwischen der angegebenen Quelle und dem Ziel zu
blockieren.
b
180
VMware, Inc.
10
c
d
Klicken Sie auf [Publish Changes] , um die neue Regel in allen vShield App-Instanzen zu veröffentlichen.
Weiter
n
Deaktivieren Sie eine Regel durch Klicken auf
oder aktivieren Sie eine Regel durch Klicken auf
.
n
Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf
Spalten auswählen.
Name der Spalte
Regel-ID
Eindeutige ID, die das System für jede Regel generiert
Protokoll
Der Datenverkehr für diese Regel wird protokolliert bzw. nicht protokolliert
Statistik
Kommentare
n
klicken und die gewünschten
Klicken Sie auf
, um den Datenverkehr anzuzeigen, der unter diese Regel fällt (Anzahl der
Sitzungen, Datenpakete und Größe)
Kommentare zu dieser Regel
Suchen Sie nach Regeln, indem Sie Text in das Feld „Search“ eingeben.
Löschen einer Firewallregel
Sie können von Ihnen erstellte Firewallregeln, aber nicht die Standardregel löschen.
Vorgehensweise
1
Firewallregelebene
Methode
Datencenter
a
b
c
d
a
Virtuelle Leitung
b
c
d
e
a
b
c
d
2
3
VMware, Inc.
Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und
Cluster] .
Klicken Sie auf die Registerkarte [App Firewall] .
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Firewall] befinden.
Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Netzwerk] .
Klicken Sie auf eine Regel.
Klicken Sie auf [Delete Rule] (
).
181
Wiederherstellen einer früheren Firewallkonfiguration
vShield Manager speichert die App Firewall-Einstellungen bei jedem Veröffentlichen einer neuen Regel.
Beim Klicken auf [Publish Changes] speichert vShield Manager die vorherige Konfiguration mit einem
Zeitstempel, bevor die neue Regel hinzugefügt wird. Diese Konfigurationen sind in der Dropdown-Liste
[History] verfügbar. vShield Manager speichert die letzten zehn Konfigurationen.
Vorgehensweise
1
Firewallregelebene
Methode
Datencenter
a
Cluster] .
b
c
d
Virtuelle Leitung
a
b
c
d
e
2
Klicken Sie auf [History Options ] (
a
b
c
d
) und wählen Sie [Load History] .
Im Dialogfeld „Load History“ werden die vorherigen Konfigurationen nach Zeitstempel aufgelistet, beginnend mit der neuesten Konfiguration.
3
Wählen Sie die Konfiguration aus, die Sie wiederherstellen möchten.
4
5
Klicken Sie im Dialogfeld „Load Configuration“ auf [OK] .
6
Die ausgewählte Konfiguration wird geladen.
Ändern der Reihenfolge einer Regel
Firewallregeln werden in der Reihenfolge, in der sie in der Regeltabelle aufgeführt sind, angewendet. Sie
können eine benutzerdefinierte Regel in der Tabelle nach oben oder nach unten verschieben. Die Standardregel befindet sich immer am Ende der Tabelle und kann nicht verschoben werden.
182
VMware, Inc.
Vorgehensweise
1
Firewallregelebene
Methode
Datencenter
a
b
c
d
Virtuelle Leitung
a
b
c
d
e
2
3
Wählen Sie die Regel aus, die Sie verschieben möchten.
Klicken Sie auf das Symbol [Regel nach oben verschieben] (
(
4
a
b
c
d
Cluster] .
) oder [Regel nach unten verschieben]
).
Verwenden von SpoofGuard
Nach der Synchronisierung mit vCenter Server erfasst vShield Manager auf allen virtuellen Maschinen die
IP-Adressen aller virtuellen vCenter-Gastmaschinen aus den VMware Tools. Bis vShield 4.1 vertraute
vShield den IP-Adressen, die von den VMware Tools auf einer virtuellen Maschine bereitgestellt wurden.
Doch wenn die Sicherheit einer virtuellen Maschine gefährdet ist, kann die IP-Adresse manipuliert worden
sein, und Übertragungen mit böswilligen Absichten können Firewall-Richtlinien umgehen.
SpoofGuard ermöglicht die Autorisierung der von den VMware Tools gemeldeten IP-Adressen und bei Bedarf deren Änderung, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig
den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden.
SpoofGuard wird getrennt von den App Firewall-Regeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde.
VMware, Inc.
183
Falls aktiviert, können Sie mit SpoofGuard die von Ihren virtuellen Maschinen gemeldeten IP-Adressen in
einem der folgenden Modi überwachen und verwalten.
Automatically Trust IP
Assignments on Their
First Use
Dieser Modus erlaubt die Durchleitung des gesamten, von Ihren virtuellen
Maschinen ausgehenden Datenverkehrs. Dabei wird eine Zuweisungstabelle
zwischen vNic- und IP-Adressen erstellt. Sie können diese Tabelle überprüfen und IP-Adressenänderungen vornehmen.
Manually Inspect and
Approve All IP Assignments Before Use
In diesem Modus wird der gesamte Datenverkehr so lange blockiert, bis Sie
die jeweilige MAC-zu-IP-Adressenzuweisung genehmigen.
HINWEIS SpoofGuard lässt standardmäßig DHCP-Anforderungen unabhängig vom aktivierten Modus zu.
Im manuellen Prüfmodus wird der Datenverkehr allerdings erst durchgeleitet, nachdem die von DHCP zugewiesene IP-Adresse genehmigt wurde.
SpoofGuard-Bildschirmoptionen
Die SpoofGuard-Schnittstelle enthält die folgenden Optionen.
Tabelle 13‑1. SpoofGuard-Bildschirmoptionen
Option
Beschreibung
Active Virtual NICs
Liste aller validierten IP-Adressen
Active Virtual NICs Since Last Published
Liste mit IP-Adressen, die seit dem letzten Update der Richtlinie validiert wurden.
Virtual NICs IP Required Approval
IP-Adressenänderung, die genehmigt werden muss, bevor Datenverkehr zu
oder von diesen virtuellen Maschinen übertragen werden kann.
Virtual NICs with Duplicate IP
IP-Adressen, die im ausgewählten Datencenter Duplikate einer vorhandenen
zugewiesenen IP-Adresse sind
Inactive Virtual NICs
Liste mit IP-Adressen, bei denen die aktuelle IP-Adresse nicht der veröffentlichten IP-Adresse entspricht.
Unpublished Virtual NICs IP
Liste virtueller Maschinen, deren IP-Adressenzuweisung Sie bearbeitet, aber
noch nicht veröffentlicht haben.
Aktivieren von SpoofGuard
Sobald es aktiviert ist, können Sie SpoofGuard zum Verwalten von IP-Adresszuweisungen für Ihre komplette vCenter-Bestandsliste verwenden.
WICHTIG Sie müssen für alle vShield App-Instanzen ein Upgrade auf vShield App 1.0.0 Update 1 oder höher durchführen, bevor Sie SpoofGuard aktivieren.
184
VMware, Inc.
Vorgehensweise
1
Geltungsbereich von SpoofGuard
Methode
Datencenter
a
b
c
Virtuelle Leitung
a
d
a
b
c
b
c
2
Klicken Sie auf die Registerkarte [SpoofGuard] .
3
Klicken Sie rechts im SpoofGuard-Fenster auf [Edit] .
4
Klicken Sie für [SpoofGuard] auf [Enable] .
5
Wählen Sie für [Operation Mode] eine der folgenden Optionen aus:
6
Option
Beschreibung
Automatically Trust IP Assignments
on Their First Use
Wählen Sie diese Option, um allen IP-Zuweisungen bei der einleitenden
Registrierung bei vShield Manager zu vertrauen.
Manually Inspect and Approve All IP
Assignments Before Use
Wählen Sie diese Option, um eine manuelle Genehmigung aller IP-Adressen anzufordern. Sämtlicher Datenverkehr von und an nicht genehmigte
IP-Adressen wird blockiert.
Klicken Sie auf [Allow local address as valid address in this namespace] , um lokale IP-Adressen für
Ihr Setup zuzulassen.
Wenn Sie eine virtuelle Maschine einschalten, die keine Verbindung mit dem DHCP-Server herstellen
kann, wird ihr eine lokale IP-Adresse zugewiesen. Diese lokale IP-Adresse wird nur dann als gültig angesehen, wenn der SpoofGuard-Modus auf [Allow local address as valid address in this namespace]
festgelegt ist. Anderenfalls wird die lokale IP-Adresse ignoriert.
7
VMware, Inc.
185
Genehmigen von IP-Adressen
Wenn Sie SpoofGuard auf das Anfordern einer manuellen Genehmigung aller IP-Adressenzuweisungen
festlegen, müssen Sie IP-Adressenzuweisungen genehmigen, damit die Durchleitung von Datenverkehr von
diesen virtuellen Maschinen zugelassen wird.
Vorgehensweise
1
Firewallregelebene
Methode
Datencenter
a
b
c
Virtuelle Leitung
a
d
a
b
c
b
c
2
3
Klicken Sie auf einen der Links für Optionen.
4
Wählen Sie die virtuelle Netzwerkkarte aus, für die Sie die IP-Adresse genehmigen möchten.
5
Klicken Sie auf [Approve Detected IP] .
6
Klicken Sie auf [Publish Now] .
Bearbeiten einer IP-Adresse
Sie können die einer MAC-Adresse zugewiesene IP-Adresse bearbeiten, um diese zu korrigieren.
HINWEIS SpoofGuard lässt eine eindeutige IP-Adresse von virtuellen Maschinen zu. Sie können eine IP-Adresse jedoch nur einmal zuweisen. Eine genehmigte IP-Adresse ist im gesamten vShield-System eindeutig.
Duplizierte genehmigte IP-Adressen sind nicht zulässig.
186
VMware, Inc.
Vorgehensweise
1
Firewallregelebene
Methode
Datencenter
a
b
c
Virtuelle Leitung
a
d
a
b
c
b
c
2
3
Klicken Sie auf den Link [Virtual NICs IP Required Approval] bzw. [Virtual NICs with Duplicate
IP] .
4
Zeigen Sie auf die Zelle „Approved IP“ und klicken Sie auf das
5
Geben Sie die neue IP-Adresse ein.
6
7
.
Löschen einer IP-Adresse
Sie können eine MAC-zu-IP-Adressenzuweisung aus der SpoofGuard-Tabelle löschen, um eine nicht mehr
aktive virtuelle Maschine aus der Tabelle zu entfernen. Gelöschte Instanzen können in der SpoofGuard-Tabelle basierend auf dem nachverfolgten Datenverkehr und dem aktuellen Aktivierungsstatus von SpoofGuard erneut angezeigt werden.
Vorgehensweise
1
Firewallregelebene
Methode
Datencenter
a
b
c
Virtuelle Leitung
a
d
a
b
c
b
c
VMware, Inc.
187
188
2
3
Klicken Sie auf einen der Links für Optionen.
4
Klicken Sie auf [Clear Approved IP] .
5
VMware, Inc.
vShield Endpoint-Ereignisse und Alarme
14
vShield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance (im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich
Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien
Schutz bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden.
Der vShield Endpoint-Integritätsstatus wird mithilfe von Alarmen überwacht, die in der vCenter ServerKonsole mit roten Symbolen angezeigt werden. Zusätzlich können weitere Statusinformationen anhand der
Ereignisprotokolle gesammelt werden.
WICHTIG vCenter Server muss für die vShield Endpoint-Sicherheit ordnungsgemäß konfiguriert werden:
n
Nicht alle Gastbetriebssysteme werden von vShield Endpoint unterstützt. Virtuelle Maschinen mit
nicht unterstützten Gastbetriebssystemen werden nicht von der Sicherheitslösung geschützt. Informationen zu unterstützten Betriebssystemen finden Sie im Abschnitt „Installieren von vShield Endpoint“ in
der vShield-Kurzanleitung.
n
Alle Hosts in einem Ressourcenpool, die geschützte virtuelle Maschinen enthalten, müssen für vShield
Endpoint vorbereitet sein, damit virtuelle Maschinen weiterhin geschützt bleiben, wenn Sie mit vMotion von einem auf einen anderen ESX-Host innerhalb des Ressourcenpools migriert werden.
n
„Anzeigen des vShield Endpoint-Status“, auf Seite 189
n
„vShield Endpoint-Alarme“, auf Seite 190
n
„vShield Endpoint-Ereignisse“, auf Seite 191
n
„Überwachungsmeldungen für vShield Endpoint“, auf Seite 191
Anzeigen des vShield Endpoint-Status
Die Überwachung einer vShield Endpoint-Instanz umfasst die Überprüfung von Statusinformationen von
den vShield Endpoint-Komponenten: Sichere virtuelle Maschine (SVM), vShield Endpoint-Modul auf dem
ESX-Host und Thin-Agent auf der geschützten virtuellen Maschine.
Vorgehensweise
1
Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] .
2
Wählen Sie in der Ressourcenstruktur eine Datencenter-, Cluster- oder ESX-Host-Ressource aus.
3
VMware, Inc.
189
4
Klicken Sie auf [Endpoint] .
Die vShield Endpoint-Seite „Health and Alarms“ zeigt den Systemstatus der Objekte unter dem ausgewählten Datencenter, Cluster bzw. ESX-Host sowie die aktiven Alarme an. Systemzustandsänderungen
werden innerhalb einer Minute nach dem tatsächlichen Eintreten des Ereignisses wiedergegeben, das
die Änderung ausgelöst hat.
vShield Endpoint-Alarme
Alarme machen den vCenter Server-Administrator auf vShield Endpoint-Ereignisse aufmerksam, die ein
Eingreifen erfordern. Alarme werden automatisch beendet, wenn der Alarmstatus nicht länger vorliegt.
vCenter Server-Alarme können ohne ein benutzerdefiniertes vSphere-Plug-In angezeigt werden. Weitere Informationen zu Ereignissen und Alarmen finden Sie im vCenter Server-Administratorhandbuch.
Bei der Registrierung als vCenter Server-Erweiterung definiert vShield Manager die Regeln zum Erstellen
und Entfernen von Alarmen basierend auf Ereignissen von den drei vShield Endpoint-Komponenten: SVM,
vShield Endpoint-Modul und Thin-Agent. Regeln können angepasst werden. Anweisungen zum Erstellen
neuer benutzerdefinierter Regeln für Alarme finden Sie in der vCenter Server-Dokumentation. In einigen
Fällen gibt es mehrere mögliche Ursachen für einen Alarm. In den folgenden Tabellen werden die möglichen Ursachen und die zugehörigen Aktionen aufgeführt, die zur Problembeseitigung ergriffen werden
können.
Hostalarme
Hostalarme werden durch Ereignisse generiert, die den Integritätsstatus des vShield Endpoint-Moduls betreffen.
Tabelle 14‑1. Fehler (Kennzeichnung in Rot)
Mögliche Ursache
Aktion
Das vShield Endpoint-Modul wurde auf dem
Host installiert, meldet aber keinen Status mehr
an vShield Manager.
1
2
3
Stellen Sie sicher, dass vShield Endpoint ausgeführt wird, indem
Sie sich beim Host anmelden und den Befehl /etc/init.d/vShield-Endpoint-Mux start eingeben.
Stellen Sie sicher, dass das Netzwerk ordnungsgemäß konfiguriert ist, damit vShield Endpoint eine Verbindung zu vShield Manager herstellen kann.
Starten Sie vShield Manager neu.
SVM-Alarme
SVM-Alarme werden durch Ereignisse generiert, die den Systemzustand der SVM betreffen.
Tabelle 14‑2. Rote SVM-Alarme
190
Problem
Aktion
Die Protokollversion stimmt nicht mit der des
vShield Endpoint-Moduls überein
Stellen Sie sicher, dass das vShield Endpoint-Modul und die SVM
über ein kompatibles Protokoll verfügen.
vShield Endpoint konnte keine Verbindung zu
der SVM herstellen
Stellen Sie sicher, dass die SVM eingeschaltet ist und dass das Netzwerk ordnungsgemäß konfiguriert ist.
Die SVM meldet ihren Status auch dann nicht,
wenn Gäste verbunden sind.
Interner Fehler. Kontaktieren Sie den für Sie zuständigen Vertreter
des technischen Supports von VMware.
VMware, Inc.
Kapitel 14 vShield Endpoint-Ereignisse und -Alarme
vShield Endpoint-Ereignisse
Ereignisse dienen der Aufzeichnung und Überwachung von Bedingungen im vShield Endpoint-basierten
Sicherheitssystem.
Ereignisse können ohne ein benutzerdefiniertes vSphere-Plug-In angezeigt werden. Weitere Informationen
zu Ereignissen und Alarmen finden Sie im vCenter Server-Administratorhandbuch.
Ereignisse bilden die Grundlage zum Generieren von Alarmen. Nach der Registrierung als vCenter ServerErweiterung definiert vShield Manager die Regeln zum Erstellen und Entfernen von Alarmen.
Häufig verwendete Argumente für alle Ereignisse sind der Zeitstempel des Ereignisses und die event_id
von vShield Manager.
Die folgende Tabelle enthält die vShield Endpoint-Ereignisse, die von der SVM und vShield Manager (VSM)
gemeldet wurden.
Tabelle 14‑3. vShield Endpoint-Ereignisse
Beschreibung
Schweregrad
VC-Argumente
vShield Endpoint-Lösung Name der Lösung aktiviert. Unterstützende Version Versionsnummer des VFile-Protokolls.
Info
Zeitstempel
ESX-Modul aktiviert.
Info
Zeitstempel
ESX-Modul deinstalliert.
Info
Zeitstempel
vShield Manager hat die Verbindung zum ESX-Modul verloren.
Info
Zeitstempel
vShield Endpoint-Lösung Name der Lösung wurde von einer nicht
kompatiblen Version des ESX-Moduls kontaktiert.
Fehler
Zeitstempel, Version der Lösung,
ESX-Modulversion
Eine Verbindung zwischen dem ESX-Modul und Name der Lösung
ist fehlgeschlagen.
Fehler
Zeitstempel, ESX-Modulversion,
Version der Lösung
vShield Endpoint konnte keine Verbindung zu der SVM herstellen.
Fehler
Zeitstempel
Die Verbindung von vShield Endpoint mit der SVM wurde getrennt.
Fehler
Zeitstempel
Überwachungsmeldungen für vShield Endpoint
Überwachungsmeldungen umfassen schwerwiegende Fehler und andere wichtige Überwachungsinformationen. Überwachungsmeldungen werden in der Datei vmware.log protokolliert.
Die folgenden Bedingungen werden als AUDIT-Meldungen protokolliert:
n
Erfolgreiche Thin-Agent-Initialisierung (und Versionsnummer)
n
Fehler bei der Thin-Agent-Initialisierung
n
Erste Einrichtung einer Kommunikation mit SVM
n
Fehler beim Einrichten der Kommunikation mit SVM (bei erstem Fehler)
Generierte Protokollmeldungen weisen die folgenden Unterzeichenfolgen im Anfangsabschnitt jeder Protokollmeldung auf: vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG.
VMware, Inc.
191
192
VMware, Inc.
vShield Data Security Management
15
vShield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vShield Data Security gemeldeten Verstöße
können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden Bestimmungen eingehalten werden.
Wenn Sie anfangen, vShield Data Security zu verwenden, erstellen Sie eine Richtlinie mit geltenden Datensicherheitsbestimmungen für Ihre Organisation. Darin können Sie außerdem festlegen, welche Dateien und
welche Bereiche Ihrer Umgebung geprüft werden sollen. Eine Bestimmung besteht aus Content Blades, die
den zu erkennenden sensitiven Inhalt bezeichnen. vShield unterstützt nur PCI-, PHI- und PII-bezogene Bestimmungen.
Wenn Sie eine Data Security-Prüfung starten, analysiert vShield die Daten auf den virtuellen Maschinen in
Ihrer vSphere-Bestandsliste und meldet die Anzahl der erkannten Verstöße und die Dateien, die gegen Ihre
Richtlinie verstoßen haben.
Sie können alle Datensicherheitsaufgaben unter Verwendung von REST-APIs durchführen. Weitere Informationen finden Sie im vShield API-Programmierhandbuch.
n
„vShield Data Security-Benutzerrollen“, auf Seite 194
n
„Definieren einer Datensicherheitsrichtlinie“, auf Seite 194
n
„Bearbeiten einer Datensicherheitsrichtlinie“, auf Seite 196
n
„Ausführen einer Datensicherheitsprüfung“, auf Seite 197
n
„Anzeigen und Herunterladen von Berichten“, auf Seite 198
n
„Erstellen von regulären Ausdrücken“, auf Seite 198
n
„Verfügbare Bestimmungen“, auf Seite 199
n
„Verfügbare Content Blades“, auf Seite 216
n
„Unterstützte Dateiformate“, auf Seite 238
VMware, Inc.
193
vShield Data Security-Benutzerrollen
Die Rolle eines Benutzers legt die Aktionen fest, die der Benutzer durchführen kann.
Rolle
Zulässige Aktionen
Security Administrator
Erstellen und Veröffentlichen von Richtlinien und Anzeigen von Berichten zu Verstößen. Kann
eine Datensicherheitsprüfung weder starten noch anhalten.
vShield Administrator
Starten und Anhalten von Datensicherheitsprüfungen.
Auditor
Anzeigen von konfigurierten Richtlinien und Berichten zu Verstößen.
Definieren einer Datensicherheitsrichtlinie
Um vertrauliche Daten in Ihrer Umgebung erkennen zu können, müssen Sie eine Datensicherheitsrichtlinie
erstellen. Das Erstellen von Richtlinien ist Sicherheitsadministratoren vorbehalten.
Zum Definieren einer Richtlinie müssen Sie Folgendes angeben:
1
Bestimmungen
Eine Bestimmung ist ein Datensicherheitsgesetz zum Schutz von PCI (Payment Card Industry), PHI
(Protected Health Information) und PII (Personally Identifiable Information). Sie können die Bestimmungen auswählen, die Ihr Unternehmen erfüllen muss. Wenn Sie eine Prüfung ausführen, identifiziert
vShield Data Security die Daten, die gegen die Bestimmungen der Richtlinie verstoßen und die für Ihr
Unternehmen vertraulich sind.
2
Berücksichtigte Bereiche
Standardmäßig prüft vShield Data Security Ihre gesamte vSphere-Infrastruktur. Um eine Untermenge
der Bestandsliste zu prüfen, können Sie Sicherheitsgruppen aus- bzw. einschließen. Wenn eine Ressource (Cluster, Datencenter oder Host) sowohl Teil einer ausgeschlossenen als auch einer eingeschlossenen
Sicherheitsgruppe ist, hat die Ausschlussliste Vorrang und die Ressource wird nicht geprüft.
3
Dateifilter
Sie können Filter erstellen, um die zu prüfende Datenmenge einzuschränken und um Dateitypen auszuschließen, die wahrscheinlich keine vertraulichen Daten von der Prüfung enthalten.
Auswählen von Bestimmungen
Sobald Sie die Bestimmungen ausgewählt haben, mit denen Ihre Unternehmensdaten übereinstimmen sollen, kann vShield Dateien identifizieren, die Informationen enthalten, die gegen diese Bestimmungen verstoßen.
Voraussetzungen
Ihnen muss die Rolle des Sicherheitsadministrators zugewiesen sein.
Vorgehensweise
1
Navigieren Sie im vSphere-Client zu [Bestandsliste ] > [Hosts und Cluster] .
2
HINWEIS Selbst wenn Sie ein Datencenter auswählen, gilt die Richtlinie, die Sie konfigurieren, für die
gesamte vSphere-Bestandsliste.
194
3
Klicken Sie auf die Registerkarte [vShield] und anschließend auf [Data Security] .
4
Klicken Sie auf die Registerkarte [Policy] und erweitern Sie [Regulations and standards to detect] .
VMware, Inc.
Kapitel 15 vShield Data Security Management
5
Klicken Sie auf [Edit] und klicken Sie dann auf [All] , um alle verfügbaren Bestimmungen anzuzeigen.
6
Wählen Sie die Bestimmungen aus, die auf Übereinstimmung geprüft werden sollen.
HINWEIS Weitere Informationen zu verfügbaren Bestimmungen finden Sie unter „Verfügbare Bestimmungen“, auf Seite 199.
7
Klicken Sie auf [Next] .
8
Für bestimmte Bestimmungen sind zusätzliche Informationen für vShield Data Security erforderlich,
damit vertrauliche Daten erkannt werden. Wenn Sie eine Bestimmung ausgewählt haben, die die
Group Insurance Numbers, Patient Identification Numbers, Medical Record Numbers, Health Plan Beneficiary Numbers, US Bank Account Numbers, Custom Accounts oder Student Identification Numbers
überwacht, geben Sie zum Identifizieren dieser Daten ein Muster für den regulären Ausdruck an.
HINWEIS Überprüfen Sie die Genauigkeit des regulären Ausdrucks. Die Angabe falscher regulärer Ausdrücke kann den Erkennungsvorgang verlangsamen. Weitere Informationen zu regulären Ausdrücken
finden Sie unter „Erstellen von regulären Ausdrücken“, auf Seite 198.
9
Klicken Sie auf [Finish.]
10
Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird.
Festlegen der Bereiche, die bei der Richtlinienprüfung berücksichtigt werden
Standardmäßig prüft vShield Data Security Ihre gesamte vSphere-Infrastruktur. Um eine Untermenge der
Bestandsliste zu prüfen, können Sie Sicherheitsgruppen aus- bzw. einschließen. Wenn eine Ressource (Cluster, Datencenter oder virtuelle Maschine) sowohl Teil einer ausgeschlossenen als auch einer eingeschlossenen Sicherheitsgruppe ist, hat die Ausschlussliste Vorrang und die Ressource wird nicht geprüft.
Spezielle vShield-Appliances (z. B. vShield Endpoint- und Shield App-Appliances sowie Partner-Appliances, die vShield Endpoint nutzen) werden von vShield Data Security nicht geprüft
Voraussetzungen
Vorgehensweise
1
Erweitern Sie auf der Registerkarte „Policy“ des Bereichs „Data Security“ die Option [Participating
Areas] .
2
Damit eine Sicherheitsgruppe in der Datensicherheitsprüfung berücksichtigt wird, klicken Sie auf
[ Change] neben [Scan the following infrastructure] .
3
VMware, Inc.
a
Geben Sie im Dialogfeld „Include Security Groups“ den Namen der in der Prüfung zu berücksichtigenden Sicherheitsgruppe ein.
b
Klicken Sie auf [Add] .
c
Um eine vorhandene Sicherheitsgruppe von der Datensicherheitsprüfung auszuschließen, klicken Sie
auf [Change] neben [Except for the following areas] .
a
Geben Sie im Dialogfeld „Exclude Security Groups“ den Namen der von der Prüfung auszuschließenden Sicherheitsgruppe ein.
b
Klicken Sie auf [Add] .
c
195
4
Angeben von Dateifiltern
Sie können die Anzahl der Dateien, die Sie überwachen möchten, auf Basis der Größe, des Datums der letzten Änderung oder der Dateierweiterungen einschränken.
Voraussetzungen
Vorgehensweise
1
Erweitern Sie auf der Registerkarte [Policy] des Bereichs „Data Security“ die Option [Files to scan] .
2
3
Sie können entweder alle Dateien auf den virtuellen Maschinen Ihrer Bestandsliste überwachen oder
die Einschränkungen auswählen, die Sie anwenden möchten.
Option
Beschreibung
Alle Dateien auf den virtuellen Gastmaschinen überwachen
vShield Data Security prüft alle Dateien.
Nur die Dateien überwachen, die die
folgenden Bedingungen erfüllen
n [Size] gibt an, dass vShield Data Security nur die Dateien überprüfen
soll, die kleiner sind als die angegebene Größe.
n [Last Modified Date] gibt an, dass vShield Data Security nur die Dateien überprüfen soll, die innerhalb des angegebenen Zeitraums geändert wurden.
n [Types:] Wählen Sie [Only files with the following extensions ] , um
die zu prüfenden Dateitypen einzugeben. Wählen Sie [All files, except
those with extensions] , um die Dateitypen einzugeben, die von der
Prüfung ausgeschlossen werden sollen.
Weitere Informationen zu Dateiformaten, die vShield Data Security erkennen kann, finden Sie unter
„Unterstützte Dateiformate“, auf Seite 238.
4
5
Bearbeiten einer Datensicherheitsrichtlinie
Nachdem Sie eine Datensicherheitsrichtlinie definiert haben, können Sie sie bearbeiten, indem Sie die ausgewählten Bestimmungen, die von der Prüfung berücksichtigten Bereiche oder die Dateifilter ändern. Damit
die bearbeitete Richtlinie wirksam wird, müssen Sie sie veröffentlichen.
Voraussetzungen
Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators zugewiesen wurde.
Vorgehensweise
1
2
HINWEIS Selbst wenn Sie ein Datencenter auswählen, gilt die bearbeitete Richtlinie für die gesamte
vSphere-Bestandsliste.
196
VMware, Inc.
3
4
Klicken Sie auf die Registerkarte [Policy] und erweitern Sie die Bereiche, die Sie bearbeiten möchten.
5
6
7
HINWEIS Wenn Sie während einer laufenden Prüfung eine Richtlinie veröffentlichen, wird die Prüfung
neu gestartet. Durch diese erneute Prüfung wird sichergestellt, dass alle virtuellen Maschinen mit der
bearbeiteten Richtlinie übereinstimmen.
Ausführen einer Datensicherheitsprüfung
Beim Ausführen einer Datensicherheitsprüfung werden Daten in Ihrer virtuellen Umgebung identifiziert,
die gegen Ihre Richtlinie verstoßen.
Voraussetzungen
Sie müssen vShield-Administrator sein, um eine Datensicherheitsprüfung starten, anhalten oder beenden zu
können.
Vorgehensweise
1
2
3
Klicken Sie auf [Start] .
HINWEIS Wenn eine virtuelle Maschine ausgeschaltet ist, wird sie erst dann geprüft, wenn sie eingeschaltet wird.
Wenn eine Prüfung ausgeführt wird, lauten die verfügbaren Optionen [Pause] und [Stop] .
Alle virtuellen Maschinen Ihres Datencenters werden während einer Prüfung einmal geprüft. Wenn bei
Ausführung einer Prüfung damit begonnen wird, eine Richtlinie zu bearbeiten und zu veröffentlichen, wird
die Prüfung neu gestartet. Durch diese erneute Prüfung wird sichergestellt, dass alle virtuellen Maschinen
mit der bearbeiteten Richtlinie übereinstimmen. Eine erneute Prüfung wird durch das Veröffentlichen einer
bearbeiteten Richtlinie, nicht durch Daten-Updates auf Ihren virtuellen Maschinen, ausgelöst.
Wenn eine virtuelle Maschine während einer laufenden Datensicherheitsprüfung in einen von der Prüfung
ausgeschlossenen Cluster oder Ressourcenpool verschoben wird, werden die Dateien dieser virtuellen Maschine nicht geprüft. Für den Fall, dass eine virtuelle Maschine via vMotion auf einen anderen Host verschoben wird, wird die Prüfung auf dem zweiten Host fortgesetzt (Dateien, die geprüft wurden, während sich
die virtuelle Maschine auf dem ersten Host befand, werden nicht erneut geprüft).
Wenn die Data Security-Engine damit beginnt, eine virtuelle Maschine zu prüfen, wird die Startzeit der Prüfung aufgezeichnet. Mit dem Ende der Prüfung wird das Ende der Prüfungszeit aufgezeichnet. Sie können
die Start- und Endzeit für einen Cluster, einen Host oder eine virtuelle Maschine auf der Registerkarte
[Tasks and Events] anzeigen.
vShield Data Security drosselt die Anzahl an virtuellen Maschinen, die gleichzeitig auf einem Host geprüft
werden, damit die Leistung nur minimal beeinträchtigt wird. Es wird empfohlen, dass Sie die Prüfung nicht
während der normalen Geschäftszeiten ausführen, um Leistungseinbußen zu vermeiden.
VMware, Inc.
197
Anzeigen und Herunterladen von Berichten
Wenn Sie eine Sicherheitsprüfung starten, zeigt vShield die Start- und Endzeit jeder Prüfung, die Anzahl an
geprüften virtuellen Maschinen und die Anzahl an erkannten Verstößen an.
Voraussetzungen
Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators oder Auditors zugewiesen wurde.
Vorgehensweise
1
2
Wählen Sie das Datencenter, den Cluster, den Ressourcenpool oder die virtuelle Maschine aus, um den
jeweils passenden Bericht anzuzeigen.
3
4
Klicken Sie auf die Registerkarte [Data Security] .
5
Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Reports] befinden.
Tabelle 15‑1. Auf der Registerkarte „Reports“ angezeigte Informationen
Abschnitt
Current Scan
Status
Status der aktuellen Prüfung.
Scan Statistics
Das Tortendiagramm zeigt die Anzahl an virtuellen Maschinen an, die geprüft wurden, gerade
geprüft werden und noch nicht geprüft wurden.
Violation Information
Wichtige Bestimmungen, gegen die verstoßen wurde, und die virtuellen Maschinen, auf denen
die meisten Verstöße gemeldet wurden.
Scan History
Start- und Endzeit jeder Prüfung, die Anzahl an geprüften virtuellen Maschinen und die Anzahl
an erkannten Verstößen. Sie können auf [Download Complete Report] in der Spalte [Action]
klicken, um den vollständigen Bericht für jede Prüfung herunterzuladen.
Erstellen von regulären Ausdrücken
Ein regulärer Ausdruck ist ein Muster, das eine bestimmte Textzeichenfolge beschreibt, die auch als String
bezeichnet wird. Sie verwenden reguläre Ausdrücke zum Suchen nach bestimmten Zeichenfolgen oder Zeichenfolgenklassen in einem Text.
Die Verwendung eines regulären Ausdrucks ähnelt einer Suche mit Platzhalterzeichen, aber reguläre Ausdrücke sind leistungsstärker. Reguläre Ausdrücke können sehr einfach, aber auch sehr komplex sein. Ein
Beispiel für einen einfachen regulären Ausdruck ist cat.
Mit diesem Ausdruck wird in einem Text die erste Instanz der Zeichenfolge „cat“ gefunden. Wenn Sie sicherstellen möchten, dass nur das Wort cat gefunden wird und nicht andere Zeichenfolgen wie cats oder
hepcat, können Sie einen etwas komplexeren Ausdruck verwenden: \cat\b.
In diesem Ausdruck werden Sonderzeichen verwendet, die sicherstellen, dass nur dann eine Übereinstimmung gefunden wird, wenn das Wort cat nicht Teil einer längeren Zeichenfolge ist, sondern alleine steht.
Um beispielsweise eine ähnliche Suche wie bei der Platzhaltersuche c+t durchzuführen, verwenden Sie diesen regulären Ausdruck: \bc\w+t\b.
Dies bedeutet, dass ein Wortbegrenzer (\b) gefolgt von einem c, gefolgt von einem oder mehreren Zeichen,
die keine Whitespace- oder Interpunktionszeichen sein dürfen (\w+), gefolgt von einem t, gefolgt von einem
Wortbegrenzer (\b), gefunden wird. Dieser Ausdruck findet cot, cat, croat, aber nicht crate.
Ausdrücke können sehr komplex werden. Mit den folgenden Ausdrücken wird eine gültige E-Mail-Adresse
gesucht.
198
VMware, Inc.
\b[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}\b
Weitere Informationen zum Erstellen regulärer Ausdrücke finden Sie unter
http://userguide.icu-project.org/strings/regexp.
Verfügbare Bestimmungen
Nachfolgend finden Sie Beschreibungen für jede in vShield Data Security verfügbare Bestimmung.
Arizona SB-1338
Arizona SB-1338 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Arizona SB-1338 wurde am 26. April 2006 unterzeichnet und trat am 31. Dezember 2006 in Kraft. Dem
Gesetz unterliegen alle natürlichen und juristischen Personen, die in Arizona Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht.
Dazu gehören:
n
Kreditkartennummer
n
Daten des Kreditkartenmagnetstreifens
n
US-Führerscheinnummer
n
US-Sozialversicherungsnummer
ABA Routing-Nummern
Eine Routing Transit Number (RTN) oder ABA-Nummer ist ein in den USA verwendeter neunstelliger
Bankcode, der z. B. auf Schecks aufgedruckt ist und das Finanzinstitut angibt, von dem er ausgegeben wurde. Dieser Code wird auch vom Automated Clearing House zum Verarbeiten von Direktüberweisungen
und anderen automatisierten Transfers verwendet. Dieses System ist nach der American Bankers Association benannt, die dieses Verfahren 1910 entwickelte.
Zurzeit sind ungefähr 24.000 aktive Routing- und Transit-Nummern in Gebrauch. Jedes Finanzinstitut hat
eine solche Nummer; sie ist eine 9-stellige Nummer in MICR-Schrift am unteren Rand von Schecks, die das
Finanzinstitut eindeutig identifiziert, und unterliegt dem Routing Number Administrative Board, das von
der ABA gesponsert wird.
Die primären Gründe zur Verwendung von Routing-Nummern sind folgende:
n
Zum Identifizieren der Bank, die zum Auszahlen bzw. Vergeben von Krediten verantwortlich ist oder
berechtigt ist, Zahlungen bzw. Kredite für finanzielle Transaktionen zu erhalten.
n
Zum Bereitstellen einer Referenz auf eine designierte Stelle der Bank, an die die Transaktion zugestellt
bzw. an der sie vorgelegt werden kann.
Weitere Informationen finden Sie unter „Content Blade für ABA Routing-Nummern“, auf Seite 216.
VMware, Inc.
199
Australische Bankkontonummern
Eine australische Bankkontonummer identifiziert zusammen mit einer BSB-Nummer (Bank State BranchNummer) das Bankkonto einer Person oder Organisation.
Australische Geschäfts- und Firmennummern
Die australischen Geschäftsnummern (ABN, Australian Business Number) und die australischen Firmennummern (ACN, Australian Company Number) dienen der eindeutigen Identifizierung der Unternehmen
innerhalb des Landes.
Die ABN ist eine eindeutige, 11-stellige Identifikationsnummer, die Unternehmen im Umgang mit anderen
Unternehmen verwenden. Die letzten 9 Stellen der ABN eines Unternehmens sind häufig mit dessen ACN
identisch. Die ABN zeigt an, dass eine Person, ein Konzern oder ein Unternehmen im Australian Business
Register (ABR) registriert ist.
Eine australische Firmennummer (ACN, Australian Company Number) ist eine eindeutige 9-stellige Identifikationsnummer, die von der Australian Securities and Investments Commission (ASIC) für jedes Unternehmen ausgestellt wird, das im Rahmen des Commonwealth Corporations Act 2001 registriert ist. Die
Nummer wird in der Regel in drei Gruppen mit jeweils drei Ziffern angegeben.
Die Unternehmen sind verpflichtet, ihre ACN an folgenden Stellen anzugeben:
n
auf dem Firmensiegel (sofern vorhanden)
n
auf jedem öffentlichen Dokument, das vom Unternehmen oder in seinem Auftrag ausgestellt, unterzeichnet oder veröffentlicht wird
n
auf jedem diskontfähigen Wertpapier, das vom Unternehmen oder in seinem Auftrag ausgestellt, unterzeichnet oder veröffentlicht wird
n
auf allen Unterlagen, die bei der ASIC (Australian Securities and Investments Commission) eingereicht
werden müssen
Diese Regelung verwendet die Content Blades mit dem Titel „Australia Business Number“ oder „Australia
Company Number“. Weitere Informationen finden Sie unter .
Australische Medicare-Kartennummern
Alle australischen Bürger sowie Personen mit ständigem Wohnsitz in Australien und ihre Familien haben
Anspruch auf eine Medicare-Karte, mit Ausnahme der Einwohner von Norfolk Island. Auf der Karte sind
eine Person sowie die von ihr ausgewählten Mitglieder ihrer Familie (maximal fünf Namen) aufgeführt, die
ebenfalls ihren ständigen Wohnsitz in Australien haben und auf die die Medicare-Definition eines Familienangehörigen zutrifft. Die Medicare-Nummer muss angegeben werden, um Medicare-Rabatte nutzen zu können oder im staatlichen Krankenhaussystem kostenfrei behandelt zu werden.
Medicare wird von Medicare Australia (bis 2005 Health Insurance Commission) verwaltet, das auch für die
Ausgabe von Medicare-Karten und -Nummern zuständig ist. Nahezu alle berechtigten Personen verfügen
über eine Karte: Im Juni 2002 wurden 20,4 Millionen Inhaber von Medicare-Karten gezählt, während die
Einwohnerzahl zur selben Zeit weniger als 20 Millionen betrug. (Zu den Karteninhabern gehören auch
Australier, die sich im Ausland aufhalten und noch eine Karte besitzen.)
Die Medicare-Karte wird ausschließlich für Zwecke des Gesundheitswesens verwendet. Ihre Daten können
nicht in einer Datenbank verfolgt werden. Sie enthält einen Namen und eine Nummer, jedoch kein sichtbares Foto (mit Ausnahme der tasmanischen Smartcard-Version, die über einen eingebetteten Chip mit dem
elektronischen Bild des Karteninhabers verfügt).
200
VMware, Inc.
Vorrangig dient die Medicare-Karte dem Nachweis der Medicare-Berechtigung, wenn eine von Medicare
subventionierte Behandlung durch einen Arzt oder ein Krankenhaus in Anspruch genommen wird. Rein
rechtlich gesehen müsste die Karte nicht ausgestellt werden, da die Medicare-Nummer allein ausreicht. In
der Praxis jedoch haben die meisten Medicare-Anbieter Richtlinien, die verlangen, dass die Karte präsentiert
wird, um Missbrauch zu verhindern.
Australische Steuernummern
Eine Steuernummer (TFN, Tax File Number) wird einer Person durch den Commissioner of Taxation ausgestellt. Sie wird verwendet, um die Identität des Klienten zu überprüfen und das Einkommensniveau festzustellen.
Diese Richtlinie verwendet das Content Blade mit dem Namen „Australia Tax File Number“. Die Beschreibung des Content Blades enthält Informationen darüber, welcher Inhalt erkannt wird.
California AB-1298
California AB-1298 ist ein Datenschutzgesetz des kalifornischen Staates zum Schutz persönlicher Daten. California AB-1298 wurde am 14. Oktober 2007 unterzeichnet und trat am 1. Januar 2008 in Kraft. Dem Gesetz
unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Kalifornien Geschäfte tätigen
und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dieses Gesetz ist ein Zusatz zu California SB-1386, das medizinische Daten und Gesundheitsdaten in die
Definition persönlicher Informationen aufnimmt.
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht, wie in den folgenden Content Blades definiert:
n
Aufnahme- und Entlassungsdatum
n
Kreditkartennummern
n
n
Gruppenversicherungsnummern
n
Nummern für Anspruchsberechtigte von Krankenkassenleistungen
n
Wörterbücher für die Gesundheitsvorsorge
n
Krankengeschichte
n
Patienten-IDs
n
US-Führerscheinnummern
n
US National Provider Identifiers (NPI)
n
US-Sozialversicherungsnummern
California SB-1386
California SB-1386 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. California SB-1386 wurde am 25. September 2002 unterzeichnet und trat am 1. Juli 2003 in Kraft. Dem
Gesetz unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Kalifornien Geschäfte
tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese
lizenzieren.
Dieses Gesetz wurde geändert und auf medizinische Informationen und Gesundheitsdaten ausgeweitet. Es
wird jetzt unter der Bezeichnung California AB-1298 geführt und steht im SDK als erweiterte Regelung bereit. Wenn California AB-1298 aktiviert ist, müssen Sie diese Bestimmung nicht zusätzlich verwenden, da
dieselben Informationen im Rahmen von AB-1298 erkannt werden.
VMware, Inc.
201
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören:
n
Kreditkartennummer
n
n
n
Kanadische Sozialversicherungsnummern
Die Social Insurance Number (SIN) ist eine in Kanada ausgestellte Nummer, auf die verschiedene staatliche
Programme zurückgreifen. Die SIN wurde 1964 als benutzerdefinierte Kontonummer zur Administration
des Canada Pension Plan und von Kanadas verschiedenen Arbeitsversicherungsprogrammen eingeführt.
1967 begann Revenue Canada (heute die Canada Revenue Agency), die SIN für Steuererklärungen zu verwenden.
Kanadische Führerscheinnummern
In Kanada werden Führerscheine von der Regierung der Provinz ausgestellt, in der der Fahrer seinen
Wohnsitz hat. Daher unterscheiden sich die Vorschriften für Führerscheine der Provinzen in einzelnen
Punkten, obwohl sie insgesamt sehr ähnlich sind. In allen Provinzen gelten Vorschriften, nach denen Nichtansässige eine von anderen Provinzen ausgestellte Fahrerlaubnis oder einen internationalen Führerschein
verwenden dürfen.
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung mit einem der folgenden Content
Blades gesucht:
n
Führerschein von Alberta
n
Führerschein von British Columbia
n
Führerschein von Manitoba
n
Führerschein von New Brunswick
n
Führerschein von Neufundland und Labrador
n
Führerschein von Nova Scotia
Regeln für Lizenzmuster: 5 Buchstaben gefolgt von 9 Ziffern
n
Führerschein von Ontario
n
Führerschein von Prince Edward Island
n
Führerschein von Quebec
n
Führerschein von Saskatchewan
Colorado HB-1119
Colorado HB-1119 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Colorado HB-1119 wurde am 24. April 2006 unterzeichnet und trat am 1. September 2006 in Kraft. Dem
Gesetz unterliegen alle natürlichen und juristischen Personen, die in Colorado Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören:
n
202
Kreditkartennummer
VMware, Inc.
n
n
n
Connecticut SB-650
Connecticut SB-650 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher
Daten. Connecticut SB-650 wurde am 8. Juni 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem
Gesetz unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Connecticut Geschäfte
tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese
lizenzieren.
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht, wie in den folgenden Content Blades definiert:
n
Aufnahme- und Entlassungsdatum
n
Geburts- und Sterbeurkunden
n
Kreditkartennummern
n
n
Gruppenversicherungsnummern
n
n
Wörterbücher für die Gesundheitsvorsorge
n
Krankengeschichte
n
Patienten-IDs
n
n
US National Provider Identifiers (NPI)
n
Kreditkartennummern
Benutzerdefinierte Kontonummern
Wenn Sie die spezifischen Kontonummern einer Organisation schützen müssen, passen Sie das Content Blade an, das für die benutzerdefinierten Kontonummern zuständig ist, indem Sie das Muster der Nummern
über einen regulären Ausdruck angeben.
VMware, Inc.
203
EU-Debitkartennummern
Die Richtlinie sucht nach Debitkartennummern, die von den großen Debitkartenunternehmen in der Europäischen Union wie Maestro, Visa und Laser ausgestellt wurden.
FERPA (Family Educational Rights and Privacy Act)
FERPA schützt Daten von Schülern bzw. Studenten in Bildungseinrichtungen, die durch das US Department of Education gefördert werden. Es verlangt, dass sich die Bildungseinrichtung die schriftliche Genehmigung eines Elternteils oder des Schülers bzw. Stundenden einholt, bevor Informationen aus den Schulakten des Schülers bzw. des Studenten freigegeben werden.
Unter bestimmten Umständen können Informationen wie Name, Adresse, Telefonnummer, Ehrungen und
Auszeichnungen sowie das Datum der Teilnahme auch ohne Genehmigung freigegeben oder veröffentlicht
werden. Für Informationen, die eine Person mit Noten oder disziplinarischen Maßnahmen in Verbindung
bringen können, wird immer eine Erlaubnis benötigt.
Die Richtlinie muss mit beiden folgenden Content Blades übereinstimmen, damit ein Dokument einen Verstoß auslöst:
n
Studentenidentifikationsnummern
n
Studentendaten
Florida HB-481
Florida HB-481 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Florida HB-481 wurde am 14. Juni 2005 unterzeichnet und trat am 1. Juli 2005 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Interessenverbände, Joint Ventures, Partnerschaften, Syndikate, Großunternehmen sowie alle anderen Gruppen oder Kombinationen davon, die in Florida Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Französische IBAN-Nummern
Bei einer französischen IBAN (International Bank Account Number) handelt es sich um eine internationale
Norm zum Identifizieren von französischen Bankkonten über nationale Grenzen hinweg, die ursprünglich
vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO
13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt.
Die Richtlinie greift auf das Content Blade für französische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen.
204
VMware, Inc.
Richtlinie für französische Personalausweisnummern
Diese Richtlinie identifiziert Dokumente und Übertragungen, die Personalausweisnummern enthalten (auch
als INSEE-Nummern und Sozialversicherungsnummern bezeichnet), die Personen vom Institut National de
la Statistique et des Etudes Economiques (INSEE) in Frankreich bei der Geburt ausgestellt werden.
Die Richtlinie greift auf das Content Blade für französische Personalausweisnummern zurück, um nach einer Übereinstimmung zu suchen.
Georgia SB-230-Richtlinie
Georgia SB-230 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Georgia SB-230 wurde am 5. Mai 2005 unterzeichnet und trat am 5. Mai 2005 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen, die zum Erheben von Gebühren und Abgaben Informationen über Personen sammeln, zusammenstellen, auswerten, zusammentragen, berichten, übertragen, transferieren oder kommunizieren mit dem Hauptzweck, persönliche Daten an nicht angegliederte Dritte zur Verfügung zu stellen, die computerisierte Daten, einschließlich persönlicher Daten, verwalten.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Richtlinie für deutsche BIC-Nummern
Ein Bank Identifier Code (BIC) bzw. eine Bankleitzahl dient der eindeutigen Identifizierung einer bestimmten Bank und wird in Deutschland und weltweit für den Austausch von Geld und Nachrichten zwischen
Banken verwendet. Die Richtlinie erkennt Dokumente und Übertragungen, die BIC-Codes (auch bekannt als
SWIFT-Codes) enthalten, die von der Society for Worldwide Interbank Financial Telecommunication
(SWIFT) ausgegeben werden.
Die Richtlinie greift auf das Content Blade für deutsche BIC-Nummern zurück, um nach einer Übereinstimmung zu suchen.
Richtlinie für deutsche Führerscheinnummern
Eine deutsche Führerscheinnummer ist eine Identifikationsnummer auf einem deutschen Führerschein und
identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten.
Die Richtlinie greift auf das Content Blade für deutsche Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen.
Richtlinie für deutsche IBAN-Nummern
Bei der IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for
Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt.
Die Richtlinie greift auf das Content Blade für deutsche IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen.
VMware, Inc.
205
Richtlinie für deutsche Personalausweisnummern
Die Richtlinie erkennt Dokumente und Übertragungen, die persönliche Identifikationsnummern oder das
Wort „Personalausweis“ enthalten und für Personen in Deutschland ausgestellt wurden.
Die Richtlinie greift auf das Content Blade für deutsche Personalausweisnummern zurück, um nach einer
Übereinstimmung zu suchen.
Richtlinie für deutsche Umsatzsteuernummern
Ansässiges Unternehmen oder juristische Person für die Zwecke der Mehrwertsteuererhebung (bzw. der Erhebung von Steuern auf Waren und Dienstleistungen).
Die Richtlinie greift auf das Content Blade für deutsche Umsatzsteuernummern zurück, um nach einer
Hawaii SB-2290-Richtlinie
Hawaii SB-2290 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Hawaii SB-2290 wurde am 25. Mai 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Das Gesetz gilt
für alle Einzelunternehmen, Personengesellschaften, Unternehmen, Verbände bzw. anderen juristischen
Personen, ungeachtet der Organisationsform, ob sie gewinnorientiert organisiert sind oder nicht, einschließlich Finanzinstituten, die gemäß der Gesetze des Bundesstaats Hawaii, eines anderen Bundesstaats, der Vereinigten Staaten oder eines anderen Lands organisiert sind, kraft eines Charters handeln oder im Besitz einer Lizenz oder eines Autorisierungszertifikats sind, oder der Muttergesellschaft oder Tochtergesellschaft
eines Finanzinstituts, sowie jeder juristischen Person, deren Geschäft das Vernichten von Aufzeichnungen
ist, oder jeder Behörde, die persönliche Informationen zu bestimmten behördlichen Zwecken sammelt.
Dazu gehören:
n
Kreditkartennummer
n
n
n
HIPAA-Richtlinie (Healthcare Insurance Portability and Accountability Act)
Der Health Insurance Portability and Accountability Act (HIPAA) wurde vom Kongress der Vereinigten
Staaten von Amerika erlassen. HIPAA enthält eine Datenschutzrichtlinie, die die Verwendung und Veröffentlichung von geschützten Gesundheitsinformationen (PHI, Protected Health Information) regelt, eine Sicherheitsrichtlinie, die Sicherheitsvorkehrungen für elektronisch geschützte Gesundheitsinformationen
(ePHI, Electronic Protected Health Information) festlegt, und eine Durchsetzungsrichtlinie, die Prozeduren
für Ermittlungen bei Verstößen sowie Strafen für bestätigte Verstöße definiert.
Unter PHI versteht man persönliche Gesundheitsinformationen, die in irgendeiner Form oder mit irgendeinem Medium (elektronisch, mündlich oder auf Papier) durch eine abgedeckte juristische Person oder deren
Geschäftspartner übermittelt werden (mit Ausnahme bestimmter Schulungs- und Beschäftigungsunterlagen). Persönliche Informationen ermöglichen Rückschlüsse auf die Identität der betroffenen Person durch
den Ermittler.
206
VMware, Inc.
Diese Richtlinie soll elektronisch geschützte Gesundheitsinformationen (ePHI) erkennen, die außer gesundheitsbezogener Terminologie eine persönliche Gesundheitsnummer enthalten. Es können Übereinstimmungen zurückgegeben werden, die falsch negativ sind, da Kombinationen von persönlichen Informationen,
z. B. Name und Adresse, von dieser Richtlinie nicht als ePHI ausgelegt werden. Interne Untersuchungen haben ergeben, dass die meisten Datenübertragungen im Gesundheitswesen neben gesundheitsbezogenen
Terminologien auch eine persönliche Gesundheitsnummer enthalten.
Idaho SB-1374-Richtlinie
Idaho SB-1374 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Idaho SB-1374 wurde am 30. März 2006 unterzeichnet und trat am 1. Juli 2006 in Kraft. Dem Gesetz unterliegen alle Behörden, natürlichen und juristischen Personen, die in Idaho Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten von Bürgern von Idaho, besitzen bzw. diese
lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Illinois SB-1633
Illinois SB-1633 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Illinois SB-1633 wurde am 16. Juni 2005 unterzeichnet und trat am 27. Juni 2006 in Kraft.
Das Gesetz gilt für alle Datensammler. Dazu gehören, jedoch nicht ausschließlich, Behörden, öffentliche und
private Universitäten, Privatunternehmen und Aktiengesellschaften, Finanzinstitute, Einzelhändler und andere juristische Personen, die nicht öffentliche, persönliche Daten zu jedwedem Zweck verarbeiten, erfassen,
verbreiten oder auf andere Art damit handeln bzw. die persönliche Daten zu Bürgern von Illinois besitzen
bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Indiana HB-1101-Richtlinie
Indiana HB-1101 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Indiana HB-1101 wurde am 26. April 2005 unterzeichnet und trat am 1. Juli 2006 in Kraft. Dem Gesetz
unterliegen alle natürlichen Personen, Unternehmen, Business Trusts, Vermögensverwalter, treuhänderisch
tätige Einrichtungen, Interessenverbände, Nonprofit-Unternehmen oder -Organisationen, Kooperativen und
alle anderen juristischen Personen, die unverschlüsselte computerisierte Daten, einschließlich persönlicher
Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
VMware, Inc.
207
n
n
Richtlinie für italienische Führerscheinnummern
Eine italienische Führerscheinnummer ist eine Identifikationsnummer auf einem italienischen Führerschein
und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder
möglichen Verkehrsdelikten.
Die Richtlinie greift auf das Content Blade für italienische Führerscheinnummern zurück, um nach einer
Richtlinie für italienische IBAN-Nummern.
Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wurde von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt.
Die Richtlinie greift auf das Content Blade für italienische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen.
Richtlinie für italienische Personalausweisnummern
Die Richtlinie erkennt Dokumente und Übertragungen, die persönliche Identifikationsnummern oder das
Wort „Codice Fiscale“ enthalten und an Personen in Italien ausgestellt wurden.
Die Richtlinie greift auf das Content Blade für italienische Personalausweisnummern zurück, um nach einer
Kansas SB-196-Richtlinie
Kansas SB-196 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Kansas SB-196 wurde am 19. April 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Personengesellschaften, Unternehmen, Trusts, Vermögensverwalter,
Kooperativen, Interessenverbände, staatliche Behörden und alle anderen juristischen Personen, die in Kansas Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
208
n
Kreditkartennummer
n
n
n
VMware, Inc.
Louisiana SB-205-Richtlinie
Louisiana SB-205 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Louisiana SB-205 wurde am 12. Juli 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz
unterliegen alle natürlichen Personen, Unternehmen, Personengesellschaften, Einzelunternehmen, Aktiengesellschaften, Joint Ventures und alle anderen juristischen Personen, die in Louisiana Geschäfte tätigen und
unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Maine LD-1671-Richtlinie
Maine LD-1671 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Maine LD-1671 wurde am 10. Juni 2005 unterzeichnet und trat am 31. Januar 2006 in Kraft.
Das Gesetz gilt für alle natürlichen Personen, treuhänderisch tätige Einrichtungen, Unternehmen, Gesellschaften mit beschränkter Haftung, Trusts, Vermögensverwalter, Kooperativen, Verbände oder anderen juristischen Personen, einschließlich staatlicher Behörden, der University of Maine, des Maine Community
Colleges, der Maine Maritime Academy und privater Colleges und Universitäten, sowie für juristische Personen, die geschäftlich ganz oder teilweise Informationen über Personen erfassen, zusammenstellen, auswerten, zusammentragen, berichten, übertragen, transferieren oder kommunizieren mit dem Hauptzweck,
persönliche Daten an nicht angegliederte Dritte zur Verfügung zu stellen, die computerisierte Daten, einschließlich persönlicher Daten, verwalten.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Massachusetts CMR-201
Massachusetts CMR-201 ist eine Datenschutzbestimmung dieses Staates zum Schutz persönlicher Daten.
Massachusetts CMR-201 wurde am 19. September 2008 unterzeichnet und trat am 1. Mai 2009 in Kraft. Der
Bestimmung unterliegen alle Unternehmen und andere juristische Personen, die persönliche Daten über einen Bürger des Commonwealth of Massachusetts besitzen, lizenzieren, erfassen, speichern oder verwalten.
Dazu gehören:
n
ABA Routing-Nummern
n
Kreditkartennummer
n
n
US-Bankkontonummern
n
VMware, Inc.
209
n
Minnesota HF-2121
Minnesota HF-2121 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher
Daten. Minnesota HF-2121 wurde am 2. Juni 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem
Gesetz unterliegen alle Personen bzw. Unternehmen, die in Minnesota Geschäfte tätigen und Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Montana HB-732
Montana HB-732 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Montana HB-732 wurde am 28. April 2005 unterzeichnet und trat am 1. März 2006 in Kraft. Dem Gesetz
unterliegen alle Personen bzw. Unternehmen, die in Montana Geschäfte tätigen und computerisierte Daten,
einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Niederländische Führerscheinnummern
Eine niederländische Führerscheinnummer ist eine Identifikationsnummer auf einem niederländischen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten.
Die Richtlinie greift auf das Content Blade für niederländische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen.
Nevada SB-347
Nevada SB-347 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Nevada SB-347 wurde am 17. Juni 2005 unterzeichnet und trat am 1. Oktober 2005 in Kraft. Dem Gesetz unterliegen alle Behörden, Universitäten, Unternehmen, Finanzinstitute und Einzelhändler sowie alle anderen
Arten von geschäftlichen Unternehmen bzw. Verbänden, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
210
n
Kreditkartennummer
n
n
VMware, Inc.
n
New Hampshire HB-1660
New Hampshire HB-1660 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New Hampshire HB-1660 wurde am 2. Juni 2006 unterzeichnet und trat am 1. Januar 2007 in
Kraft. Dem Gesetz unterliegen alle Personen, Unternehmen, Trusts, Personengesellschaften, eingetragene
und nicht eingetragene Vereine, Gesellschaften mit beschränkter Haftung bzw. andere juristische Personen,
Behörden, Gremien, Gerichte, Gerichte, Abteilungen, Dezernate, Kommissionen, Institutionen, Ämter und
andere staatliche Stellen sowie alle politischen Gliederungen des Bundesstaats, die in New Hampshire Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
New Jersey A-4001
New Jersey A-4001 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher
Daten.
New Jersey A-4001 wurde am 22. September 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Das
Gesetz gilt für New Jersey sowie für jedes County, jede Stadt, jeden Bezirk, jede Behörde, jede staatliche
Agentur und jede andere politische Gliederung bzw. öffentliche Körperschaft in New Jersey, für alle Einzelunternehmen, Personengesellschaften, Unternehmen, Verbände bzw. andere juristische Personen, ungeachtet der Organisationsform, ob sie gewinnorientiert organisiert sind oder nicht, einschließlich Finanzinstituten, die gemäß der Gesetze des Bundesstaats New Jersey, eines anderen Bundesstaats, der Vereinigten Staaten oder eines anderen Lands organisiert sind, kraft eines Charters handeln oder im Besitz einer Lizenz oder
eines Autorisierungszertifikats sind, oder die Muttergesellschaft oder die Tochtergesellschaft eines Finanzinstituts, das in New Jersey tätig ist, die Computerdaten zusammenstellen oder verwalten, die persönliche
Informationen enthalten.
Dazu gehören:
n
Kreditkartennummer
n
n
n
New York AB-4254
New York AB-4254 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher
Daten. New York AB-4254 wurde am 10. August 2005 unterzeichnet und trat am 8. Dezember 2005 in Kraft.
Dem Gesetz unterliegen alle Personen bzw. Unternehmen, die in New York Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
VMware, Inc.
Kreditkartennummer
211
n
n
n
Neuseeländische Steuernummern
Die Richtlinie erkennt Dokumente und Übertragungen, die neuseeländische Steuernummern enthalten, die
vom Inland Revenue Department (IRD) an jeden Steuerzahler und jede Organisation ausgegeben werden.
Die Nummer muss bei den Steuerbehörden (Inland Revenue), Arbeitgebern, Banken oder anderen Finanzinstituten, KiwiSaver Scheme-Anbietern, StudyLink und Steuerberatern angegeben werden.
Die Richtlinie greift auf das Content Blade für neuseeländische Steuernummern zurück, um nach einer
Nummern des neuseeländischen Gesundheitsministeriums
Die Richtlinie erkennt Dokumente und Übertragungen, die Nummern des New Zealand Health Practitioner
Index (HPI) oder National Health Index (NHI) enthalten.
Das neuseeländische Ministerium für Gesundheit (Manatu Hauora in Maori) leitet das neuseeländische Gesundheitssystem und ist der wichtigste Berater der Regierung in allen gesundheitlichen Belangen. Das Ministerium verwendet zwei Systeme, um die Korrektheit der Daten unter Beibehaltung der Privatsphäre des
Einzelnen sicherstellen zu können: das NHI-Nummernsystem für die Registrierung von Patienten und das
HPI-System für die Registrierung von Ärzten. Diese Richtlinie erkennt die 6-stellige alphanumerische HPICPN (New Zealand Health Practitioner Index Common Person Number), über die ein Arzt oder eine medizinische Fachkraft eindeutig identifiziert werden kann. Darüber hinaus erkennt diese Richtlinie die 7-stelligen NHI-Nummern zur eindeutigen Identifizierung eines Patienten innerhalb des neuseeländischen Gesundheitssystems.
Die Richtlinie greift auf einen der folgenden Content Blades zurück, um nach einer Übereinstimmung zu
suchen:
n
Neuseeländische HPI-Nummer (Health Practitioner Index-Nummer)
n
Neuseeländische NHI-Nummer (National Health Index-Nummer)
Ohio HB-104
Ohio HB-104 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Ohio HB-104 wurde am 17. November 2005 unterzeichnet und trat am 29. Dezember 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Business Trusts, Vermögensverwalter, treuhänderisch tätige Einrichtungen und Interessenverbände, die in Ohio Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
212
n
Kreditkartennummer
n
n
n
VMware, Inc.
Oklahoma HB-2357
Oklahoma HB-2357 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher
Daten. Oklahoma HB-2357 wurde am 8. Juni 2006 unterzeichnet und trat am 1. November 2008 in Kraft.
Dem Gesetz unterliegen alle Unternehmen, Business Trusts, Vermögensverwalter, Personengesellschaften,
Kommanditgesellschaften, Personengesellschaften mit beschränkter Haftung, Gesellschaften mit beschränkter Haftung, Verbände, Organisationen, Joint Ventures, Behörden, Behördenabteilungen sowie alle anderen
juristischen Personen, kommerzieller oder nicht kommerzieller Art, die in Oklahoma Geschäfte tätigen und
unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Patienten-IDs
Die persönlich identifizierbaren Informationen (PII), die häufig von Krankenhäusern sowie Organisationen
und Unternehmen des Gesundheistswesens in den Vereinigten Staaten von Amerika verwendet werden.
Diese Richtlinie sollte angepasst werden, um das Format der Patientenidentifikationsnummer zu definieren.
Dazu gehören:
n
Patienten-IDs
n
US National Provider Identifier
n
Payment Card Industry Data Security Standard (PCI-DSS)
Der PCI DSS, eine Reihe von umfassenden Anforderungen zur Verbesserung der Sicherheit von Zahlungskontendaten, wurde von den Gründungsorganisationen des PCI Security Standards Council entwickelt, darunter American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa
Inc. International, um die globale Einführung einheitlicher Datensicherheitsmaßnahmen zu unterstützen.
Der PCI DSS ist ein vielseitiger Sicherheitsstandard, der Anforderungen an das Sicherheitsmanagement, an
Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere kritische Schutzmaßnahmen beinhaltet. Mithilfe dieses umfassenden Standards sollen Organisationen Kundenkontendaten proaktiv schützen
können.
Die Richtlinie greift auf einen der folgenden Content Blades zurück, um nach mindestens einer Übereinstimmung zu suchen:
n
Kreditkartennummer
n
VMware, Inc.
213
Texas SB-122
Texas SB-122 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Texas SB-122 wurde am 17. Juni 2005 unterzeichnet und trat am 1. September 2005 in Kraft. Dem Gesetz
unterliegen alle Personen, die in Texas Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Britische BIC-Nummern
Eine Bank Identifier Code (BIC) dient der eindeutigen Identifizierung einer bestimmten Bank und wird in
Großbritannien und weltweit für den Austausch von Geld und Nachrichten zwischen Banken verwendet.
Die Richtlinie erkennt Dokumente und Übertragungen, die BIC-Codes (auch bekannt als SWIFT-Codes) enthalten, die von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgegeben
werden.
Die Richtlinie greift auf das Content Blade für britische BIC-Nummern zurück, um nach einer Übereinstimmung zu suchen.
Britische Führerscheinnummern
Eine britische Führerscheinnummer ist eine Identifikationsnummer auf einem britischen Führerschein und
identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten.
Die Richtlinie greift auf das Content Blade für britische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen.
Britische IBAN-Nummern
Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt.
Die Richtlinie greift auf das Content Blade für britische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen.
Britische National Health Service-Nummer
Eine britische National Health Service-Nummer ist eine Identifikationsnummer, die der britische National
Health Service ausstellt und die den Inhaber der besagten Nummer auf medizinischen Unterlagen identifiziert.
Die Richtlinie greift auf das Content Blade für britische National Health Service-Nummern zurück, um nach
einer Übereinstimmung zu suchen.
214
VMware, Inc.
Britische Sozialversicherungsnummer (NINO, UK National Insurance Number)
Die britische Sozialversicherung ist ein System von Zahlungen, die Arbeitnehmer, Arbeitgeber und Selbstständige an die Regierung tätigen, und das sie berechtigt, eine staatliche Rente und andere Leistungen in
Anspruch zu nehmen.
Britische Sozialversicherungsnummern (NINO, National Insurance Number) sind Identifikationsnummern,
die jeder in Großbritannien geborenen Person und jedem Einwohner in Großbritannien zugewiesen wird,
der einer legalen Arbeit nachgeht, studiert, Sozialhilfe oder Rente empfängt usw.
Die Richtlinie greift auf das Content Blade für britische NINO-Nummern mit formalem Muster oder das
Content Blade für britische NINO-Nummern mit nicht formalem Muster zurück, um nach einer Übereinstimmung zu suchen.
Britische Reisepassnummern
Die Richtlinie erkennt Dokumente und Übertragungen, die in Großbritannien ausgestellte Reisepassnummern enthalten.
Die Richtlinie greift auf das Content Blade für britische Reisepassnummern zurück, um nach einer Übereinstimmung zu suchen.
In den Vereinigten Staaten vom Department of Motor Vehicles (oder einer vergleichbaren Behörde) ausgestellte Führerscheine enthalten einen numerischen oder alphanumerischen Code, in der Regel ein Foto des
Inhabers sowie eine Kopie seiner Unterschrift, die Adresse seines Hauptwohnsitzes, den Typ oder die Kategorie des Führerscheins, ggf. Einschränkungen und/oder Vermerke, physische Merkmale des Trägers (wie
Größe, Gewicht, Haarfarbe, Augenfarbe, manchmal auch die Hautfarbe) und das Geburtsdatum. Innerhalb
eines Staates sind ausgegebene Führerscheinnummern immer eindeutig. Wegen der Gefahr des Identitätsdiebstahls werden Sozialversicherungsnummern nur noch selten auf Führerscheinen angegeben.
Die Richtlinie greift auf das Content Blade für US-Führerscheine zurück, um nach einer Übereinstimmung
zu suchen.
Gemäß Paragraf 205 (c) (2) des Social Security Act, kodifiziert als 42 USC 405(c)(2), wird die US-Sozialversicherungsnummer US-Bürgern, Personen mit ständigem Wohnsitz in den Vereinigten Staaten und Personen
mit befristeter Arbeits- bzw. Aufenthaltsgenehmigung ausgestellt. Die Social Security Administration, eine
unabhängige Agentur der Regierung der Vereinigten Staaten, vergibt die Sozialversicherungsnummern an
die Bürger. In erster Linie wird mithilfe der Sozialversicherungsnummer das Einkommen von Personen für
steuerliche Zwecke verfolgt.
Utah SB-69
Utah SB-69 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Utah SB-69 wurde am 20. März 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle Personen, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, zu Bürgern von Utah besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
VMware, Inc.
215
n
n
Vermont SB-284
Vermont SB-284 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Vermont SB-284 wurde am 18. Mai 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz
unterliegen alle Personen, die Daten sammeln und unverschlüsselte computerisierte Daten, einschließlich
persönlicher Daten, zu Bürgern von Vermont besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Washington SB-6043
Washington SB-6043 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher
Daten. Washington SB-6043 wurde am 10. Mai 2005 unterzeichnet und trat am 24. Juli 2005 in Kraft. Dem
Gesetz unterliegen alle lokalen und staatlichen Behörden sowie jeder Person bzw. jedes Unternehmen, die in
Washington Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Verfügbare Content Blades
In diesen Abschnitten sind die verfügbaren Content Blades für vShield-Bestimmungen aufgeführt.
Content Blade für ABA Routing-Nummern
Das Content Blade sucht nach Übereinstimmungen bei 3 Informationsbestandteilen, die sich nah beieinander befinden.
Das Content Blade sucht nach:
n
ABA Routing-Nummern
n
Wörtern und Phrasen aus dem Bankwesen (z. B. „ABA“, „routing number“, „checking“, „savings“)
n
Persönlichen Daten (z. B. Name, Adresse, Telefonnummer)
Wörter und Phrasen aus dem Bankwesen sind implementiert, um die Genauigkeit zu erhöhen. Eine Routing-Nummer besteht aus 9 Ziffern und kann mit vielen verschiedenen Datentypen verwechselt werden,
beispielsweise mit einer gültigen US-Sozialversicherungsnummer, einer gültigen kanadischen Sozialversicherungsnummer oder einer internationalen Telefonnummer.
Da Routing-Nummern selbst keine vertraulichen Daten sind, kann es nur bei persönlichen Daten zu einem
Verstoß kommen.
216
VMware, Inc.
Content Blade für Aufnahme- und Entlassungsdatum
Das Content Blade sucht nach Übereinstimmungen mit dem US-Datumsformat sowie nach Wörtern und
Phrasen wie z. B. „admit date“, „admittance date“, „date of discharge“, „discharge date“, die sich nah beieinander befinden.
Content Blade für Führerscheine aus Alabama
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alabama sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AL
oder Alabama.
Führerscheinmuster
7 oder 8 Ziffern
Content Blade für Führerscheine aus Alaska
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK
oder Alaska.
Führerscheinmuster:
7 Ziffern
Content Blade für Führerscheine aus Alberta
oder Alaska.
Führerscheinmuster
7 Ziffern
Content Blade für Führerscheine aus Alaska
oder Alaska.
7 Ziffern
Content Blade für Führerscheine aus Alberta
oder Alaska.
Führerscheinmuster
7 Ziffern
VMware, Inc.
217
Content Blade für American Express
Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen.
n
Mehr als eine American Express-Kreditkartennummer
n
Eine einzelne Kreditkartennummer plus Wörtern und Phrasen wie z. B. „ccn“, „credit card“, „expiration date“
n
Eine einzelne Kreditkartennummer plus einem Ablaufdatum
Content Blade für Führerscheine aus Arizona
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Arizona sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AZ
oder Arizona.
Das Führerscheinmuster lautet: 1 Buchstabe, 8 Ziffern oder 9 Ziffern (SSN) bzw. 9 Ziffern (unformatierte
SSN).
Content Blade für Führerscheine aus Arkansas
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Arkansas sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AR
oder Arkansas.
Das Führerscheinmuster kann 8 oder 9 Ziffern sein.
Content Blade für Bankkontonummern aus Australien
Die australische Bankkontonummer selbst ist nicht vertraulich, identifiziert aber ein Bankkonto, ohne die
Zweigstelle der Bank zu identifizieren. Deshalb müssen die Bankkontonummer und die Zweigstellendaten
verfügbar sein, damit das Dokument als vertraulich betrachtet wird.
Das Content Blade sucht nach Übereinstimmungen für beide Informationen:
n
Einer australischen Bankkontonummer
n
Wörtern und Phrasen hinsichtlich der Zweigstelle oder BSB (Bank State Branch).
Zudem wird auch ein regulärer Ausdruck verwendet, um Telefonnummern mit derselben Länge unterscheiden zu können.
Eine australische Bankkontonummer ist 6 bis 10 Ziffern lang, wobei die Ziffern keine nähere Bedeutung haben. Es gibt keine Routine zum Überprüfen der Ziffern.
Content Blade für australische Geschäftsnummern (ABN)
Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich nah beieinander befinden.
n
Australia Business Number
n
Begriffe und Phrasen im Zusammenhang mit der ABN (z. B. ABN, Australian Business Number)
Content Blade für australische Firmennummer (ACN)
Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich nah beieinander befinden.
n
218
Australia Company Number
VMware, Inc.
n
Wörter und Phrasen im Zusammenhang mit der ACN (z. B. ACN, Australian Company Number)
Content Blade für australische Medicare-Kartennummer
Das Content Blade findet Übereinstimmungen, wenn ein Dokument folgende Informationen enthält.
n
Mehr als eine australische Medicare-Kartennummer
n
Eine Medicare-Kartennummer sowie weitere Begriffe im Zusammenhang mit Medicare oder der Patientenidentifizierung (z. B. Patientenkennung, Patientennummer)
n
Eine Medicare-Kartennummer sowie zwei weitere der folgenden Informationen: Name, Ablaufdatum
oder Ablaufbestimmungen
Content Blade für australische Steuernummern
Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich sehr nah
beieinander befinden.
n
Australische Steuernummer (siehe Objektbeschreibung)
n
Steuernummerbegriffe und -Phrasen (z. B. „TFN“, „Tax File Number“)
Content Blade für Führerscheinnummern aus Kalifornien
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kalifornien sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie
CA oder California.
Das Führerscheinmuster lautet: 1 Buchstabe, 7 Ziffern.
Content Blade für Führerscheinnummern aus Kanada
Das Content Blade ist lediglich eine Containerdatei für untergeordnete Content Blades. Die ihm zugeordneten Content Blades suchen separat in den einzelnen Provinzen und Territorien nach Führerscheinen.
Content Blade für Sozialversicherungsnummern aus Kanada
Das Content Blade ist lediglich eine Containerdatei für untergeordnete Content Blades. Die ihm zugeordneten Content Blades suchen separat nach der formatierten und der unformatierten Version der kanadischen
Sozialversicherungsnummern sowie nach persönlichen Informationen, sodass ihnen unterschiedliche Regeln zugeordnet werden können. Die formatierte Version der Sozialversicherungsnummer hat ein spezifischeres Muster. Daher sind die Regeln für die Rückgabe einer Übereinstimmung weniger streng. Die unformatierte Version ist jedoch sehr allgemein und stimmt mit vielen anderen Nummern überein.
Content Blade für Führerscheinnummern aus Colorado
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Colorado sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CO
oder Colorado.
Das Führerscheinmuster besteht aus 9 Ziffern.
VMware, Inc.
219
Content Blade für Führerscheinnummern aus Connecticut
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Connecticut sowie
CT oder Connecticut.
Führerscheinmuster: 9 Ziffern, die ersten zwei Stellen sind der Geburtsmonat in geraden bzw. ungeraden
Jahreszahlen. 01-12 für Jan-Dez in ungeraden Jahren, 13-24 Jan-Dez in geraden Jahren, 99 für unbekannt.
Content Blade für Kreditkartennummern
Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen.
n
Mehr als eine Kreditkartennummer
n
n
Content Blade für Daten des Kreditkartenmagnetstreifens
Bei den Magnetstreifendaten handelt es sich um verschlüsselte Informationen, die auf zwei Spuren des
Magnetstreifens auf der Rückseite einer Kreditkarte (Bankkarte, Geschenkkarte usw.) gespeichert sind. Der
Magnetstreifen auf der Rückseite einer Kreditkarte enthält drei Spuren.
Jede Spur hat eine Breite von 2,8 mm (0,11 Zoll). In der von den Banken verwendeten ISO/IEC-Norm 7811
ist Folgendes definiert:
n
Spur 1 hat 210 bpi (bits per inch) und umfasst 79 7-Bit-Zeichen (6 Bit und 1 Paritätsbit). Sie kann nicht
beschrieben werden.
n
Spur 2 hat 75 bpi (bits per inch) und umfasst 40 5-Bit-Zeichen (4 Bit und 1 Paritätsbit).
n
Spur 3 hat 210 bpi (bits per inch) und umfasst 107 5-Bit-Zeichen (4 Bit und 1 Paritätsbit).
Ihre Kreditkarte verwendet in der Regel nur die Spuren 1 und 2. Bei der dritten Spur handelt sich um eine
Lese-/Schreib-Spur (die eine verschlüsselte PIN, einen Landescode, Währungseinheiten und den genehmigten Betrag enthält), jedoch ist ihre Nutzung durch die Banken nicht standardisiert.
Dieses Content Blade erfordert eine Übereinstimmung mit der Entität „Credit Card Track Data".
Content Blade für benutzerdefinierte Kontonummern
Das Content Blade für benutzerdefinierte Kontonummern kann bearbeitet werden. Es sollte einen regulären
Ausdruck für das benutzerdefinierte Kontomuster einer Organisation enthalten.
Content Blade für Führerscheinnummern aus Delaware
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Delaware sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie DE
oder Delaware.
Content Blade für europäische Debitkartennummern
Das Content Blade sucht nach Mustern der wichtigsten Debitkarten in der europäischen Union.
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in unmittelbarer Nachbarschaft zueinander enthält.
n
220
Mehr als eine Übereinstimmung mit einer EU-Debitkartennummer
VMware, Inc.
n
Eine einzelne Übereinstimmung mit einer EU-Debitkartennummer sowie zwei weitere der folgenden
Informationen: ein Wort oder eine Phrase für Kreditkarte (z. B. „Kartennummer“ oder „CC #“), für Kreditkartensicherheit, ein Verfallsdatum oder ein Name
n
Eine einzelne Übereinstimmung mit einer EU-Debitkartennummer mit einem Ablaufdatum
Content Blade für Führerscheinnummern aus Florida
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Florida sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie FL oder
Florida.
Führerscheinmuster: 1 Buchstabe, 12 Ziffern.
Content Blade für Führerscheinnummern aus Frankreich
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen französischen Führerschein zu erkennen.
n
Muster für französischen Führerschein
n
Entweder Wörter oder Phrasen für einen Führerschein (z. B. „permis de conduire“) oder das EU-Datumsformat
Content Blade für französische BIC-Nummern
Bei der Suche nach französischen BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen.
n
Europäisches BIC-Nummerformat
n
Französisches Format der BIC-Nummer
Content Blade für französische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine französische
IBAN-Nummer zu erkennen.
n
Europäisches IBAN-Nummerformat
n
Muster einer französischen IBAN-Nummer
Content Blade für die französische Personalausweisnummer
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine französische
Personalausweisnummer zu erkennen.
n
Mehr als eine Übereinstimmung mit dem Muster für die französische Personalausweisnummer
n
Eine Übereinstimmung mit dem Muster für die französische Personalausweisnummer sowie entweder
Wörter oder Phrasen für eine Sozialversicherungsnummer
VMware, Inc.
221
Content Blade für französische Umsatzsteuernummern
Das Content Blade erfordert eine Übereinstimmung mit dem Muster für eine französische Umsatzsteuernummer, die sich in der Nähe der Abkürzung FR befindet.
Content Blade für Führerscheinnummern aus Georgia
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Georgia sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie GA
oder Georgia.
Führerscheinmuster: 7-9 Ziffern oder formatierte SSN.
Content Blade für deutsche BIC-Nummern
Bei der Suche nach deutschen BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln
zutreffen.
n
n
Deutsches Format der BIC-Nummer
Content Blade für Führerscheinnummern aus Deutschland
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen deutschen
Führerschein zu erkennen.
n
Muster für deutschen Führerschein\
n
Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „Führerschein“,
„Ausstellungsdatum“)
Content Blade für deutsche IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche
n
n
Muster einer deutschen IBAN-Nummer
Die Regel für eine deutsche IBAN: Ländercode „DE“, gefolgt von 22 Ziffern.
Content Blade für deutsche Personalausweisnummern
n
Entweder eine deutsche Personalausweisnummer oder eine maschinenlesbare Version der Nummer
n
Wörter oder Phrasen für eine deutsche Personalausweisnummer (z. B. „Personalausweis“, „Personalausweisnummer“)
Content Blade für deutsche Reisepassnummern
Reisepassnummer zu erkennen.
222
n
Entweder eine deutsche Reisepassnummer oder eine maschinenlesbare Version der Nummer
n
Wörter oder Phrasen für eine deutsche Reisepassnummer (z. B. „Reisepass“, „Ausstellungsdatum“)
VMware, Inc.
Content Blade für deutsche Umsatzsteuernummern
Das Content Blade erfordert eine Übereinstimmung mit dem Muster für eine deutsche Umsatzsteuernummer, die sich in direkter Nachbarschaft zu der Abkürzung „DE“ befindet.
Content Blade für Gruppenversicherungsnummern
Dies ist ein Content Blade, das angepasst werden muss. Um dieses Content Blade verwenden zu können,
müssen Sie einen regulären Ausdruck hinzufügen, der dem Nummernmuster für die Gruppenversicherungsnummer einer Organisation entspricht. Das Content Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. „group insurance“ oder einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat.
Content Blade für Führerscheinnummern aus Hawaii
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Hawaii sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie HI oder
Hawaii.
Führerscheinmuster: Buchstabe H und 8 Ziffern, oder SSN.
Content Blade für italienische Personalausweisnummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine italienische
1
Muster einer italienischen nationalen Identifikationsnummer
2
Wörter oder Phrasen für eine italienische Personalausweisnummer (z. B. „codice fiscale“, „national
identification“)
Regel für Personalausweisnummern: 16 Zeichen alphanumerischer Zeichencode, wobei Folgendes gilt:
n
SSS sind die ersten drei Konsonanten im Familiennamen (der erste Vokal und dann ein X werden verwendet, wenn nicht genügend Konsonanten zur Verfügung stehen).
n
NNN ist der Vorname, von dem der erste, dritte und vierte Konsonant verwendet werden. Ausnahmen
werden wie in Familiennamen behandelt.
n
JJ steht für die letzten beiden Ziffern des Geburtsjahrs.
n
M steht für den Anfangsbuchstaben des Geburtsmonats. Die Buchstaben werden in alphabetischer Reihenfolge verwendet. Dabei kommen nur die Buchstaben A bis E, H, L, M, P sowie R bis T zum Einsatz
(demzufolge steht A für Januar und R für Oktober).
n
TT steht für den Tag des Geburtsdatums. Um Geschlechter unterscheiden zu können, wird dem Tag
des Geburtsdatums 40 hinzuaddiert. (Eine Frau, die an einem 3. Mai geboren wurde, hat ...E43...)
n
ZZZZ ist ein für den Geburtsort spezifischer Bereichscode. Für das Ausland werden landesweite Codes
verwendet: ein Buchstabe, gefolgt von drei Ziffern.
n
X ist eine Paritätszeichen, das berechnet wird, indem Zeichen an geraden und ungeraden Positionen
addiert und durch 26 geteilt werden. Dazu werden für Buchstaben an geraden Positionen numerische
Werte verwendet, die der Stellung der Buchstaben im Alphabet entsprechen. Zeichen an ungeraden Positionen haben andere Werte. Dann wird der Buchstabe verwendet, der an der Stelle im Alphabet steht,
die sich aus dem Rest der Division ergibt.
Muster:
n
LLLLLLDDLDDLDDDL
n
LLL LLL DDLDD LDDDL
VMware, Inc.
223
Dies ist ein Content Blade, das angepasst werden muss. Fügen Sie zum Einsetzen dieses Content Blades einen regulären Ausdruck hinzu, um Empfänger von Krankenkassenleistungen zu identifizieren. Das Content
Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern
und Phrasen, wie z. B. nach Anspruchsberechtigten oder einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat.
Content Blade für Führerscheinnummern aus Idaho
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Idaho sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ID oder
Idaho.
Führerscheinmuster: 2 Buchstaben, 6 Ziffern, 1 Buchstabe.
Content Blade für Führerscheinnummern aus Illinois
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Illinois sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IL oder
Illinois.
Führerscheinmuster: 1 Buchstabe, 11 Ziffern.
Content Blade für Führerscheinnummern aus Indiana
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Indiana sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IN oder
Indiana.
Führerscheinmuster: 10 Ziffern.
Content Blade für Führerscheinnummern aus Iowa
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Iowa sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IA oder Iowa.
Das Führerscheinmuster besteht aus 3 Ziffern, 2 Buchstaben und 3 Ziffern oder der Sozialversicherungsnummer.
Content Blade für das Verfahrensverzeichnis
Das Content Blade sucht nach Wörtern und Phrasen, die sich auf medizinische Verfahren beziehen, die auf
der International Classification of Diseases (ICD) basieren.
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen enthält:
224
n
Mehr als eine Übereinstimmung im Verfahrensverzeichnis-Wörterbuch
n
Eine einzelne Übereinstimmung im Verfahrensverzeichnis-Wörterbuch plus zwei Übereinstimmungen
bei Name, US-Adresse oder US-Datum
n
Eine einzelne Übereinstimmung im Verfahrensverzeichnis-Wörterbuch mit einem Wort oder einer
Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes)
VMware, Inc.
Content Blade für Führerscheinnummern aus Italien
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen italienischen Führerschein zu erkennen.
n
Muster für italienischen Führerschein
n
Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „patente di guida“,
„driving license“)
Führerscheinregel: 10 alphanumerische Zeichen - 2 Buchstaben, 7 Ziffern und als letztes Zeichen ein Buchstabe. Das erste Zeichen darf nur aus den Buchstaben A - V bestehen.
n
LLDDDDDDDL
n
LL DDDDDDD L
n
LL-DDDDDDD-L
n
LL-DDDDDDD-L
Content Blade für italienische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine italienische
1
Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. „International Bank Account Number“,
„IBAN“)
2
Muster einer italienischen IBAN-Nummer
IBAN-Regel: Ländercode IT gefolgt von 25 alphanumerischen Zeichen.
Muster:
n
ITDDLDDDDDDDDDDAAAAAAAAAAAA
n
IT DDL DDDDD DDDDD AAAAAAAAAAAA
n
IT DD LDDDDD DDDDD AAAAAAAAAAAA
n
IT DD L DDDDD DDDDD AAAAAAAAAAAA
n
IT DD LDDDDDDDDDDAAAAAAAAAAAA
n
IT DD L DDDDDDDDDDAAAAAAAAAAAA
n
ITDD LDDD DDDD DDDA AAAA AAAA AAA
n
IT DDL DDDDD DDDDD AAAAAA AAAAAA
n
IT DDL DDD DDD DDD DAAA AAA AAAAAA
n
IT DDL DDDDDDDDDD AAAAAA AAAAAA
Leerzeichen können durch Bindestriche, Schrägstriche oder Doppelpunkte ersetzt werden.
VMware, Inc.
225
Content Blade für unformatierte ITIN
Das Content Blade sucht unformatierte Muster der US-Steuernummer (ITIN). Das Content Blade findet eine
Übereinstimmung, wenn eine unformatierte ITIN in direkter Nachbarschaft eines Worts oder einer Phrase
für eine ITIN-Nummer (z. B. tax identification, ITIN) gefunden wird.
ITIN-Regel: 9-stellige Nummer, die immer mit der Zahl 9 beginnt und deren vierte und fünfte Stelle innerhalb eines Bereiches von 70 bis 88 liegt.
Muster: DDDDDDDDD
Content Blade für Führerscheinnummern aus Kansas
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kansas sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie KS oder
Kansas.
Führerscheinmuster: 1 Buchstabe (K), 8 Ziffern; oder US-Sozialversicherungsnummer.
Content Blade für Führerscheinnummern aus Kentucky
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kentucky sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie KY
oder Kentucky.
Führerscheinmuster: 1 Buchstabe, 8 Ziffern oder US-Sozialversicherungsnummer.
Content Blade für Führerscheinnummern aus Louisiana
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Louisiana sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie LA
oder Louisiana.
Führerscheinmuster: 2 Nullen, 7 Ziffern.
Content Blade für Führerscheinnummern aus Maine
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Maine sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ME
oder Maine.
Führerscheinmuster: 7 Ziffern, optionaler Buchstabe X.
Content Blade für Führerscheine aus Manitoba
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Manitoba sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie MB oder
Manitoba in näherer Umgebung.
Regeln für Lizenzmuster: 12 alphanumerische Zeichen, die durch Bindestriche getrennt sein können, wobei
Folgendes gilt:
226
n
Das erste Zeichen ist ein Buchstabe
n
Das 2. bis 5. Zeichen sind Buchstaben oder Sternchen
n
Das 6. Zeichen ist ein Buchstabe
n
Das 7. bis 10. Zeichen sind Ziffern
n
Das 11. Zeichen ist ein Buchstabe
VMware, Inc.
n
Das 12. Zeichen ist ein Buchstabe oder eine Ziffer
oder
n
Das erste Zeichen ist ein Buchstabe
n
Das 2. bis 4. Zeichen sind Buchstaben oder Sternchen
n
Das 5. bis 6. Zeichen sind Ziffern
n
Das 7. bis 12. Zeichen sind Buchstaben oder Ziffern
n
LLLLLLDDDDLA
n
LLLLLDDAAAAAA
Content Blade für Führerscheinnummern aus Maryland
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Maryland sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MD
oder Maryland.
Führerscheinmuster: 1 Buchstabe, 12 Ziffern
Content Blade für Führerscheinnummern aus Massachusetts
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Massachusetts sowie
MA oder Massachusetts.
Führerscheinmuster: 1 Buchstabe (S), 8 Ziffern oder US-Sozialversicherungsnummer
Content Blade für Führerscheinnummern aus Michigan
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Michigan sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MI
oder Michigan.
Content Blade für Führerscheinnummern aus Minnesota
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Minnesota sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MN
oder Minnesota.
Content Blade für Führerscheinnummern aus Mississippi
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Mississippi sowie
MS oder Mississippi.
Führerscheinmuster: 9 Ziffern oder formatierte Sozialversicherungsnummer
VMware, Inc.
227
Content Blade für Führerscheinnummern aus Missouri
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Missouri sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MO
oder Missouri.
Führerscheinmuster: 1 Buchstabe, 6-9 Ziffern; 9 Ziffern oder formatierte Sozialversicherungsnummer
Content Blade für Führerscheinnummern aus Montana
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Montana sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MT
oder Montana.
Führerscheinmuster: 9 Ziffern (SSN); oder 1 Buchstabe, 1 Ziffer, 1 alphanumerisches Zeichen, 2 Ziffern, 3
Buchstaben und 1 Ziffer; oder 13 Ziffern
Content Blade für das NDC Formulas-Wörterbuch
Das Content Blade sucht nach Wörtern und Phrasen, die sich auf Formeln beziehen, die auf den National
Drug Codes (NDC) basieren.
1
Mehr als eine Übereinstimmung im NDC Formulas-Wörterbuch
2
Eine einzelne Übereinstimmung im NDC Formulas-Wörterbuch plus zwei Übereinstimmungen bei
Name, US-Adresse oder US-Datum
3
Eine einzelne Übereinstimmung im NDC Formulas-Wörterbuch mit einem Wort oder einer Phrase, die
einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes)
Content Blade für Führerscheinnummern aus Nebraska
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nebraska sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NE
oder Nebraska.
Content Blade für Führerscheinnummern aus den Niederlanden
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen niederländischen Führerschein zu erkennen.
1
Muster eines niederländischen Führerscheins (siehe Ojektbeschreibung)
2
Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „rijbewijs“)
Content Blade für niederländische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische IBAN-Nummer zu erkennen.
1
Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. „International Bank Account Number“,
„IBAN“)
2
Muster einer niederländischen IBAN-Nummer
IBAN-Regel: Ländercode NL gefolgt von 16 alphanumerischen Zeichen.
228
VMware, Inc.
Muster:
n
NLDDLLLLDDDDDDDDDD
n
NL DDLLLLDDDDDDDDDD
n
NL DD LLLL DDDDDDDDDD
n
NL DD LLLL DDDD DDDD DD
n
NL DD LLLL DDDD DDDD DD
n
NLDDLLLL DDDD DDDDDD
n
NL DD LLLL DDDDDDDDDD
n
NL DD LLLL D DD DD DD DDD
n
NL DD LLLL DD DD DD DDDD
n
NL DD LLLL DDD DDDDDDD
n
NL DD LLLL DDDD DD DD DD
Leerzeichen können durch Schrägstriche ersetzt werden
Content Blade für niederländische Personalausweisnummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische Personalausweisnummer zu erkennen.
1
Niederländische Personalausweisnummer (siehe Objektbeschreibung)
2
Wörter oder Phrasen für eine niederländische Personalausweisnummer (z. B. „sofinummer“, „burgerservicenummer“)
Content Blade für niederländische Reisepassnummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische Reisepassnummer zu erkennen.
1
Niederländische Reisepassnummer (siehe Ojektbeschreibung)
2
Wörter oder Phrasen für eine niederländische Reisepassnummer (z. B. „paspoort“, „Noodpaspoort“)
Content Blade für Führerscheinnummern aus Nevada
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nevada sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NV
oder Nevada.
Führerscheinmuster: 9 Ziffern (SSN), 12 Ziffern (die letzten beiden sind das Geburtsjahr) oder 10 Ziffern
[Content Blade für Führerscheine aus New Brunswick]
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Brunswick sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NB
oder New Brunswick in näherer Umgebung.
Regeln für Lizenzmuster: 5 - 7 Ziffern
n
DDDDD
n
DDDDDD
VMware, Inc.
229
n
DDDDDDD
Content Blade für Führerscheinnummern aus New Hampshire
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Hampshire sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen
wie NH oder New Hampshire.
Führerscheinmuster: 2 Ziffern, 3 Buchstaben, 5 Ziffern
Content Blade für Führerscheinnummern aus New Jersey
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Jersey sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NJ
oder New Jersey.
Content Blade für Führerscheinnummern aus New Mexico
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Mexico sowie
NM oder New Mexico.
Führerscheinmuster: 9 Ziffern
Content Blade für Führerscheinnummern aus New York
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New York sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NY
oder New York.
Content Blade für Indexnummern von in Neuseeland niedergelassenen
Fachkräften im Gesundheitswesen
Das Content Blade sucht nach Übereinstimmungen mit der Indexentität für neuseeländische Fachkräfte im
Gesundheitswesen und unterstützende Begriffe, wie z. B. „hpi-cpn“ oder „health practitioner index“.
Neuseeländische Steuernummer
Das Content Blade sucht nach Übereinstimmungen mit der neuseeländischen Steuernummerentität und
Wörtern und Phrasen, wie z. B. „IRD Number“ oder „Inland Revenue Department Number“.
Content Blade für neuseeländische NHI-Nummern (National Health Index)
Das Content Blade sucht nach Übereinstimmungen mit der neuseeländischen NHI-Entität sowie unterstützenden Begriffen, wie z. B. „nhi“ oder „National Health Index“.
230
VMware, Inc.
Content Blade für Führerscheine aus Neufundland und Labrador
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Neufundland und
Labrador sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NL oder Labrador in näherer Umgebung.
Regeln für Lizenzmuster: 1 Buchstabe gefolgt von 9 Ziffern
Führerscheinmuster: LDDDDDDDDD
Content Blade für Führerscheinnummern aus North Carolina
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von North Carolina sowie
NC oder North Carolina.
Führerscheinmuster: 6 - 8 Ziffern
Content Blade für Führerscheinnummern aus North Dakota
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von North Dakota sowie
ND oder North Dakota.
Führerscheinmuster: 9 Ziffern oder 3 Buchstaben, 6 Ziffern
Content Blade für Führerscheine aus Nova Scotia
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nova Scotia sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NS
oder Nova Scotia in näherer Umgebung.
Regeln für Lizenzmuster: 5 Buchstaben gefolgt von 9 Ziffern
Führerscheinmuster: LLLLDDDDDDDDD
Content Blade für Führerscheinnummern aus Ohio
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Ohio sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OH oder
Ohio.
Content Blade für Führerscheinnummern aus Oklahoma
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Oklahoma sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OK
oder Oklahoma.
Führerscheinmuster: 1 Buchstabe, 8 Ziffern; 9 Ziffern oder formatierte Sozialversicherungsnummer
VMware, Inc.
231
Content Blade für Führerscheine aus Ontario
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Ontario sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie ON oder
Ontario in näherer Umgebung.
Führerscheinmuster: LDDDDDDDDDDDDDD
Content Blade für Führerscheinnummern aus Oregon
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Oregon sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OR
oder Oregon.
Führerscheinmuster: 6 -7 Ziffern
Content Blade für Patientenidentifikationsnummern
Dies ist ein Content Blade, das angepasst werden muss. Um dieses Content Blade verwenden zu können,
müssen Sie einen regulären Ausdruck hinzufügen, der dem Nummernmuster für eine firmenspezifische Patientenidentifikationsnummer entspricht. Das Content Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. einer Patienten-ID, einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat.
Content Blade für Führerscheinnummern aus Pennsylvania
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Pennsylvania sowie
PA oder Pennsylvania.
Content Blade für Führerscheine aus Prince Edward Island
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Prince Edward Island
sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie
PE oder Prince Edward Island in näherer Umgebung.
Regeln für Lizenzmuster: 5 - 6 Ziffern
n
DDDD
n
DDDDDD
Content Blade für Begriffe im Zusammenhang mit geschützten
Gesundheitsdaten
Das Content Blade sucht nach Wörtern und Phrasen im Zusammenhang mit persönlichen Gesundheitsakten
und Krankenversicherungsansprüchen.
1
232
Mehr als eine Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten.
VMware, Inc.
2
Eine einzelne Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten sowie zwei der
folgenden Informationen: Name, US-Adresse oder US-Datum
3
Eine einzelne Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten und ein Wort
oder eine Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes)
Content Blade für Führerscheine aus Quebec
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Quebec sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie QC oder
Quebec in näherer Umgebung.
Führerscheinmuster: LDDDDDDDDDDDD
Content Blade für Führerscheinnummern aus Rhode Island
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Rhode Island sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie RI
oder Rhode Island.
Content Blade für Führerscheine aus Saskatchewan
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Saskatchewan sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie SK
oder Saskatchewan in näherer Umgebung.
Regeln für Lizenzmuster: 8 Ziffern
Lizenzmuster: DDDDDDDD
Content Blade für formatierte SIN
Das Content Blade sucht formatierte Muster der kanadischen Sozialversicherungsnummer (SIN).
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in mittelbarer Nachbarschaft zueinander enthält:
1
Mehr als eine Übereinstimmung mit einer formatierten SIN
2
Eine einzelne Übereinstimmung mit einer formatierten SIN sowie ein Wort oder eine Phrase im Zusammenhang mit dem Führerschein oder dem Geburtsdatum
3
Eine einzelne Übereinstimmung mit einer formatierten SIN mit einem Wort oder einer Phrase
Content Blade für unformatierte SIN
Das Content Blade sucht unformatierte Muster der kanadischen Sozialversicherungsnummer (SIN). Das
Content Blade findet eine Übereinstimmung, wenn eine unformatierte SIN in direkter Nachbarschaft eines
Worts oder einer Phrase für eine Sozialversicherungsnummer (z. B. Social Insurance, SIN), für einen Führerschein oder das Geburtsdatum gefunden wird.
VMware, Inc.
233
Content Blade für formatierte SSN
Content Blade für formatierte SSN
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in mittelbarer Nachbarschaft zueinander enthält:
n
Mehr als eine Übereinstimmung mit einer formatierten SSN
n
Eine einzelne Übereinstimmung mit einer formatierten SSN sowie zwei weitere der folgenden Informationen: Name, US-Adresse oder US-Datum
n
Ein Übereinstimmung mit einer formatierten SSN sowie ein Wort oder eine Phrase für eine Sozialversicherungsnummer (z. B. Social Security, SSN)
Content Blade für unformatierte SSN
Das Content Blade sucht unformatierte Muster der US-Sozialversicherungsnummer (SSN). Das Content Blade findet eine Übereinstimmung, wenn eine unformatierte SSN in direkter Nachbarschaft eines Worts oder
einer Phrase für eine Sozialversicherungsnummer (z. B. Social Security, SSN) gefunden wird.
Content Blade für Führerscheinnummern aus South Carolina
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von South Carolina sowie
SC oder South Carolina.
Content Blade für Führerscheinnummern aus South Dakota
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von South Dakota sowie
SD oder South Dakota.
Führerscheinmuster: 8 Ziffern oder Sozialversicherungsnummer
Content Blade für die spanische Personalausweisnummer
Das Content Blade sucht nach Übereinstimmungen mit der spanischen nationalen Identifikationsnummer
und Wörtern und Phrasen, wie z. B. „Documento Nacional de Identidad“ und „Número de Identificación de
Extranjeros“. Darüber hinaus verwendet es reguläre Ausdrücke, um Telefonnummern zu unterscheiden
und um die Doppelzählung von DNIs und NIEs ohne Prüfzeichen zu verhindern.
Content Blade für spanische Reisepassnummern
Das Content Blade sucht nach Übereinstimmungen mit spanischen Reisepassnummern und nach Wörtern
und Phrasen, wie „pasaporte“ oder „passport“.
Reisepassregel: 8 alphanumerische Zeichen - 2 Buchstaben gefolgt von 6 Ziffern.
Muster:
LLDDDDDD
LL-DDDDDD
LL DDDDDD
234
VMware, Inc.
Content Blade für Sozialversicherungsnummern aus Spanien
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine spanische
Sozialversicherungsnummer zu erkennen.
1
Spanische Sozialversicherungsnummer
2
Wörter oder Phrasen für eine Sozialversicherungsnummer (z. B. „número de la seguridad social“, die
Sozialversicherungsnummer)
Content Blade für schwedische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine schwedische
1
Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. International Bank Account Number,
IBAN)
2
Muster einer schwedischen IBAN-Nummer
IBAN-Regel: Ländercode „SE“, gefolgt von 22 Ziffern.
Muster: SE DDDDDDDDDDDDDDDDDDDDDD
Content Blade für schwedische Reisepassnummern
Das Content Blade sucht nach Übereinstimmungen mit dem regulären Ausdruck für schwedische Reisepassnummern mit den folgenden möglichen Kombinationen von Belegen.
1
Wörter und Ausdrücke im Zusammenhang mit Reisepässen, z. B. „Passnummer“
2
Wörter und Phrasen für das Land Schweden, Nationalität und Ablaufdaten
Reisepassregel: 8 Ziffern
Muster:
DDDDDDDD
DD-DDDDDD
LL-DDDDDD
Content Blade für Führerscheinnummern aus Tennessee
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Tennessee sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie TN
oder Tennessee.
Content Blade für britische BIC-Nummern
Beim Prüfen auf britische BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen.
1
2
Britisches Format der BIC-Nummer
BIC-Regel: 8 oder 11 alphanumerische Zeichen. An 5. und 6. Stelle stehen immer die Buchstaben „GB“ für
den Ländercode gemäß ISO 3166-1 alpha-2.
VMware, Inc.
235
Muster:
LLLLLLAAA
LLLLLLAAAAA
LLLLLLAA-AAA
LLLLLLAA AAA
LLLLLL AA AAA
LLLL LL AA AAA
LLLL LL AA-AAA
Content Blade für Führerscheinnummern aus Großbritannien
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen britischen
Führerschein zu erkennen.
1
Muster für britischen Führerschein
2
Entweder Wörter oder Phrasen für einen Führerschein (z. B. „driving license“) oder eine Angabe zur
persönlichen Identifikation (z. B. Geburtsdatum, Adresse, Telefonnummer)
Führerscheinregel: 16 bis 18 alphanumerische Zeichen, die mit einem Buchstaben beginnen.
Muster:
LAAAADDDDDDLLDLLDD
An einigen Stellen sind die akzeptierten Werte begrenzt.
Content Blade für britische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine britische
1
2
Muster einer britischen IBAN-Nummer
IBAN-Regel: Ländercode „GB“, gefolgt von 20 Zeichen.
GB, ISO-Ländercode
2 Ziffern (nur numerische Zeichen von 0 bis 9), Prüfziffern (IBAN)
4 Großbuchstaben (nur A - Z), Bankleitzahl
6 Ziffern (nur numerische Zeichen von 0 bis 9), Bankfilialcode
8 Ziffern (nur numerische Zeichen von 0 bis 9), Kontonummer
Muster:
GBDDLLLLDDDDDDDDDDDDDD
GB DD LLLL DDDD DDDD DDDD DD
GB DD LLLL DDDDDD DDDDDDDD
Content Blade für die britische National Health Service-Nummer
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine britische National Health Service-Nummer zu erkennen.
1
236
Format der britischen National Health Service-Nummer
VMware, Inc.
2
Wörter und Phrasen im Zusammenhang mit dem nationalen Gesundheitsdienst Großbritanniens oder
der Patientenkennung bzw. dem Geburtsdatum des Patienten
Content Blade für das formale Muster britischer NINO-Nummern
Das Content Blade sucht nach dem formalen Muster der britischen Sozialversicherungsnummer (NINO).
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in unmittelbarer Nachbarschaft zueinander enthält:
1
Mehr als eine Übereinstimmung mit dem formalen NINO-Muster
2
Eine einzelne Übereinstimmung mit einer formalen NINO sowie ein Wort oder eine Phrase für eine Sozialversicherungsnummer (z. B. „NINO“, „taxpayer number“)
Content Blade für britische Reisepassnummern
Das Content Blade sucht nach Übereinstimmungen mit einer der britischen Reisepassnummern und folgenden Belegen.
1
Wörter und Phrasen für Reisepass, wie das Wort „passport“ oder ein Nationalitätencode, dem eine Reisepassnummer vorangestellt ist
2
Wörter und Phrasen für das Land (UK) oder das Austellungsdatum (optional)
Content Blade für Führerscheinnummern aus Utah
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Utah sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie UT oder
Utah.
Content Blade für Führerscheinnummern aus Virginia
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Virginia sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie VA
oder Virginia.
Content Blade für Visa-Kartennummer
Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen:
1
Mehr als eine JCB-Kreditkartennummer
2
3
Content Blade für Führerscheinnummern aus Washington
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Washington sowie
WA oder Washington.
Führerscheinmuster: 5 Buchstaben (Nachname), 1 Buchstabe (Initiale des Vornamens), 1 Buchstabe (Initiale
des 2. Vornamens), 3 Ziffern, 2 alphanumerische Zeichen. Falls der Nachname kürzer ist oder es keinen
zweiten Vornamen gibt, werden die Stellen mit „*“ aufgefüllt.
VMware, Inc.
237
Content Blade für Führerscheinnummern aus Wisconsin
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Wisconsin sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WI
oder Wisconsin.
Content Blade für Führerscheinnummern aus Wyoming
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Wyoming sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WY
oder Wyoming.
Unterstützte Dateiformate
vShield Data Security erkennt die folgenden Dateiformate.
Tabelle 15‑2. Archivformate
Anwendungsformat
Erweiterungen
7-Zip 4.57
7Z
BinHex
HQX
BZIP2
BZ2
Expert Witness (EnCase)Compression-Format
E0, E101 usw.
GZIP 2
GZ
ISO-9660 CD Disc Image-Format
ISO
Java-Archiv
JAR
Legato EMailXtender Archive
EMX
MacBinary
BIN
Mac Disk copy Disk Image
DMG
Microsoft Backup File
BKF
Microsoft Cabinet Format 1.3
CAB
Microsoft Compressed Folder
LZH
LHA
Microsoft Entourage
238
Microsoft Outlook Express
DBX
Microsoft Outlook Offline Store 2007
OST
Microsoft Outlook Personal Store 2007
PST
OASIS Open Document Format
ODC
SXC
STC
ODT
SXW
STW
Open eBook Publication Structure
EPUB
PKZIP
ZIP
VMware, Inc.
Tabelle 15‑2. Archivformate (Fortsetzung)
Anwendungsformat
Erweiterungen
RAR-Archiv
RAR
Selbstextrahierende Archive
SEA
Shell Scrap-Objektdatei
SHS
Bandarchiv
TAR
UNIX Compress
Z
UUEncoding
UUE
WinZip
ZIP
Tabelle 15‑3. CAD-Formate
Anwendungsformat
Erweiterungen
CATIA-Formate 5
CAT
Microsoft Visio 5, 2000, 2002, 2003, 2007
VSD
MicroStation 7, 8
DGN
Omni Graffle
GRAFFLE
Tabelle 15‑4. Datenbankformate
Anwendungsformat
Erweiterungen
Microsoft Access 95, 97, 2000, 2002, 2003, 2007
MDB
Tabelle 15‑5. Anzeigeformate
Anwendungsformat
Erweiterungen
Adobe PDF 1.1 bis 1.7
PDF
Tabelle 15‑6. Mail-Formate
Anwendungsformat
Erweiterungen
Domino XML Language
DXL
Legato Extender
ONM
Lotus Notes-Datenbank 4, 5, 6.0, 6.5, 7.0 und 8.0
NSF
Mailbox Thunderbird 1.0 und Eudora 6.2
MBX
Microsoft Outlook 97, 2000, 2002, 2003 und 2007
MSG
Microsoft Outlook Express Windows 6 und MacIntosh 5
EML
Microsoft Outlook Personal Folder 97, 2000, 2002 und 2003
PST
Text-Mail (MIME)
Verschiedene
Tabelle 15‑7. Multimedia-Formate
Anwendungsformat
Erweiterungen
Advanced Streaming Format 1.2
DXL
VMware, Inc.
239
Tabelle 15‑8. Präsentationsformate
Anwendungsformat
Erweiterungen
Apple iWork Keynote 2, 3, ‘08 und ‘09
GZ
Applix Presents 4.0, 4.2, 4.3, 4.4
AG
Corel Presentations 6, 7, 8, 9, 10, 11, 12 und X3
SHW
Lotus Freelance Graphics 2
PRE
Lotus Freelance Graphics 96, 97, 98, R9 und 9.8
PRZ
Macromedia Flash bis 8.0
SWF
Microsoft PowerPoint PC 4
PPT
Microsoft PowerPoint Windows 95, 97, 2000, 2002 und 2003
PPT, PPS, POT
Microsoft PowerPoint Windows XML 2007
PPTX, PPTM, POTX, POTM, PPSX und PPSM
Microsoft PowerPoint Macintosh 98, 2001, v.X und 2004
PPT
OpenOffice Impress 1 und 1.1
SXP
StarOffice Impress 6 und 7
SXP
Tabelle 15‑9. Tabellenformate
Anwendungsformat
Erweiterungen
Apple iWork Numbers '08 und 2009
GZ
Applix Spreadsheets 4.2, 4.3 und 4.4
AS
Kommagetrennte Werte
CSV
Corel Quattro Pro 5, 6, 7, 8, X4
WB2. WB3, QPW
Data Interchange Format
DIF
Lotus 1-2-3 96, 97, R9, 9.8, 2, 3, 4, 5
123, WK4
Lotus 1-2-3 Charts 2, 3, 4, 5
123
Microsoft Excel Windows 2.2 bis 2003
XLS, XLW, XLT, XLA
Microsoft Excel Windows XML 2007
XLSX, XLTX, XLSM, XLTM, XLAM
Microsoft Excel-Diagramme 2, 3, 4, 5, 6, 7
XLS
Microsoft Excel Macintosh 98, 2001, v.X, 2004
XLS
Microsoft Office Excel Binary Format 2007
XLSB
Microsoft Works Spreadsheet 2, 3, 4
S30 S40
Oasis Open Document Format 1, 2
ODS, SXC, STC
OpenOffice Calc 1, 1.1
SXC, ODS, OTS
StarOffice Calc 6, 7
Tabelle 15‑10. Text- und Markup-Formate
240
Anwendungsformat
Erweiterungen
ANSI
TXT
ASCII
TXT
Extensible Forms Description Language
XFDL, XFD
HTML 3, 4
HTM, HTML
VMware, Inc.
Tabelle 15‑10. Text- und Markup-Formate (Fortsetzung)
Anwendungsformat
Erweiterungen
Microsoft Excel Windows XML 2003
XML
Microsoft Word Windows XML 2003
XML
Microsoft Visio XML 2003
vdx
MIME HTML
MHT
Rich Text Format 1 bis 1.7
RTF
Unicode Text 3, 4
TXT
XHTML 1.0
HTM, HTML
XML (generisch)
XML
Tabelle 15‑11. Textverarbeitungsformate
Anwendungsformat
Erweiterungen
Adobe FrameMaker InterchangeFormat 5, 5.5, 6, 7
MIF
Apple iChat Log AV, AV 2, AV 2.1,AV 3
LOG
Apple iWork Pages ‘08, 2009
GZ
Applix Words 3.11, 4, 4.1, 4.2, 4.3, 4.4
AW
Corel WordPerfect Linux 6.0, 8.1
WPS
Corel WordPerfect Macintosh 1.02, 2, 2.1, 2.2, 3, 3.1
WPS
Corel WordPerfect Windows 5, 5.1, 6, 7, 8, 9, 10, 11, 12, X3
WO, WPD
DisplayWrite 4
IP
Folio Flat File 3.1
FFF
Founder Chinese E-paper Basic 3.2.1
CEB
Fujitsu Oasys 7
OA2
Haansoft Hangul 97, 2002, 2005, 2007
HWP
IBM DCA/RFT (Revisable Form Text) SC23-0758 -1
DC
JustSystems Ichitaro 8 bis 2009
JTD
Lotus AMI Pro 2, 3
SAM
Lotus AMI Professional Write Plus 2.1
AMI
Lotus Word Pro
96, 97, R9
Lotus SmartMaster 96, 97
MWP
Microsoft Word PC 4, 5, 5.5, 6
DOC
Microsoft Word Windows 1.0 und 2.0, 6, 7, 8, 95, 97, 2000,
2002, 2003
DOC
Microsoft Word Windows XML 2007
DOCX, DOTX, DOTM
Microsoft Word Macintosh 4, 5, 6, 98, 2001, v.X, 2004
DOC
Microsoft Works 2, 3, 4, 6, 2000
WPS
Microsoft Windows Write 1, 2, 3
WRI
Oasis Open Document Format 1, 2
ODT, SXW, STW
OpenOffice Writer 1, 1.1
SXW, ODT
Omni Outliner 3
OPML, OO3, OPML, OOUTLINE
VMware, Inc.
241
Tabelle 15‑11. Textverarbeitungsformate (Fortsetzung)
242
Anwendungsformat
Erweiterungen
Skype-Protokolldatei
DBB
StarOffice Writer 6, 7
SXW, ODT
WordPad bis 2003
RTF
XML Paper Specification
XPS
XyWrite 4.12
XY4
VMware, Inc.
Fehlerbehebung
16
In diesem Abschnitt finden Sie Informationen zum Beheben gängiger vShield-Probleme.
n
„Fehlerbehebung für die vShield Manager-Installation“, auf Seite 243
n
„Fehlerbehebung für Probleme bei der Ausführung“, auf Seite 244
n
„Beheben von vShield Edge-Problemen“, auf Seite 246
n
„Fehlerbehebung für vShield Endpoint“, auf Seite 247
n
„Fehlerbehebung für vShield Data Security“, auf Seite 249
Fehlerbehebung für die vShield Manager-Installation
Dieser Abschnitt bietet detaillierte Informationen zur Behebung von Problemen bei der vShield ManagerInstallation.
Die vShield OVA-Datei kann nicht in vSphere Client installiert werden
Sie können die vShield OVA-Datei nicht installieren.
Problem
Wenn ich versuche, die vShield OVA-Datei zu installieren, schlägt die Installation fehl.
Lösung
Wenn eine vShield OVA-Datei nicht installiert werden kann, wird in einer Fehlermeldung in vSphere Client
die Zeile angegeben, in der der Fehler aufgetreten ist. Senden Sie diese Fehlerinformationen zusammen mit
den Informationen zum Build von vSphere Client an den technischen Support von VMware.
Nach dem Start der virtuellen vShield Manager-Maschine ist keine Anmeldung
bei der Befehlszeilenschnittstelle möglich
Problem
Nach der OVF-Installation ist keine Anmeldung bei der Befehlszeilenschnittstelle von vShield Manager
möglich.
Lösung
Warten Sie nach Abschluss der vShield Manager-Installation einige Minuten, bevor Sie sich bei der Befehlszeilenschnittstelle von vShield Manager anmelden. Drücken Sie in der Ansicht der Registerkarte Console
die Eingabetaste, um zu prüfen, ob eine Eingabeaufforderung vorhanden ist, wenn der Bildschirm leer ist.
VMware, Inc.
243
Anmelden bei der vShield Manager-Benutzeroberfläche nicht möglich
Problem
Wenn ich versuche, mich im Webbrowser bei der vShield Manager-Benutzeroberfläche anzumelden, tritt
der Ausnahmefehler „Page Not Found“ auf.
Lösung
Die IP-Adresse von vShield Manager befindet sich in einem Subnetz, auf das der Webbrowser nicht zugreifen kann. Auf die IP-Adresse der Management-Oberfläche von vShield Manager muss der Webbrowser zugreifen können, damit vShield genutzt werden kann.
Fehlerbehebung für Probleme bei der Ausführung
Probleme bei der Ausführung sind Probleme, die möglicherweise nach der Installation auftreten.
vShield Manager kann nicht mit einer vShield App-Instanz kommunizieren
Problem
Ich kann in vShield Manager keine vShield App-Instanz konfigurieren.
Lösung
Wenn Sie die vShield App-Instanz nicht im vShield Manager konfigurieren können, wurde die Verbindung
zwischen den beiden virtuellen Maschinen unterbrochen. Die Management-Oberfläche von vShield kann
nicht mit der Management-Oberfläche von vShield Manager kommunizieren. Vergewissern Sie sich, dass
sich die Management-Oberflächen im selben Subnetz befinden. Vergewissern Sie sich bei Verwenden von
VLANs, dass sich die Management-Oberflächen im selben VLAN befinden.
Eine weitere Ursache kann sein, dass die virtuelle Maschine von vShield App oder vShield Manager ausgeschaltet ist.
vShield App-Instanz kann nicht konfiguriert werden
Problem
Eine vShield App-Instanz kann nicht konfiguriert werden.
Lösung
Dieses Problem kann die Folge einer der folgenden Bedingungen sein.
n
Die virtuelle Maschine der vShield App-Instanz ist beschädigt. Deinstallieren Sie die fehlerhafte vShield
App-Instanz auf der vShield Manager-Benutzeroberfläche. Installieren Sie eine neue vShield App-Instanz zum Schutz des ESX-Hosts.
n
vShield Manager kann nicht mit der vShield App-Instanz kommunizieren.
n
Der Speicher bzw. die LUN, der/die die vShield-Konfigurationsdatei hostet, ist fehlerhaft. Wenn dies
geschieht, können Sie keine Konfigurationsänderungen vornehmen. Die Firewall ist aber weiter aktiv.
Sie können virtuelle vShield-Maschinen in lokalem Speicher speichern, wenn kein Remote-Speicher
verfügbar ist.
Erstellen Sie mit vSphere Client einen Snapshot oder eine TAR-Datei der betroffenen vShield App-Instanz.
Übermitteln Sie diese Informationen an den technischen Support von VMware.
244
VMware, Inc.
Kapitel 16 Fehlerbehebung
Eine Firewall-Blockierungsregel blockiert nicht den vorgesehenen
Datenverkehr
Problem
Ich habe eine App Firewall-Regel konfiguriert, die bestimmten Datenverkehr blockieren soll. Ich habe den
Datenverkehr mit Flow Monitoring überwacht und festgestellt, dass der zu blockierende Datenverkehr zugelassen wird.
Lösung
Überprüfen Sie Reihenfolge und Gültigkeitsbereich der Regel. Dies schließt die Containerebene ein, auf der
die Regel durchgesetzt werden soll. Probleme können auftreten, wenn eine auf einer IP-Adresse basierende
Regel unter dem falschen Container konfiguriert ist.
Prüfen Sie, wo sich die betreffende virtuelle Maschine befindet. Befindet sie sich hinter einer vShield AppInstanz? Falls nicht, gibt es keinen Agenten zum Durchsetzen der Regel. Wählen Sie in der Ressourcenstruktur die virtuelle Maschine aus. Die Registerkarte App Firewall dieser virtuellen Maschine enthält alle Regeln, die für diese virtuelle Maschine gelten.
Platzieren Sie nicht geschützte virtuelle Maschinen auf einem mit vShield geschützten Switch oder schützen
Sie den vSwitch, auf dem sich die virtuelle Maschine befindet, indem Sie eine vShield-Instanz installieren.
Aktivieren Sie die Protokollierung für die betreffende App Firewall-Regel. Dadurch kann sich der durch die
vShield App-Instanz geleitete Netzwerkverkehr verlangsamen.
Überprüfen Sie die vShield App-Verbindungen. Prüfen Sie den Synchronisierungsstatus der vShield AppInstanz auf der Seite System Status. Klicken Sie bei fehlender Synchronität auf [Force Sync] . Sollte weiter
keine Synchronität vorliegen, ermitteln Sie mithilfe des Systemereignisprotokolls die Ursache.
In Flow Monitoring werden keine Flow-Daten angezeigt
Problem
Ich habe vShield Manager und eine vShield App-Instanz installiert. Wenn ich die Registerkarte Flow Monitoring öffne, werden keine Daten angezeigt.
Lösung
Dieses Problem kann die Folge einer oder mehrerer der folgenden Bedingungen sein.
n
Sie haben der vShield App-Instanz nicht genügend Zeit für die Überwachung von Datenverkehrssitzungen eingeräumt. Warten Sie nach der Installation der vShield App-Instanz einige Minuten lang die
Erfassung von Datenverkehr ab. Sie können die Datenerfassung anfordern, indem Sie auf der Registerkarte Flow Monitoring auf [Get Latest] klicken.
n
Datenverkehr hat virtuelle Maschinen zum Ziel, die nicht durch eine vShield App-Instanz geschützt
sind. Stellen Sie sicher, dass Ihre virtuellen Maschinen durch eine vShield App-Instanz geschützt sind.
Virtuelle Maschinen müssen in derselben Portgruppe wie der geschützte Port (p0) der vShieldApp-Instanz enthalten sein.
n
Datenverkehr hat keine virtuellen Maschinen zum Ziel, die durch eine vShield App-Instanz geschützt
sind.
n
Überprüfen Sie die Seite System Status auf Synchronisierungsfehler der einzelnen vShield App-Instanzen.
VMware, Inc.
245
Beheben von vShield Edge-Problemen
Dieser Abschnitt bietet detaillierte Informationen zur Behebung von vShield Edge-Problemen bei der Ausführung.
Virtuelle Maschinen erhalten keine IP-Adressen vom DHCP-Server
Vorgehensweise
1
Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob die DHCPKonfiguration für vShield Edge erfolgreich war: show configuration dhcp.
2
Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob der DHCPDienst für vShield Edge ausgeführt wird: show service dhcp
3
Vergewissern Sie sich, dass die Netzwerkkarte der virtuellen Maschine und vShield Edge-Instanz verbunden sind ( [vCenter] > [Virtual Machine] > [Edit Settings] > [Network Adapter] > [Connected/Con‐
nect at Power On] [Kontrollkästchen]).
Wenn sowohl eine vShield App- als auch eine vShield Edge-Instanz auf demselben ESX-Host installiert
sind, können Netzwerkkarten getrennt werden, wenn eine vShield App- nach einer vShield Edge-Instanz installiert wird.
Lastausgleich funktioniert nicht
Vorgehensweise
1
Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob der Lastausgleich ausgeführt wird: show service lb.
Der Lastausgleich kann durch Aufrufen des Befehls start gestartet werden.
2
Mit dem folgenden Befehl können Sie die Konfiguration des Lastausgleichs überprüfen: show configuration lb.
Dieser Befehl zeigt auch, an welchen externen Schnittstellen die Listener ausgeführt werden.
Der Lastausgleich löst Fehler 502 „Bad Gateway for HTTP Requests“ aus
Dieser Fehler tritt auf, wenn die Back-End- oder internen Server nicht auf Anforderungen reagieren.
Vorgehensweise
1
Prüfen Sie, ob die IP-Adressen der internen Server ordnungsgemäß sind.
Die aktuelle Konfiguration kann in vShield Manager oder über den Befehl show configuration lb an
der Befehlszeilenschnittstelle angezeigt werden.
2
Prüfen Sie, ob die IP-Adressen der internen Server von der internen vShield Edge-Schnittstelle erreicht
werden.
3
Prüfen Sie, ob die internen Server die Kombination aus IP-Adresse/Port überwachen, die zum Zeitpunkt der Konfiguration des Lastausgleichs angegeben wurde.
Ist kein Port angegeben, muss IP:80 überprüft werden. Der interne Server darf nicht nur 127.0.0.1:80
überwachen. Entweder 0.0.0.0:80 oder <Interne IP-Adresse>:80 muss geöffnet sein.
246
VMware, Inc.
VPN funktioniert nicht
Vorgehensweise
1
Prüfen Sie, ob der andere Endpunkt des Tunnels ordnungsgemäß konfiguriert ist.
Rufen Sie an der Befehlszeilenschnittstelle diesen Befehl auf: show configuration ipsec
2
Prüfen Sie, ob der IPSec-Dienst für die vShield Edge-Instanz ausgeführt wird.
Rufen Sie dazu an der Befehlszeilenschnittstelle diesen Befehl auf: show service ipsec. Der IPSecDienst kann durch Aufrufen des Befehls start gestartet werden.
Wenn IPSec ausgeführt wird und zum Zeitpunkt der Tunneleinrichtung Fehler aufgetreten sind, enthält die Ausgabe von show service ipsec relevante Informationen.
3
Überprüfen Sie die Konfiguration an beiden Enden (vShield Edge und Remote-Ende), insbesondere die
gemeinsamen Schlüssel.
4
Beheben Sie MTU- oder fragmentierungsbezogene Probleme mithilfe des PING-Befehls mit kleinen und
großen Paketgrößen.
n
ping -s 500 ip-at-end-of-the-tunnel
n
ping -s 2000 ip-at-end-of-the-tunnel
SSL VPN funktioniert nicht
Vorgehensweise
1
Stellen Sie sicher, dass die SSL-VPN und der Lastausgleich nicht auf demselben Host konfiguriert sind.
2
Stellen Sie sicher, dass der SSL VPN -Dienst aktiviert ist.
3
Stellen Sie sicher, dass die Server-Einstellungen für das Aktivieren von SSL auf einer vShield EdgeSchnittstelle angegeben wurden.
4
Stellen Sie sicher, dass der externe Authentifizierungsserver erreichbar ist.
Fehlerbehebung für vShield Endpoint
Dieser Abschnitt bietet detaillierte Informationen zur Behebung von vShield Endpoint-Problemen bei der
Ausführung.
Thin-Agent-Protokollierung
Die Thin-Agent-Protokollierung von vShield Endpoint erfolgt innerhalb der geschützten virtuellen Maschinen. Beim Start werden zwei Registrierungswerte aus der Windows-Registrierung gelesen. Sie werden regelmäßig neu abgefragt.
Die beiden Registrierungswerte log_dest und log_level befinden sich an den folgenden Stellen in der Registrierung:
n
HKLM\System\CurrentControlSet\Services\vsepflt\Parameters\log_dest
n
HKLM\System\CurrentControlSet\Services\vsepflt\Parameters\log_level
Beide sind Bitmasken vom Typ DWORD, die beliebige Kombinationen der folgenden Werte aufweisen dürfen:
VMware, Inc.
247
Tabelle 16‑1. Thin-Agent-Protokollierung
DWORD
Value
Beschreibung
log_dest
0x1
0x2
WINDBLOG
Debug-Modus erforderlich
VMWARE_LOG
Die Protokolldatei wird im
Root-Verzeichnis der virtuellen Maschine gespeichert
log_level
0x1
0x2
0x4
0x8
0x10
AUDIT
ERROR
WARN
INFO
DEBUG
Standardmäßig sind die Werte in Release-Builds auf VMWARE_LOG und AUDIT festgelegt. Sie können die
Werte mit „Or“ verbinden.
Weitere Informationen zum Überwachen des Status von vShield Endpoint finden Sie unter Kapitel 14,
„vShield Endpoint-Ereignisse und -Alarme“, auf Seite 189.
Versionskompatibilität von Komponenten
Die SVM- und Thin-Agent-Version müssen kompatibel sein.
Führen Sie zum Abrufen der Versionsnummern der verschiedenen Komponenten die folgenden Schritte
aus:
n
SVM: Beachten Sie für Partner-SVMs die Anweisungen des Antivirus-Anbieters. Melden Sie sich für die
virtuelle vShield Data Security-Maschine bei vShield Manager an und wählen Sie die virtuelle Maschine aus der Bestandsliste aus. Auf der Registerkarte „Summary“ wird die Build-Nummer angezeigt.
n
GVM: Klicken Sie mit der rechten Maustaste auf die Eigenschaften der Treiberdateien, um die BuildNummer abzurufen. Der Pfad zum Treiber lautet C:\WINDOWS\system32\drivers\vsepflt.sys.
n
vShield Endpoint-Modul: Melden Sie sich bei vShield Manager an und wählen Sie einen Host aus der
Bestandsliste aus. Auf der Registerkarte „Summary“ wird die Build-Nummer von vShield Endpoint angezeigt.
Überprüfen des Status und der Alarme für vShield Endpoint
Die vShield Endpoint-Komponenten sollten in der Lage sein, mit vShield Manager zu kommunizieren.
Vorgehensweise
248
1
2
Wählen Sie in der Ressourcenstruktur ein Datencenter, einen Cluster oder einen ESX-Host aus.
3
Klicken Sie auf die Registerkarte [vShield App] .
4
Klicken Sie auf [Endpoint.]
5
Bestätigen Sie, dass sich die sichere virtuelle Maschine (SVM), das vShield Endpoint-Modul auf dem
ESX-Host und der Thin-Agent auf der geschützten virtuellen Maschine in einem normalen Zustand befinden.
6
Wenn der Thin-Agent auf der virtuellen Maschine nicht normal funktioniert, überprüfen Sie, ob es sich
bei der Version von VMware Tools um 8.6.0 handelt (mit ESXi 5.0 Patch 1 verfügbar).
7
Wenn ein Alarm angezeigt wird, führen Sie die entsprechende Aktion aus. Weitere Informationen finden Sie unter „vShield Endpoint-Alarme“, auf Seite 190.
VMware, Inc.
Fehlerbehebung für vShield Data Security
Da vShield Data Security die vShield Endpoint-Technologie verwendet, ist die Fehlerbehebung für beide
Komponenten sehr ähnlich.
Falls vShield Data Security-Probleme auftreten, stellen Sie zuerst sicher, dass die Data Security-Appliance
als aktiviert gemeldet wird. Stellen Sie anschließend sicher, dass eine Datensicherheitsprüfung durchgeführt
wurde.
Überprüfen des Zeitstempels für das Starten und Beenden der Prüfung
vShield Data Security prüft nur diejenigen virtuellen Maschinen, die eingeschaltet sind. Der erste Schritt der
Fehlerbehebung von vShield Data Security-Problemen besteht darin zu bestätigen, dass die virtuelle Maschine geprüft wurde.
Vorgehensweise
1
2
Wählen Sie ein Datencenter, einen ESX-Host oder eine virtuelle Maschine aus der Ressourcenstruktur
aus.
3
Klicken Sie auf die Registerkarte [Tasks and Events] .
4
Suchen Sie nach „Scan“ in der Spalte „Name“ und stellen Sie sicher, dass die Prüfung erfolgreich abgeschlossen wurde.
Grundlegendes zur Genauigkeit beim Erkennen von Verstößen
Genauigkeit wird durch zwei Faktoren bestimmt: Trefferquote und Präzision. Zusammen genommen stellt
die ideale Mischung von Trefferquote und Präzision sicher, dass Sie ausschließlich die Inhalte erhalten, die
Sie sichern müssen. Alle erkannten Inhalte werden auf zweierlei Art ausgewertet: positiv oder negativ und
wahr oder falsch (d. h., wurde das identifiziert, wonach ich gesucht habe, und war diese Identifizierung
richtig?).
Es gibt vier mögliche Ergebnisse, die die folgende Bedeutung haben.
Tabelle 16‑2. Ergebnisse der Inhaltserkennung
Positiv
Negativ
Wahr
Vertrauliche Inhalte, die korrekt als
vertraulich erkannt werden.
Nicht vertrauliche Inhalte, die korrekt
als nicht vertraulich erkannt werden.
Falsch
Nicht vertrauliche Inhalte, die fälschlicherweise als vertraulich erkannt
werden.
Vertrauliche Inhalte, die fälschlicherweise als nicht vertraulich erkannt
werden.
Mit Trefferquote wird der Bruchteil der Dokumente erfasst, der für das Content Blade relevant ist.
n
Eine hohe Trefferquote erfasst mehr Dokumente und sammelt alle potenziell vertraulichen Dokumente.
Eine zu hohe Trefferquote kann möglicherweise mehr falsch positive Ergebnisse liefern. [Falsch positiv
= ein Dokument, das vom Content Blade als vertraulich bewertet wird, das in Wirklichkeit jedoch nicht
vertraulich ist.]
n
Eine niedrige Trefferquote ist bei Dokumenten, die als vertraulich zurückgegeben werden, zielgerichteter. Eine zu niedrige Trefferquote kann möglicherweise mehr falsch negative Ergebnisse liefern. [Falsch
negativ = ein Dokument, das vom Content Blade als nicht vertraulich bewertet wird, das in Wirklichkeit
jedoch vertraulich IST.]
VMware, Inc.
249
Präzision ist der Prozentsatz abgerufener Dokumente, die für die Suche relevant sind.
n
Eine hohe Präzision kann zu einer Reduzierung der Anzahl der zurückgegebenen falsch positiven Dokumente führen.
n
Eine niedrige Präzision kann zu einer Erhöhung der Anzahl der zurückgegebenen falsch positiven Dokumente führen.
Präzision bezieht sich auf die Relevanz der zurückgegebenen Ergebnisse. Beispiel: Haben alle Dokumente,
die die PCI DSS-Richtlinie (Payment Card Industry Data Security Standard) ausgelöst haben, gültige Kreditkartennummern enthalten oder enthielten manche Dokumente UPC- oder EAN-Nummern, die fälschlicherweise als vertrauliche PCI-Daten erkannt wurden? Eine hohe Präzision kann durch eine eng gefasste, fokussierte Suche erreicht werden, um sicherzugehen, dass jeder erfasste Inhalt wirklich vertraulich ist.
Tabelle 16‑3. Präzision und Trefferquote
250
Genauigkeitsfaktor
Messung
Problem bei niedrigem Wert
Präzision
Der Prozentsatz abgerufener Dokumente, der tatsächlich relevant ist.
Vermehrt falsch
Rückruf
Der Prozentsatz aller sensitiven Dokumente, der tatsächlich abgerufen
wurde.
Vermehrt falsch negativ
VMware, Inc.
Index
A
admin-Benutzerkonto 35
Aktualisieren eines Benutzers 38
Alarme für vShield Endpoint 190
Anmeldung, vShield Manager 13
Ansicht „Hosts & Clusters“ 14
Ansichten
Hosts & Cluster 14
Netzwerke 14
sichere Portgruppen 14
App Firewall
Hierarchie der Regeln 177
Hinzufügen von L4-Regeln 178
Hinzufügen von Regeln über Flow Monitoring 171
Informationen zu L4- und L2-/L3-Regeln 176
Löschen von Regeln 181
Planen der Regelerzwingung 177
Reihenfolge der Regel ändern 182
Standardregeln 176
Wiederherstellen einer vorherigen Regel 182
Appliance
bearbeiten 69
hinzufügen 68
löschen 69
B
Bearbeiten eines Benutzerkontos 38
Benutzer
Administratorkonto 35
Ändern eines Kennworts 38
bearbeiten 38
löschen 39
Rollen und Rechte 34
Benutzeroberfläche, Anmeldung 13
Berichte
Systemereignisse 47
Überwachungsprotokoll 30, 49
Bestandsliste 14
Bestimmungen
ABA Routing-Nummern 199
Arizona SB-1338 199
Australische Bankkontonummern 200
Australische Medicare-Kartennummern 200
Australische Steuernummern 201
VMware, Inc.
Benutzerdefinierte Kontonummern 203
Britische BIC-Nummern 214
Britische Führerscheinnummern 214
Britische IBAN-Nummern 214
Britische National Health Service-Nummer 214
Britische Reisepassnummern 215
Britische Sozialversicherungsnummer (NINO,
UK National Insurance Number) 215
California AB-1298 201
California SB-1386 201
Colorado HB-1119 202
Connecticut SB-650 203
EU-Debitkartennummern 204
FERPA (Family Educational Rights and Privacy Act) 204
Florida HB-481 204
Georgia SB-230-Richtlinie 205
Hawaii SB-2290-Richtlinie 206
HIPPA-Richtlinie (Healthcare Insurance Portability and Accountability Act) 206
Idaho SB-1374-Richtlinie 207
Illinois SB-1633 207
Indiana HB-1101-Richtlinie 207
Kanadische Führerscheinnummern 202
Kanadische Sozialversicherungsnummern 202
Kansas SB-196-Richtlinie 208
Kreditkartennummern 203
Louisiana SB-205-Richtlinie 209
Maine LD-1671-Richtlinie 209
Massachusetts CMR-201 209
Minnesota HF-2121 210
Montana HB-732-Richtlinie 210
Neuseeländische Steuernummern 212
Nevada SB-347 210
New Hampshire HB-1660 211
New Jersey A-4001 211
New York AB-4254 211
Niederländische Führerscheinnummern 210
Nummern des neuseeländischen Gesundheitsministeriums 212
Ohio HB-104 212
Oklahoma HB-2357 213
Patienten-IDs 213
251
Payment Card Industry Data Security Standard (PCI-DSS) 213
Richtlinie für deutsche BIC-Nummern 205
Richtlinie für deutsche Führerscheinnummern 205
Richtlinie für deutsche IBAN-Nummern 205
Richtlinie für deutsche Personalausweisnummern 206
Richtlinie für deutsche Umsatzsteuernummern 206
Richtlinie für französische IBAN-Nummern 204
Richtlinie für französische Personalausweisnummern 205
Richtlinie für italienische Führerscheinnummern 208
Richtlinie für italienische IBAN-Nummern 208
Richtlinie für italienische Personalausweisnummern 208
Richtlinie für US-Führerscheinnummern 215
Texas SB-122 214
US-Sozialversicherungsnummern 215
Utah SB-69 215
Vermont SB-284 216
Washington SB-6043 216
C
Content Blade für Führerscheinnummern aus
Massachusetts 227
Content Blades
ABA Routing-Nummer 216
Content Blade für American Express 218
Content Blade für Aufnahme- und Entlassungsdatum 217
Content Blade für australische Firmennummer
(ACN) 218
Content Blade für australische Geschäftsnummern (ABN) 218
Content Blade für australische Medicare-Kartennummer 219
Content Blade für australische Steuernummern 219
Content Blade für Bankkontonummern aus
Australien 218
Content Blade für Begriffe im Zusammenhang
mit geschützten Gesundheitsdaten 232
Content Blade für benutzerdefinierte Kontonummern 220
Content Blade für britische IBAN-Nummern 236
Content Blade für britische Reisepassnummern 237
252
Content Blade für das formale Muster britischer NINO-Nummern 237
Content Blade für das NDC Formulas-Wörterbuch 228
Content Blade für das Verfahrensverzeichnis 224
Content Blade für Daten des Kreditkartenmagnetstreifens 220
Content Blade für deutsche BIC-Nummern 222
Content Blade für deutsche Personalausweisnummern 222
Content Blade für deutsche Reisepassnummern 222
Content Blade für deutsche Umsatzsteuernummern 223
Content Blade für die französische Personalausweisnummer 221
Content Blade für die spanische Personalausweisnummer 234
Content Blade für europäische Debitkartennummern 220
Content Blade für formatierte SIN 233
Content Blade für formatierte SSN 234
Content Blade für französische BIC-Nummern 221
Content Blade für französische Umsatzsteuernummern 222
Content Blade für Führerscheine aus Alabama 217
Content Blade für Führerscheine aus Alaska 217
Content Blade für Führerscheine aus Alberta 217
Content Blade für Führerscheine aus Arizona 218
Content Blade für Führerscheine aus Arkansas 216, 218
Content Blade für Führerscheine aus Manitoba 226
Content Blade für Führerscheine aus Neufundland und Labrador 231
Content Blade für Führerscheine aus New
Brunswick 229
Content Blade für Führerscheine aus Nova
Scotia 231
Content Blade für Führerscheine aus Ontario 232
Content Blade für Führerscheine aus Prince
Edward Island 232
Content Blade für Führerscheine aus Quebec 233
Content Blade für Führerscheine aus Saskatchewan 233
VMware, Inc.
Index
Colorado 219
Connecticut 220
Delaware 220
den Niederlanden 228
Deutschland 222
Florida 221
Frankreich 221
Georgia 222
Großbritannien 236
Hawaii 223
Idaho 224
Illinois 224
Indiana 224
Iowa 224
Italien 225
Kalifornien 219
Kanada 219
Kansas 226
Kentucky 226
Louisiana 226
Maine 226
Maryland 227
Michigan 227
Minnesota 227
Mississippi 227
Missouri 228
Montana 228
VMware, Inc.
Nebraska 228
New Hampshire 230
New Jersey 230
New Mexico 230
New York 230
North Carolina 231
North Dakota 231
Ohio 231
Oklahoma 231
Oregon 232
Pennsylvania 232
Rhode Island 233
South Carolina 234
South Dakota 234
Tennessee 235
Utah 237
Virginia 237
Washington 237
Wisconsin 238
Wyoming 238
Content Blade für Gruppenversicherungsnummern 223
Content Blade für Indexnummern von in Neuseeland niedergelassenen Fachkräften im Gesundheitswesen 230
Content Blade für italienische IBAN-Nummern 225
Content Blade für italienische Personalausweisnummern 223
Content Blade für neuseeländische NHI-Nummern (National Health Index) 230
Content Blade für niederländische IBAN-Nummern 228
Content Blade für niederländische Personalausweisnummern 229
253
Content Blade für niederländische Reisepassnummern 229
Content Blade für Patientenidentifikationsnummern 232
Content Blade für schwedische IBAN-Nummern 235
Content Blade für schwedische Reisepassnummern 235
Content Blade für Sozialversicherungsnummern aus Kanada 219
Content Blade für Sozialversicherungsnummern aus Spanien 235
Content Blade für spanische Reisepassnummern 234
Content Blade für unformatierte ITIN 226
Content Blade für unformatierte SIN 233
Content Blade für unformatierte SSN 234
Content Blade für Visa-Kartennummer 237
Neuseeländische Steuernummer 230
D
Daten
Planen von Sicherungen 44
Sicherungen bei Bedarf 43
Wiederherstellen einer Sicherung 45
Datensicherheit,Benutzerrollen 194
Datensicherheit,Richtlinie,Bestimmungen 194
Datenverkehrsanalyse, Datumsbereich 172
Datenverkehrstatistiken für eine vShield App-Instanz 165
Datum 18
Datumsbereich für Flow Monitoring 172
Dienst löschen 161
Dienste
DNS 17
NTP 18
Dienstprofil, löschen 162
DNS 17
vShield Endpoint-Probleme 247
vShield Manager-Installation 243
Firewall
App Firewall, grundlegende Informationen 175
Hinzufügen von L4-Regeln 178
Hinzufügen von Regeln über Flow Monitoring 171
Löschen von Regeln 181
Planen der Regelerzwingung 177
Flow Monitoring
Datumsbereich 172
Hinzufügen einer App Firewall-Regel 171
Flow-Analyse, Datumsbereich 172
G
GUI, Anmeldung 13
H
Hierarchie von App Firewall-Regeln 177
hinzufügen, Service 22
hohe Verfügbarkeit 151
Hostalarme für vShield Endpoint 190
I
Installieren, Updates 41
IPSec VPN
aktivieren 90
bearbeiten 90
hinzufügen 89
Konfigurationsbeispiele 92
Überblick 88
IPSec-Dienst
aktivieren 91
deaktivieren 92
löschen 91
K
Kennwort 38
E
Ereignisse
Senden an Syslog 163
Syslog-Format 49
vShield App 48
vShield Manager 47
Ereignisse für vShield Endpoint 191
Erneutes Bereitstellen von vShield Edge 155
Erzwingen der Synchronisierung 164
F
Fehlerbehebung
Probleme bei der Ausführung 244
vShield Edge-Probleme 246
254
L
L2-/L3-Regeln, Grundlegendes 176
L4-Regeln
Grundlegendes 176
hinzufügen 178
Lastausgleich, Pool hinzufügen 146
Lastausgleichsdienst 146
löschen
Dienstprofil 162
Service Manager 161
Löschen eines Benutzers 39
N
Namespace 175
VMware, Inc.
Index
NAT 82
Netzwerk, Ansicht 14
Netzwerkbereich, Anzeigen und Bearbeiten 58
Neustarten einer vShield App 164
NTP 18
P
Planen von Sicherungen 44
Plug-In 18
Protokolle
technischer Support 19
Überwachungsprotokoll 30, 49
R
Regeln
Hinzufügen von L4-Regeln zur App Firewall 178
Löschen von App Firewall-Regeln 181
Regeln auf Clusterebene 177
Regeln mit hohem Vorrang für das Datencenter 177
Regeln mit niedrigem Vorrang für das Datencenter 177
Rollen und Rechte, Grundlegende Informationen 34
S
Serverpool
bearbeiten 149
löschen 150
Service
hinzufügen 22
löschen 161
Service Manager, löschen 161
Sichere Portgruppen, Ansicht 14
Sichere Portgruppenregeln 177
Sicherheitsgruppen
Grundlegendes 176
hinzufügen 30
Sicherungen
bei Bedarf 43
planen 44
wiederherstellen 45
Single Sign On 33
SpoofGuard 183
SSL VPN
Anmelde- bzw. Abmeldeskript
aktivieren 142
bearbeiten 141
deaktivieren 143
VMware, Inc.
hinzufügen 141
löschen 142
Anmelde- bzw. Abmeldeskripts
aktualisieren 143
Reihenfolge ändern 144
Bearbeiten der allgemeinen Einstellungen 144
Client-Konfiguration 140
Portalgestaltung bearbeiten 145
Protokolle 144
Webressource 123
SSL VPN-plus, Authentifizierung, hinzufügen 116, 124
SSL VPN-Plus
aktivieren 122, 130
Benutzer
bearbeiten 139
hinzufügen 116, 123, 138
Kennwort ändern 139
löschen 139
Benutzer hinzufügen 116, 123, 138
Hinzufügen eines Installationspakets 114, 136
Hinzufügen eines IP-Pools 113, 130
Hinzufügen eines privaten Netzwerks 113,
133
Installationspaket
hinzufügen 114, 136
löschen 137
IP-Pool
bearbeiten 131, 132
deaktivieren 132
hinzufügen 113, 130
löschen 131
Privates Netzwerk
löschen 134
SSL VPN, Überblick 112
SSL-Zertifikat 20
Standardregeln 176, 177
Statische Route
Festlegen des Standard-Gateways 84
hinzufügen 85
status, vShield Edge 68
Status
von Updates 41
vShield App 164
vShield Endpoint 189
SVM-Alarme für vShield Endpoint 190
Synchronisieren einer vShield App-Instanz 164
syslog, vShield Edge 153
Syslog-Format 49
Syslog-Server 163
Systemereignisse 47
255
Systemstatus
Datenverkehrstatistiken 165
Neustart 164
Systemzeit 18
T
Technischer Support, Protokoll 19
Technischer Support, Protokolle
vShield App 165
vShield Edge 154
Testen der Konnektivität einer virtuellen VXLANLeitung 56
U
Überwachungsmeldungen für vShield Endpoint 191
Überwachungsprotokolle 30, 49
Uhrzeit 18
Update-Status 41
Updates
installieren 41
Update-Status 41
V
Virtuelle Leitung
erstellen 53
Testen der Konnektivität; 56
Verbinden von virtuellen Maschinen 56
Virtuelle VXLAN-Leitung
bearbeiten 60
Beispielszenario 60
Dienste bereitstellen 55
Hinzufügen eines Netzwerkbereichs 54
Netzwerkbereich, Kontrahieren 59
Überblick 51
Verbinden mit vShield Edge 55
Vorbereitung 52
Zuordnen von Clustern 52
Zuweisen des Segment-ID-Pools und des Multicast-Adressbereichs 53
Virtueller Server
bearbeiten 150
löschen 151
VPN
Dienst konfigurieren 89
verwalten 88
vShield
vShield App 9
vShield Edge 9
vShield Endpoint 9
vShield Manager 9
256
vShield App
Ausfallsicherer Modus 165
Ausschließen virtueller Maschinen vom
Schutz 166
Benachrichtigung bei Ereignissen 48
Datenverkehrstatistiken 165
Grundlegendes 9
Neustart 164
Senden von Ereignissen an Syslog-Server 163
Systemstatus 164
vShield Data Security
Benutzerrollen 194
Grundlegendes 193
Prüfen 197
Richtlinie 194
vShield Edge
Appliance bearbeiten 69
Appliance hinzufügen 68
Appliance löschen 69
Benutzeroberfläche
bearbeiten 71
deaktivieren 72
löschen 71
Clientzertifikate 75
DHCP 85
DHCP-Bindung hinzufügen 87
DNS-Server 152
Firewallregeln
bearbeiten 80
hinzufügen 76
löschen 81
Priorität ändern 81
verwalten 76
Grundlegendes 9
HA 152
Hinzufügen eines CA-Zertifikats 74
Hinzufügen eines DHCP-IP-Pools 86
Hinzufügen von NAT-Regeln 82
Konfigurieren eines von einer Zertifizierungsstelle signierten Zertifikats 73
Konfigurieren von Einstellungen 68
Konfigurieren von selbstsignierten Zertifikaten 74
Lastausgleichsdienst 146
Schnittstelle, aktivieren 72
Statische Route; Statische Route 84
status 68
syslog 153
Technischer Support, Protokolle 154
VMware, Inc.
Index
Überblick über SSL VPN 112
VPN 88
Zertifikate 73
Zertifikatswiderrufsliste 75
vShield Edge-Firewallregeln, Standardeinstellungen ändern 80
vShield Endpoint
Alarme 190
Ereignisse 191
Grundlegendes 9
Hostalarme 190
Status 189
SVM-Alarme 190
Überwachungsmeldungen 191
vShield Manager
Anmeldung 13
Benachrichtigung bei Ereignissen 47
Benutzeroberfläche, Bereiche 14
Bestandsliste 14
Datum und Uhrzeit 18
DNS 17
Grundlegendes 9
NTP 18
Planen einer Sicherung 44
Sicherungen bei Bedarf 43
SSL-Zertifikat 20
Support 19
Systemereignisse 47
vSphere-Plug-In 18
Wiederherstellen einer Sicherung 45
vSphere-Plug-In 18
W
Wiederherstellen von Sicherungen 45
VMware, Inc.
257
258
VMware, Inc.

vShield-Administratorhandbuch - vShield Manager 5.5

Transcription

Similar documents

Rundreise durch Myanmar Aus dem Tagebuch

vShield-Administratorhandbuch - vShield Manager 5.0.1

Handbuch fur den Palm Tungsten E Handheld

VMware vSphere 4

SAN-Konfigurationshandbuch (für Fibre-Channel)

Anhang I - Fahrerlaubnisrecht

2 - Palm

Bedienungsanleitung

Bedienungsanleitung

EU_Fuehrerschein_Auswirkungen

Neuer EU-Führerschein ab 19. Jänner 2013

Installations

Handbuch für den Palm Tungsten T2

Einreisegenehmigungsverfahren "ESTA

Installations- und Upgradehandbuch zu vCloud Director

porträt - Arbido