vShield-Administratorhandbuch - vShield Manager 5.5
Transcription
vShield-Administratorhandbuch - vShield Manager 5.5
vShield-Administratorhandbuch vShield Manager 5.5 vShield App 5.5 vShield Edge 5.5 vShield Endpoint 5.5 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage ersetzt wird. Die neuesten Versionen dieses Dokuments finden Sie unter http://www.vmware.com/de/support/pubs. DE-001280-01 vShield-Administratorhandbuch Die neueste technische Dokumentation finden Sie auf der VMware-Website unter: http://www.vmware.com/de/support/ Auf der VMware-Website finden Sie auch die aktuellen Produkt-Updates. Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie Ihre Kommentare und Vorschläge an: [email protected] Copyright © 2010 – 2013 VMware, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch Urheberrechtsgesetze, internationale Verträge und mindestens eines der unter http://www.vmware.com/go/patents-de aufgeführten Patente geschützt. VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument erwähnten Bezeichnungen und Namen sind unter Umständen markenrechtlich geschützt. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 2 VMware Global, Inc. Zweigniederlassung Deutschland Freisinger Str. 3 85716 Unterschleißheim/Lohhof Germany Tel.: +49 (0) 89 3706 17000 Fax: +49 (0) 89 3706 17333 www.vmware.com/de VMware, Inc. Inhalt vShield-Administratorhandbuch 7 1 Überblick über vShield 9 Grundlegendes zu vShield-Komponenten 9 Migration von vShield-Komponenten 12 Grundlegendes zu VMware Tools auf vShield-Komponenten Erforderliche Ports für die vShield-Kommunikation 12 12 2 Grundlegendes zur vShield Manager-Benutzeroberfläche 13 Anmelden bei der vShield Manager-Benutzeroberfläche 13 Grundlegendes zur vShield Manager-Benutzeroberfläche 14 3 Einstellungen für das Managementsystem 17 Bearbeiten von DNS-Servern 17 Bearbeiten des Datums und der Uhrzeit von vShield Manager 18 Bearbeiten von Lookup Service-Details 18 Bearbeiten von vCenter Server 18 Angeben des Syslog-Servers 19 Herunterladen der Protokolle des technischen Supports für vShield 19 Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts Hinzufügen eines Cisco-Switches zu vShield Manager 21 Arbeiten mit Diensten und Dienstgruppen 22 Gruppieren von Objekten 25 20 4 Benutzer-Management 33 Konfigurieren von Single Sign On 33 Verwalten von Benutzerrechten 34 Verwalten des Standardbenutzerkontos 35 Hinzufügen eines Benutzerkontos 35 Bearbeiten eines Benutzerkontos 38 Ändern einer Benutzerrolle 38 Deaktivieren oder Aktivieren eines Benutzerkontos Löschen eines Benutzerkontos 39 38 5 Aktualisieren von Systemsoftware 41 Anzeigen der aktuellen Systemsoftware Hochladen eines Updates 41 41 6 Sichern von vShield Manager-Daten 43 Sichern von vShield Manager-Daten bei Bedarf 43 Planen einer Sicherung von vShield Manager-Daten VMware, Inc. 44 3 vShield-Administratorhandbuch Wiederherstellen einer Sicherung 45 7 Systemereignisse und Überwachungsprotokolle 47 Anzeigen des Systemereignisberichts 47 Ereignisse für virtuelle vShield Manager-Appliance 47 vShield App-Ereignisse 48 Grundlegendes zum Syslog-Format 49 Anzeigen des Überwachungsprotokolls 49 8 Verwalten von virtuellen VXLAN-Leitungen 51 Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen 52 Erstellen einer virtuellen VXLAN-Leitung 53 Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung 56 Testen der Konnektivität einer virtuellen VXLAN-Leitung 56 Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen 58 Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung 58 Bearbeiten von Netzwerkbereichen 58 Bearbeiten einer virtuellen VXLAN-Leitung 60 Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen 60 58 9 vShield Edge-Management 67 Anzeigen des Status einer vShield Edge-Instanz 68 Konfigurieren der vShield Edge-Einstellungen 68 Verwalten von Appliances 68 Arbeiten mit Schnittstellen 70 Arbeiten mit Zertifikaten 73 Verwalten der vShield Edge-Firewall 76 Verwalten von NAT-Regeln 82 Arbeiten mit statischen Routen 84 Verwalten des DHCP-Diensts 85 Verwalten von VPN-Diensten 88 Verwalten des Lastverteilerdiensts 146 Grundlegendes zu High Availability 151 Konfigurieren von DNS-Servern 152 Konfigurieren von Remote-Syslog-Servern 153 Ändern der CLI-Anmeldedaten 153 Durchführen eines Upgrades von vShield Edge auf Large oder X-Large 154 Herunterladen von Tech Support-Protokollen für vShield Edge 154 Synchronisieren von vShield Edge mit vShield Manager 155 Erneutes Bereitstellen von vShield Edge 155 10 Verwalten des Einfügens von Diensten 157 Einfügen von Netzwerkdiensten 157 Ändern der Prioritäten von Diensten 160 Bearbeiten eines Service Manager 160 Löschen eines Service Manager 161 Bearbeiten eines Diensts 161 4 VMware, Inc. Inhalt Löschen eines Diensts 161 Bearbeiten eines Dienstprofils 161 Löschen eines Dienstprofils 162 11 vShield App-Management 163 Senden von vShield App-Systemereignissen an einen Syslog-Server 163 Anzeigen des aktuellen Systemstatus einer vShield App 164 Neustarten einer vShield App-Instanz 164 Erzwingen der Synchronisierung einer vShield App mit vShield Manager 164 Anzeigen der Datenverkehrsstatistiken in der vShield App-Benutzeroberfläche 165 Herunterladen der Protokolle des technischen Supports für vShield App 165 Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vShield App Firewall 165 Ausschließen virtueller Maschinen vom Schutz durch die vShield App 166 12 vShield App Flow Monitoring 167 Anzeigen der Flow Monitoring-Daten 168 Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow Monitoring-Bericht aus Ändern des Datumsbereichs der Flow Monitoring-Diagramme 172 171 13 vShield App Firewall-Management 175 Verwenden der App Firewall 175 Arbeiten mit Firewallregeln 178 Verwenden von SpoofGuard 183 14 vShield Endpoint-Ereignisse und -Alarme 189 Anzeigen des vShield Endpoint-Status 189 vShield Endpoint-Alarme 190 vShield Endpoint-Ereignisse 191 Überwachungsmeldungen für vShield Endpoint 191 15 vShield Data Security Management 193 vShield Data Security-Benutzerrollen 194 Definieren einer Datensicherheitsrichtlinie 194 Bearbeiten einer Datensicherheitsrichtlinie 196 Ausführen einer Datensicherheitsprüfung 197 Anzeigen und Herunterladen von Berichten 198 Erstellen von regulären Ausdrücken 198 Verfügbare Bestimmungen 199 Verfügbare Content Blades 216 Unterstützte Dateiformate 238 16 Fehlerbehebung 243 Fehlerbehebung für die vShield Manager-Installation 243 Fehlerbehebung für Probleme bei der Ausführung 244 Beheben von vShield Edge-Problemen 246 Fehlerbehebung für vShield Endpoint 247 Fehlerbehebung für vShield Data Security 249 VMware, Inc. 5 vShield-Administratorhandbuch Index 6 251 VMware, Inc. vShield-Administratorhandbuch ® Im vShield-Administratorhandbuch wird beschrieben, wie das VMware vShield™-System unter Verwendung der vShield Manager-Benutzeroberfläche und des vSphere-Client-Plug-Ins installiert, konfiguriert, überwacht und verwaltet wird. Zudem enthält das Handbuch detaillierte Konfigurationsanweisungen und vorgeschlagene Best Practices. Zielgruppe Dieses Handbuch ist für alle Benutzer gedacht, die vShield in einer VMware vCenter-Umgebung installieren oder verwenden möchten. Die Informationen in diesem Handbuch sind für erfahrene Systemadministratoren bestimmt, die mit der Technologie virtueller Maschinen und dem Betrieb virtueller Datencenter vertraut sind. In diesem Dokument wird vorausgesetzt, dass Sie bereits mit VMware Infrastructure 5.x, einschließlich VMware ESX, vCenter Server und vSphere Client, vertraut sind. VMware, Inc. 7 vShield-Administratorhandbuch 8 VMware, Inc. Überblick über vShield 1 ® VMware vShield ist eine Suite aus virtuellen Sicherheits-Appliances, die für die Integration von VMware vCenter Server und VMware ESX entwickelt wurden. vShield stellt eine wichtige Sicherheitskomponente für den Schutz virtualisierter Datencenter vor Angriffen dar und unterstützt Sie dabei, die gesteckten Compliance-Zielsetzungen zu erreichen. In diesem Handbuch wird vorausgesetzt, dass Sie über Administratorzugriff für das gesamte vShield-System verfügen. Die anzeigbaren Ressourcen in der vShield Manager-Benutzeroberfläche können basierend auf der zugewiesenen Rolle eines Benutzers, den gewährten Rechten und der Lizenzierung variieren. Wenn Sie auf einen Bildschirm nicht zugreifen oder eine bestimmte Aufgabe nicht ausführen können, wenden Sie sich an Ihren vShield-Administrator. n Grundlegendes zu vShield-Komponenten auf Seite 9 vShield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich sind. vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden. n Migration von vShield-Komponenten auf Seite 12 Virtuelle vShield Manager- und vShield Edge-Appliances können basierend auf DRS- und HA-Richtlinien automatisch oder manuell migriert werden. vShield Manager muss immer ausgeführt werden, daher müssen Sie vShield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen werden muss. n Grundlegendes zu VMware Tools auf vShield-Komponenten auf Seite 12 Die virtuellen vShield-Appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen vShield-Appliance darf weder aktualisiert noch deinstalliert werden. n Erforderliche Ports für die vShield-Kommunikation auf Seite 12 Grundlegendes zu vShield-Komponenten vShield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich sind. vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden. Zur Ausführung von vShield benötigen Sie eine virtuelle vShield Manager-Maschine und mindestens ein vShield App- oder vShield Edge-Modul. VMware, Inc. 9 vShield-Administratorhandbuch vShield Manager vShield Manager ist die zentrale vShield-Komponente für das Netzwerkmanagement. Diese Komponente wird mithilfe einer OVA-Datei und unter Verwendung von vSphere Client als virtuelle Maschine installiert. Mit der vShield Manager-Benutzeroberfläche können Sie vShield-Komponenten installieren, konfigurieren und warten. vShield Manager kann auf einem anderen ESX-Host als die vShield App- und vShield EdgeModule ausgeführt werden. vShield Manager nutzt das VMware Infrastructure-SDK, um eine Kopie der vSphere Client-Bestandsliste anzuzeigen. Weitere Informationen zur Verwendung der vShield Manager-Benutzeroberfläche finden Sie unter Kapitel 2, „Grundlegendes zur vShield Manager-Benutzeroberfläche“, auf Seite 13. vShield Edge vShield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Ma® schinen in einer Portgruppe, vDS-Portgruppe oder einem Cisco Nexus 1000V-Switch. vShield Edge verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vShield Edge umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vShield Edge Perimeter-Sicherheit für virtuelle Datencenter (VDCs) bietet. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield Edge nutzen zu können. vShield Edge-Standarddienste (einschließlich vCloud Director) Erweiterte vShield Edge-Dienste n Firewall: Die unterstützten Regeln umfassen die IP 5-tuple-Konfiguration mit IP- und Port-Bereichen für die statusbehaftete Inspektion für TCP, UDP und ICMP. n Netzwerkadressübersetzung (NAT): Separate Steuerelemente für Quellund Ziel-IP-Adressen sowie TCP- und UDP-Portübersetzung. n Dynamic Host Configuration Protocol (DHCP): Konfiguration von IPPools, Gateways, DNS-Servern und Suchdomänen. n Konfiguration von DNS-Servern für Anforderungen zum Auflösen von Relay-Namen von Clients und Syslog-Servern. n Statische Route für Datenpakete. n Virtuelles privates Site-to-Site-Netzwerk (VPN): Verwendet standardisierte IPsec-Protokolleinstellungen für die Interoperabilität mit allen großen Firewall-Anbietern. n Lastausgleich: Einfach und dynamisch konfigurierbare IP-Adressen und Servergruppen. n High Availability: Stellt sicher, dass in Ihrem virtuellen Netzwerk immer eine vShield Edge-Appliance verfügbar ist. n SSL VPN-Plus: Ermöglicht Remotebenutzern die sichere Verbindung mit privaten Netzwerken hinter einem vShield Edge-Gateway. vShield Edge unterstützt den Syslog-Export an Remoteserver für alle Dienste. 10 VMware, Inc. Kapitel 1 Überblick über vShield vShield App vShield App ist eine interne Layer 2-Firewall auf vNIC-Ebene, mit der Sie Richtlinien für die Zugriffssteuerung unabhängig von der Netzwerktopologie erstellen und Netzwerkisolierung im selben VLAN erzielen können. Eine vShield App-Instanz überwacht den gesamten eingehenden und ausgehenden Datenverkehr für einen ESX-Host, einschließlich von Datenverkehr zwischen virtuellen Maschinen in derselben Portgruppe. vShield App umfasst die Datenverkehrsanalyse sowie die Erstellung von containerbasierten Richtlinien. Container können dynamisch oder statisch sowie vCenter-Konstrukte, z. B. Datencenter, oder in vShield Manager definierte Objekte, z. B. eine Sicherheitsgruppe, IPset oder MACset sein. vShield App unterstützt die Multi-Tenant-Funktion. vShield App wird als Hypervisor-Modul und virtuelle Appliance für Firewall-Dienste installiert. vShield App wird mit ESX-Hosts über VMsafe-APIs integriert und arbeitet mit VMware vSphere-Plattformfunktionen wie DRS, vMotion, DPM und dem Wartungsmodus. vShield App bietet Firewall-Funktionen zwischen virtuellen Maschinen, indem ein Firewall-Filter auf jedem virtuellen Netzwerkadapter platziert wird. Die Regeln können mehrere Quellen, Ziele und Anwendungen umfassen. Der Firewall-Filter arbeitet transparent und erfordert keine Änderungen am Netzwerk oder an IP-Adressen, um Sicherheitszonen zu erstellen. Sie können Zugriffsregeln mithilfe von vCenter-Containern wie Datencentern, Clustern, Ressourcenpools und vApps sowie mithilfe von Netzwerkobjekten wie Portgruppen und VLANs erstellen, um die Anzahl von Firewallregeln zu reduzieren und eine einfachere Nachverfolgung der Regeln zu ermöglichen. Sie sollten vShield App-Instanzen auf allen ESX-Hosts innerhalb eines Clusters installieren, damit VMware vMotion™-Vorgänge ausgeführt werden können und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert werden. Standardmäßig kann eine virtuelle vShield App-Appliance nicht mit vMotion verschoben werden. Die Flow Monitoring-Funktion zeigt zugelassene und blockierte Netzwerk-Flows auf der Anwendungsprotokollebene an. Sie können diese Informationen verwenden, um den Datenverkehr im Netzwerk zu überwachen und Fehler in den operativen Vorgängen zu beheben. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield App nutzen zu können. vShield Endpoint vShield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance (im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien Schutz bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden. vShield Endpoint wird als Hypervisor-Modul und virtuelle Sicherheits-Appliance von einem DrittanbieterVirenschutzanbieter (VMware-Partner) auf einem ESX-Host installiert. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield Endpoint nutzen zu können. vShield Data Security vShield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vShield Data Security gemeldeten Verstöße können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden Bestimmungen eingehalten werden. VMware, Inc. 11 vShield-Administratorhandbuch Migration von vShield-Komponenten Virtuelle vShield Manager- und vShield Edge-Appliances können basierend auf DRS- und HA-Richtlinien automatisch oder manuell migriert werden. vShield Manager muss immer ausgeführt werden, daher müssen Sie vShield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen werden muss. Jede vShield Edge-Instanz sollte mit dem dazugehörigen Datencenter verschoben werden, um Sicherheitseinstellungen und Dienste beibehalten zu können. vShield App, vShield Endpoint-Partner-Appliance und vShield Data Security können nicht auf einen anderen ESX-Host verschoben werden. Wenn der ESX-Host, auf dem sich diese Komponenten befinden, einer manuellen Wartung unterzogen werden muss, müssen Sie das Kontrollkästchen [Move powered off and suspended virtual machines to other hosts in the cluster] deaktivieren, damit diese virtuellen Appliances nicht migriert werden. Diese Dienste werden neu gestartet, wenn der ESX-Host wieder online ist. Grundlegendes zu VMware Tools auf vShield-Komponenten Die virtuellen vShield-Appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen vShield-Appliance darf weder aktualisiert noch deinstalliert werden. Erforderliche Ports für die vShield-Kommunikation Für vShield müssen folgende Ports offen sein: 12 n vShield Manager-Port 443, vom ESX-Host, von vCenter Server und den bereitzustellenden vShield Appliances aus erreichbar n UDP123 zwischen vShield Manager und vShield App für die Uhrzeitsynchronisierung n 902/TCP und 903/TCP zu und von dem vCenter-Client und den ESX-Hosts n 443/TCP vom REST-Client zum vShield Manager für REST API-Aufrufe n 80/TCP bis 443/TCP für die Verwendung der vShield Manager-Benutzeroberfläche und die Initiierung der Verbindung zum vSphere SDK n 22/TCP für die Fehlersuche der CLI VMware, Inc. Grundlegendes zur vShield ManagerBenutzeroberfläche 2 Die vShield Manager-Benutzeroberfläche bietet Konfigurations- und Datenanzeigeoptionen speziell zur vShield-Verwendung. Durch Verwendung des VMware Infrastructure-SDK zeigt vShield Manager Ihre vSphere Client-Bestandsliste an, damit Sie eine vollständige Sicht auf Ihre vCenter-Umgebung erhalten. HINWEIS Sie können vShield Manager als vSphere Client-Plug-In registrieren. Auf diese Weise können Sie vShield-Komponenten über vSphere Client konfigurieren. Weitere Informationen hierzu finden Sie im Abschnitt über das Einrichten von vShield Manager im Installations- und Upgrade-Handbuch für vShield. n Anmelden bei der vShield Manager-Benutzeroberfläche auf Seite 13 Sie greifen über einen Webbrowser auf die vShield Manager-Verwaltungsoberfläche zu. n Grundlegendes zur vShield Manager-Benutzeroberfläche auf Seite 14 Die vShield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen. Anmelden bei der vShield Manager-Benutzeroberfläche Sie greifen über einen Webbrowser auf die vShield Manager-Verwaltungsoberfläche zu. Vorgehensweise 1 Öffnen Sie ein Webbrowser-Fenster und geben Sie die IP-Adresse an, die dem vShield Manager zugewiesen ist. Die vShield Manager-Benutzeroberfläche wird in einer SSL/HTTPS-Sitzung geöffnet (bzw. öffnet eine sichere SSL-Sitzung). 2 Akzeptieren Sie das Sicherheitszertifikat. HINWEIS Es wird empfohlen, ein SSL-Zertifikat zum Verifizieren von vShield Manager zu verwenden. Weitere Informationen hierzu finden Sie unter „Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts“, auf Seite 20. Der Anmeldebildschirm von vShield Manager wird angezeigt. 3 Melden Sie sich bei der vShield Manager-Benutzeroberfläche mit dem Benutzernamen admin und dem Kennwort default an. Sie sollten das Standardkennwort baldmöglichst ändern, um dessen unbefugtem Gebrauch vorzubeugen. Siehe „Bearbeiten eines Benutzerkontos“, auf Seite 38. 4 VMware, Inc. Klicken Sie auf [Log In] . 13 vShield-Administratorhandbuch Grundlegendes zur vShield Manager-Benutzeroberfläche Die vShield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen. Wenn Sie auf ein Bestandslistenobjekt klicken, werden im Konfigurationsfenster spezifische Registerkarten für das Objekt angezeigt. n vShield Manager-Bestandsliste auf Seite 14 Die Hierarchie der vShield Manager-Bestandsliste bildet die vSphere Client-Bestandslistenhierarchie ab. n vShield Manager-Konfigurationsfenster auf Seite 15 Das vShield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vShield-Operation konfiguriert werden können. Für jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen. vShield Manager-Bestandsliste Die Hierarchie der vShield Manager-Bestandsliste bildet die vSphere Client-Bestandslistenhierarchie ab. Zu den Ressourcen gehören der Root-Ordner, die Datencenter, Cluster, Portgruppen, ESX-Hosts und virtuellen Maschinen. Als Ergebnis bietet vShield Manager in Kombination mit der vCenter Server-Bestandsliste eine vollständige Ansicht Ihrer virtuellen Bereitstellung. Die virtuelle Maschinen für vShield Manager und vShield App werden nicht im vShield Manager-Bestandslistenbereich angezeigt. vShield Manager-Einstellungen werden über die Ressource [Settings & Reports] oberhalb des Bestandslistenbereichs konfiguriert. Die Bestandsliste bietet mehrere Ansichten: Hosts & Cluster, Netzwerke und Edges. Die Ansicht „Hosts & Clusters“ enthält die Datencenter, Cluster, Ressourcenpools und ESX-Hosts Ihrer Bestandsliste. Die Ansicht „Networks“ zeigt die VLAN-Netzwerke und Portgruppen in Ihrer Bestandsliste. In der Ansicht „Edges“ werden die durch vShield Edge-Instanzen geschützten Portgruppen angezeigt. Die Ansichten „Hosts & Clusters“ und „Networks“ sind mit den gleichnamigen Ansichten im vSphere-Client konsistent. In den Bestandslisten von vShield Manager und vSphere Client werden für virtuelle Maschinen und vShield-Komponenten unterschiedliche Symbole verwendet. Zur Anzeige des Unterschieds zwischen vShield-Komponenten und virtuellen Maschinen sowie zwischen geschützten und nicht geschützten virtuellen Maschinen werden benutzerdefinierte Symbole verwendet. Tabelle 2‑1. Symbole für virtuelle vShield-Maschinen in der vShield Manager-Bestandsliste Symbol Beschreibung Eine eingeschaltete virtuelle Maschine, die über vShield App geschützt wird. Eine ausgeschaltete virtuelle Maschine, die nicht über vShield App geschützt wird. Eine ausgeschaltete virtuelle Maschine. Eine geschützte virtuelle Maschine, die getrennt ist. 14 VMware, Inc. Kapitel 2 Grundlegendes zur vShield Manager-Benutzeroberfläche Aktualisieren der Bestandsliste Zum Aktualisieren der Ressourcenliste in der Bestandslistenansicht klicken Sie auf . Bei einer Aktualisierung werden aktuelle Ressourceninformationen von vCenter Server angefordert. Standardmäßig fordert vShield Manager alle fünf Minuten Ressourceninformationen von vCenter Server an. Durchsuchen der Bestandsliste Zum Durchsuchen einer Bestandsliste nach einer spezifischen Ressource geben Sie eine Suchzeichenfolge in das Feld über der vShield Manager-Bestandsliste ein und klicken Sie auf . vShield Manager-Konfigurationsfenster Das vShield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vShield-Operation konfiguriert werden können. Für jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen. Da jede Ressource einem anderen Zweck dient, gelten einige Registerkarte nur für bestimmte Ressourcen. Darüber hinaus weisen einige Registerkarten eine zweite Optionenebene auf. VMware, Inc. 15 vShield-Administratorhandbuch 16 VMware, Inc. Einstellungen für das Managementsystem 3 Sie können die bei der ersten Anmeldung angegebenen Definitionen für vCenter Server, für den DNS- und NTP-Server sowie für den Lookup-Server bearbeiten. vShield Manager muss mit vCenter Server und Diensten wie beispielsweise DNS und NTP kommunizieren können, um Details zur VMware Infrastructure-Bestandsliste bereitzustellen. Dieses Kapitel behandelt die folgenden Themen: n „Bearbeiten von DNS-Servern“, auf Seite 17 n „Bearbeiten des Datums und der Uhrzeit von vShield Manager“, auf Seite 18 n „Bearbeiten von Lookup Service-Details“, auf Seite 18 n „Bearbeiten von vCenter Server“, auf Seite 18 n „Angeben des Syslog-Servers“, auf Seite 19 n „Herunterladen der Protokolle des technischen Supports für vShield“, auf Seite 19 n „Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts“, auf Seite 20 n „Hinzufügen eines Cisco-Switches zu vShield Manager“, auf Seite 21 n „Arbeiten mit Diensten und Dienstgruppen“, auf Seite 22 n „Gruppieren von Objekten“, auf Seite 25 Bearbeiten von DNS-Servern Sie können die während der anfänglichen Anmeldung angegebenen DNS-Server ändern. Der primäre DNSServer wird in der vShield Manager-Benutzeroberfläche angezeigt. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Konfiguration] . 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [DNS Servers] . 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [OK] . VMware, Inc. 17 vShield-Administratorhandbuch Bearbeiten des Datums und der Uhrzeit von vShield Manager Sie können den während der anfänglichen Anmeldung angegebenen NTP-Server ändern. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Konfiguration] . 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [NTP Server] . 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [OK] . 7 Starten Sie vShield Manager neu. Bearbeiten von Lookup Service-Details Sie können die während der anfänglichen Anmeldung angegebenen Lookup Service-Details ändern. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Konfiguration] . 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [Lookup Service] . 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [OK] . Bearbeiten von vCenter Server Sie können den vCenter Server ändern, bei dem Sie bei der anfänglichen Anmeldung vShield Manager registriert haben. Sie sollten dies nur dann tun, wenn Sie die IP-Adresse Ihres aktuellen vCenter Servers ändern. Vorgehensweise 18 1 Wenn Sie beim vSphere-Client angemeldet sind, melden Sie sich ab. 2 Melden Sie sich beim vShield Manager an. 3 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 4 Klicken Sie auf die Registerkarte [Configuration] . 5 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 6 Klicken Sie auf [Edit] neben [vCenter Server] . 7 Nehmen Sie die entsprechenden Änderungen vor. 8 Klicken Sie auf [OK] . 9 Melden Sie sich beim vSphere-Client an. 10 Wählen Sie einen ESX-Host aus. 11 Stellen Sie sicher, dass [vShield] als Registerkarte angezeigt wird. VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem Weiter Sie können jetzt mit dem vSphere-Client vShield-Komponenten installieren und konfigurieren. Angeben des Syslog-Servers Wenn Sie einen Syslog-Server angeben, sendet vShield Manager alle Audit-Protokolle und Systemereignisse von vShield Manager an den Syslog-Server. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Konfiguration] . 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [Syslog Server] . 5 Geben Sie die IP-Adresse des Syslog-Servers ein. 6 (Optional) Geben Sie den Port für den Syslog-Server ein. Wenn Sie keinen Port angeben, wird der Standard-UDP-Port für die IP-Adresse bzw. den Hostnamen des Syslog-Servers verwendet. 7 Klicken Sie auf [OK] . Herunterladen der Protokolle des technischen Supports für vShield Sie können vShield Manager-Auditprotokolle und Systemereignisse von einer vShield-Komponente auf Ihren PC herunterladen. Auditprotokolle beziehen sich auf Konfigurationsänderungsprotokolle (z. B. Firewall-Konfigurationsänderungen), während sich Systemereignisse auf Ereignisse beziehen, die im Hintergrund eintreten, während vShield Manager ausgeführt wird. Wenn beispielsweise die Verbindung zwischen vShield Manager und einer der vShield App- oder vShield Edge-Appliances ausfällt, wird ein Systemereignis protokolliert. Sowohl Auditprotokolle als auch Systemereignisse werden mit dem Syslog-Server auf Info-Ebene protokolliert. Systemereignisse weisen jedoch einen internen Schweregrad auf, der zur Syslog-Nachricht hinzugefügt wird, die für das Systemereignis gesendet wird. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Support] . 4 Klicken Sie unter [Tech Support Log Download] neben der gewünschten Komponente auf [Initiate] . Das Protokoll wird generiert und in vShield Manager heruntergeladen. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 5 Klicken Sie nach der Protokollerstellung auf den Link [Download] , um das Protokoll auf Ihren PC herunterzuladen. Das Protokoll ist komprimiert und hat die Dateierweiterung .gz. Weiter Sie können das Protokoll mit einem Dienstprogramm für die Dekomprimierung öffnen, indem Sie das Speicherverzeichnis für die Datei mit der Option [All Files] durchsuchen. VMware, Inc. 19 vShield-Administratorhandbuch Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts Sie können eine Anforderung zur Zertifikatssignierung generieren, sie von einer Zertifizierungsstelle signieren lassen und das signierte SSL-Zertifikat in vShield Manager importieren, um die Identität des vShield Manager-Webservices zu authentifizieren und Informationen zu verschlüsseln, die an den vShield ManagerWebserver gesendet werden. Als empfohlene Vorgehensweise zur Gewährleistung der Sicherheit sollten Sie mit der Option zum Generieren eines Zertifikats einen privaten und einen öffentlichen Schlüssel generieren. Der private Schlüssel wird in vShield Manager gespeichert. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Konfiguration] . 3 Klicken Sie auf [SSL Certificate] . 4 Füllen Sie unter [Generate Certificate Signing Request] die folgenden Felder des Formulars aus: 5 Option Aktion [Common Name] Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) von vShield Manager ein. Es wird empfohlen, den FQDN einzugeben. [Organization Unit] Geben Sie die Abteilung innerhalb des Unternehmens ein, die das Zertifikat anfordert. [Organization Name] Geben Sie den vollständigen eingetragenen Namen des Unternehmens ein. [City Name] Geben Sie den vollständigen Namen der Stadt ein, in der Ihr Unternehmen ansässig ist. [State Name] Geben Sie den vollständigen Namen des Bundeslands/Kantons ein, in dem Ihr Unternehmen ansässig ist. [Country Code] Geben Sie den zweistelligen Ländercode ein. Der Code für die Vereinigten Staaten lautet beispielsweise US. [Key Algorithm] Wählen Sie als Kryptografiealgorithmus entweder DSA oder RSA aus. Zwecks Abwärtskompatibilität wird RSA empfohlen. [Key Size] Wählen Sie die Anzahl von Bits im ausgewählten Algorithmus. Klicken Sie auf [Generate] . Importieren eines SSL-Zertifikats Sie können ein bereits vorhandenes, von einer Zertifizierungsstelle signiertes SSL-Zertifikat für die Verwendung durch vShield Manager importieren. Vorgehensweise 20 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Konfiguration] . 3 Klicken Sie auf [SSL Certificate] . 4 Klicken Sie unter Import Signed Certificate im Abschnitt Certificate File auf [Browse] , um nach der Datei zu suchen. VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem 5 Wählen Sie in der Dropdown-Liste [Certificate Type] den Zertifikattyp aus. Sofern zutreffend, importieren Sie die Root- und Zwischenzertifikate, bevor Sie das von einer Zertifizierungsstelle signierte Zertifikat importieren. Falls es mehrere Zwischenzertifikate gibt, fassen Sie sie in einer einzigen Datei zusammen und importieren Sie anschließend die Datei. 6 Klicken Sie auf [Übernehmen] . Eine gelbe Leiste mit der Meldung [Successfully imported certificate] wird im oberen Bereich des Bildschirms angezeigt. 7 Klicken Sie auf [Apply Certificate] . vShield Manager wird neu gestartet, damit das Zertifikat angewendet werden kann. Das Zertifikat wird in vShield Manager gespeichert. Hinzufügen eines Cisco-Switches zu vShield Manager Sie können einen Cisco-Switch zu vShield Manager hinzufügen und dessen Implementierung verwalten. Voraussetzungen Der N1K-Switch muss auf vCenter Server installiert worden sein. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Configuration] befinden. 3 Klicken Sie auf die Registerkarte [Networking] . 4 Klicken Sie auf [Add Switch Provider] . 5 Geben Sie einen Namen für den Switch ein. 6 Geben Sie die API-Schnittstelle, mit der der Switch kommunizieren kann, im folgenden Format ein: https://IP-Adresse_von_VSM/n1k/services/NSM. 7 Geben Sie Ihren N1K-Benutzernamen und das Kennwort ein. 8 Klicken Sie auf [OK] . Der Switch wird in die Switch-Provider-Tabelle aufgenommen. VMware, Inc. 21 vShield-Administratorhandbuch Arbeiten mit Diensten und Dienstgruppen Bei einem Dienst handelt es sich um die Kombination von Protokoll und Port und eine Dienstgruppe ist eine Gruppe von Diensten. Erstellen eines Diensts Sie können einen Dienst erstellen und anschließend Regeln für diesen Dienst definieren. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So wird ein Dienst auf globaler Ebene erstellt a b c Melden Sie sich bei der vShield Manager-Benutzeroberfläche an. Klicken Sie auf [Settings & Reports] . Klicken Sie auf [Object Library] . So wird ein Dienst auf Datencenterebene erstellt a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . So wird eine Dienstgruppe auf Portgruppenebene erstellt a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So wird ein Dienst auf vShield Edge-Ebene erstellt a b c d e f Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . 2 Klicken Sie auf die Registerkarte [Services] . 3 Wählen Sie [Add] > [Service] . 4 Geben Sie im Feld [Name] einen Namen ein, um den Dienst zu identifizieren. 5 Geben Sie im Feld [Description] eine Beschreibung für den Dienst ein. 6 Wählen Sie im Feld [Protocol] ein Protokoll aus, dem Sie einen Nicht-Standard-Port hinzufügen möchten. 7 Geben Sie im Feld [Ports] die Portnummer(n) ein. 8 (Optional) Wählen Sie beim Erstellen eines Diensts auf globaler oder Datencenterebene [Enable inheri‐ tance to allow visibility at underlying scopes] , damit dieser Dienst darunter liegenden Ebenen zur Verfügung steht. 9 Klicken Sie auf [OK] . Der Dienst wird in der Tabelle „Services“ angezeigt. 22 VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem Erstellen einer Dienstgruppe Sie können eine Dienstgruppe auf globaler, Datencenter- oder vShield Edge-Ebene erstellen und anschließend Regeln für diese Dienstgruppe definieren. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So wird eine Dienstgruppe auf globaler Ebene erstellt a b c Melden Sie sich bei der vShield Manager-Benutzeroberfläche an. Klicken Sie auf [Settings & Reports] . Klicken Sie auf [Object Library] . So wird eine Dienstgruppe auf Datencenterebene erstellt a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . So wird eine Dienstgruppe auf Portgruppenebene erstellt a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So wird eine Dienstgruppe auf vShield Edge-Ebene erstellt a b c d e f Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . 2 Klicken Sie auf die Registerkarte [Services] . 3 Wählen Sie [Add] > [Service Group] . 4 Geben Sie im Feld [Name] einen Namen ein, um die Dienstgruppe zu identifizieren. 5 Geben Sie im Feld [Description] eine Beschreibung für den Dienst ein. 6 Wählen Sie unter „Members“ die Dienste oder Dienstgruppen aus, die Sie der Gruppe hinzufügen möchten. 7 (Optional) Wählen Sie beim Erstellen einer Dienstgruppe auf globaler oder Datencenterebene [Enable inheritance to allow visibility at underlying scopes] , damit diese Dienstgruppe darunter liegenden Ebenen zur Verfügung steht. 8 Klicken Sie auf [OK] . Die benutzerdefinierte Dienstgruppe wird in der Tabelle „Services“ angezeigt. Bearbeiten eines Diensts oder einer Dienstgruppe Sie können Dienste und Dienstgruppen bearbeiten. Ein Dienst oder eine Dienstgruppe kann auf der Ebene bearbeitet werden, auf der er bzw. sie definiert wurde. Wenn beispielsweise ein Dienst auf globaler Ebene definiert wurde, kann er nicht auf vShield Edge-Ebene bearbeitet werden. VMware, Inc. 23 vShield-Administratorhandbuch Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So wird ein Dienst auf globaler Ebene bearbeitet a b c Melden Sie sich bei der vShield Manager-Benutzeroberfläche an. Klicken Sie auf [Settings & Reports] . Klicken Sie auf [Object Library] . So wird ein Dienst auf Datencenterebene bearbeitet a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . So wird ein Dienst auf Portgruppenebene bearbeitet a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So wird ein Dienst auf vShield Edge-Ebene bearbeitet a b c d e Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure] . 2 Klicken Sie auf die Registerkarte [Services] . 3 Wählen Sie einen benutzerdefinierten Dienst oder eine benutzerdefinierte Dienstgruppe aus und klicken Sie auf [Edit] ( ). 4 Nehmen Sie die entsprechenden Änderungen vor. 5 Klicken Sie auf [OK] . Löschen eines Diensts oder einer Dienstgruppe Sie können Dienste und Dienstgruppen löschen. Ein Dienst oder eine Dienstgruppe kann auf der Ebene gelöscht werden, auf der er bzw. sie definiert wurde. Wenn beispielsweise ein Dienst auf globaler Ebene definiert wurde, kann er nicht auf vShield Edge-Ebene gelöscht werden. Vorgehensweise 1 24 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So wird ein Dienst auf globaler Ebene gelöscht a b c Melden Sie sich bei der vShield Manager-Benutzeroberfläche an. Klicken Sie auf [Settings & Reports] . Klicken Sie auf [Object Library] . So wird ein Dienst auf Datencenterebene gelöscht a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem Option Beschreibung So wird ein Dienst auf Portgruppenebene gelöscht a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So wird ein Dienst auf vShield Edge-Ebene gelöscht a b c d e f Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . 2 Klicken Sie auf die Registerkarte [Services] . 3 Wählen Sie einen benutzerdefinierten Dienst oder eine benutzerdefinierte Dienstgruppe aus und klicken Sie auf [Löschen] ( 4 ). Klicken Sie auf [Ja] . Der Dienst bzw. die Dienstgruppe wird gelöscht. Gruppieren von Objekten Mit der Gruppierungsfunktion können Sie benutzerdefinierte Container erstellen, denen Sie zum Schutz durch die App Firewall Ressourcen wie virtuelle Maschinen und Netzwerkadapter hinzufügen können. Nach dem Definieren einer Gruppe können Sie diese zum Schutz als Quelle oder Ziel zu einer Firewallregel hinzufügen. Arbeiten mit IP-Adressgruppen Erstellen einer IP-Adressgruppe Sie können eine IP-Adressgruppe auf globaler, Datencenter- oder vShield Edge-Ebene erstellen und anschließend diese Gruppe als Quelle oder Ziel zu einer vShield App Firewall-Regel hinzufügen. Eine solche Regel kann physische Maschinen vor virtuelle Maschinen schützen oder umgekehrt. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So wird eine IP-Adressgruppe auf globaler Ebene erstellt a b So wird eine IP-Adressgruppe auf Datencenterebene erstellt VMware, Inc. a b c d Klicken Sie vom vShield Manager-Bestandslistenbereich der vShield Manager-Benutzeroberfläche aus auf [Object Library] . Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. 25 vShield-Administratorhandbuch 2 3 Option Beschreibung So wird eine IP-Adressgruppe auf Portgruppenebene erstellt a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So wird eine IP-Adressgruppe auf vShield Edge-Ebene erstellt a b c d e f Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . Klicken Sie auf die Registerkarte [Grouping Objects] . Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [IP Addresses] aus. Das Fenster zum Hinzufügen von IP-Adressen wird geöffnet. 4 Geben Sie einen Namen für die Adressgruppe ein. 5 (Optional) Geben Sie eine Beschreibung für die Adressgruppe ein. 6 Geben Sie die IP-Adressen ein, die zur Gruppe hinzugefügt werden sollen. 7 (Optional) Wählen Sie beim Erstellen einer IP-Adressgruppe auf globaler oder Datencenterebene [Enable inheritance to allow visibility at underlying scopes] , damit diese IP-Adressgruppe darunter liegenden Ebenen zur Verfügung steht. 8 Klicken Sie auf [OK] . Bearbeiten einer IP-Adressgruppe Eine IP-Adressgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine IP-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vShield Edge-Ebene bearbeitet werden. Voraussetzungen Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So bearbeiten Sie eine IP-Adressgruppe auf globaler Ebene a b So bearbeiten Sie eine IP-Adressgruppe auf Datencenterebene 26 a b c d Klicken Sie vom vShield Manager-Bestandslistenbereich der vShield Manager-Benutzeroberfläche aus auf [Object Library] . Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem 2 3 Option Beschreibung So bearbeiten Sie eine IP-Adressgruppe auf Portgruppenebene a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So bearbeiten Sie eine IP-Adressgruppe auf vShield Edge-Ebene a b c d e f Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . Klicken Sie auf die Registerkarte [Grouping Objects] . Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Edit] ( 4 Nehmen Sie im Dialogfeld „Edit IP Addresses“ die entsprechenden Änderungen vor. 5 Klicken Sie auf [OK] . ). Löschen einer IP-Adressgruppe Eine IP-Adressgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine IP-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vShield Edge-Ebene gelöscht werden. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So löschen Sie eine IP-Adressgruppe auf globaler Ebene a b 2 3 VMware, Inc. Klicken Sie vom vShield Manager-Bestandslistenbereich der vShield Manager-Benutzeroberfläche aus auf [Object Library] . Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. So löschen Sie eine IP-Adressgruppe auf Datencenterebene a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. So löschen Sie eine IP-Adressgruppe auf Portgruppenebene a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So löschen Sie eine IP-Adressgruppe auf vShield Edge-Ebene a b c d e f Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . Klicken Sie auf die Registerkarte [Grouping Objects] . Wählen Sie die Gruppe aus, die Sie löschen möchten, und klicken Sie auf das Symbol [Delete] ( ). 27 vShield-Administratorhandbuch Arbeiten mit MAC-Adressgruppen Erstellen einer MAC-Adressgruppe Sie können eine MAC-Adressgruppe mit einem Bereich von MAC-Adressen erstellen und diese Gruppe als Quelle oder Ziel in einer vShield App Firewall-Regel hinzufügen. Eine solche Regel kann physische Maschinen vor virtuelle Maschinen schützen oder umgekehrt. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So wird eine MAC-Adressgruppe auf globaler Ebene erstellt a b 2 Klicken Sie im vShield Manager-Bestandslistenbereich der vShield Manager-Benutzeroberfläche auf „Object Library“. Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. So wird eine MAC-Adressgruppe auf Datencenterebene erstellt a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. So wird eine MAC-Adressgruppe auf Portgruppenebene erstellt a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [MAC Addresses] aus. Das Fenster „Add MAC Addresses“ wird geöffnet. 28 3 Geben Sie einen Namen für die Adressgruppe ein. 4 (Optional) Geben Sie eine Beschreibung für die Adressgruppe ein. 5 Geben Sie die MAC-Adressen ein, die zur Gruppe hinzugefügt werden sollen. 6 Wählen Sie [Enable inheritance to allow visibility at underlying scopes] , wenn Sie möchten, dass die MAC-Adressgruppe von den Objekten im ausgewählten Datencenter übernommen wird. 7 Klicken Sie auf [OK] . VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem Bearbeiten einer MAC-Adressgruppe Eine MAC-Adressgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine MAC-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vShield EdgeEbene bearbeitet werden. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So bearbeiten Sie eine MAC-Adressgruppe auf globaler Ebene a b 2 3 Klicken Sie vom vShield Manager-Bestandslistenbereich der vShield Manager-Benutzeroberfläche aus auf [Object Library] . Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. So bearbeiten Sie eine MAC-Adressgruppe auf Datencenterebene a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. So bearbeiten Sie eine MAC-Adressgruppe auf Portgruppenebene a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So bearbeiten Sie eine MAC-Adressgruppe auf vShield Edge-Ebene a b c d e f Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . Klicken Sie auf die Registerkarte [Grouping Objects] . Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Edit] ( 4 Nehmen Sie im Dialogfeld „Edit MAC Addresses“ die entsprechenden Änderungen vor. 5 Klicken Sie auf [OK] . VMware, Inc. ). 29 vShield-Administratorhandbuch Löschen einer MAC-Adressgruppe Eine MAC-Adressgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine MAC-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vShield Edge-Ebene gelöscht werden. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So löschen Sie eine MAC-Adressgruppe auf globaler Ebene a b 2 3 Klicken Sie vom vShield Manager-Bestandslistenbereich der vShield Manager-Benutzeroberfläche aus auf [Object Library] . Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. So löschen Sie eine MAC-Adressgruppe auf Datencenterebene a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. So löschen Sie eine MAC-Adressgruppe auf Portgruppenebene a b c Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . So löschen Sie eine MAC-Adressgruppe auf vShield Edge-Ebene a b c d e f Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf die Registerkarte [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . Klicken Sie auf die Registerkarte [Grouping Objects] . Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Delete] ( ). Arbeiten mit Sicherheitsgruppen Erstellen einer Sicherheitsgruppe Im vSphere-Client können Sie eine Sicherheitsgruppe auf der Portgruppenebene hinzufügen. Der Geltungsbereich der Sicherheitsgruppe ist auf die Ressourcenebene beschränkt, auf der sie erstellt wurde. Wenn Sie beispielsweise eine Sicherheitsgruppe auf Datencenterebene erstellen, kann die Sicherheitsgruppe nur dann als Quelle oder Ziel hinzugefügt werden, wenn Sie eine Firewallregel auf Datencenterebene erstellen. Wenn Sie eine Regel für eine Portgruppe innerhalb dieses Datencenters erstellen, ist die Sicherheitsgruppe nicht verfügbar. 30 VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem Vorgehensweise 1 2 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So wird eine Sicherheitsgruppe auf Datencenterebene erstellt a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. So wird eine Sicherheitsgruppe auf der Portgruppenebene erstellt a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie die Registerkarte [Grouping] aus. Klicken Sie auf [Add] und wählen Sie [Security Group] . Das Fenster „Add Security Group“ wird mit dem ausgewählten Datencenter geöffnet, das als [Scope] (Geltungsbereich) angezeigt wird. 3 Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein. 4 Klicken Sie in das Feld neben der Schaltfläche „Add“ und wählen Sie die Ressource aus, die Sie in die Sicherheitsgruppe aufnehmen möchten. 5 Wählen Sie unter [Members] eine oder mehrere Ressourcen aus, die zur Sicherheitsgruppe hinzugefügt werden sollen. Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die zugewiesene vNIC automatisch zur Sicherheitsgruppe hinzugefügt. 6 Klicken Sie auf [OK] . Bearbeiten einer Sicherheitsgruppe Eine Sicherheitsgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine Sicherheitsgruppe auf Datencenterebene definiert wurde, kann sie nicht auf Portgruppenebene bearbeitet werden. Vorgehensweise 1 2 3 VMware, Inc. Führen Sie einen der folgenden Schritte aus: Option Beschreibung So bearbeiten Sie eine Sicherheitsgruppe auf Datencenterebene a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. So bearbeiten Sie eine Sicherheitsgruppe auf Portgruppenebene a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie die Registerkarte [Grouping] aus. Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Edit] ( ). Nehmen Sie im Dialogfeld „Edit Security Group“ die entsprechenden Änderungen vor. 31 vShield-Administratorhandbuch 4 Klicken Sie auf [OK] . Löschen einer Sicherheitsgruppe Eine Sicherheitsgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine Sicherheitsgruppe auf Datencenterebene definiert wurde, kann sie nicht auf vShield-Portgruppenebene gelöscht werden. Vorgehensweise 1 2 32 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So löschen Sie eine Sicherheitsgruppe auf Datencenterebene a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie auf der Registerkarte „General“ die Registerkarte [Grou‐ ping] aus. So löschen Sie eine Sicherheitsgruppe auf Portgruppenebene a b c d Wählen Sie im vSphere-Client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. Klicken Sie auf die Registerkarte [vShield] . Wählen Sie die Registerkarte [Grouping] aus. Wählen Sie die Gruppe aus, die Sie löschen möchten, und klicken Sie auf das Symbol [Delete] ( ). VMware, Inc. Benutzer-Management 4 Sicherheitsvorgänge werden häufig von mehreren Benutzern verwaltet. Das Management des gesamten Systems wird basierend auf logischen Kategorien an verschiedene Mitarbeiter delegiert. Zum Ausführen der Aufgaben sind jedoch nur diejenigen Benutzer berechtigt, die über die erforderlichen Rechte für bestimmte Ressourcen verfügen. Im Benutzerabschnitt können Sie die Aufgaben für das Ressourcen-Management an Benutzer delegieren, indem Sie die erforderlichen Rechte erteilen. vShield unterstützt Single Sign On (SSO), sodass vShield Benutzer von anderen Identitätsdiensten, wie z. B. AD, NIS und LDAP, authentifizieren kann. Das Benutzer-Management über die vShield Manager-Benutzeroberfläche und das Benutzer-Management über die Befehlszeilenschnittstelle einer vShield-Komponente sind separat implementiert. Dieses Kapitel behandelt die folgenden Themen: n „Konfigurieren von Single Sign On“, auf Seite 33 n „Verwalten von Benutzerrechten“, auf Seite 34 n „Verwalten des Standardbenutzerkontos“, auf Seite 35 n „Hinzufügen eines Benutzerkontos“, auf Seite 35 n „Bearbeiten eines Benutzerkontos“, auf Seite 38 n „Ändern einer Benutzerrolle“, auf Seite 38 n „Deaktivieren oder Aktivieren eines Benutzerkontos“, auf Seite 38 n „Löschen eines Benutzerkontos“, auf Seite 39 Konfigurieren von Single Sign On Durch das Integrieren des Single Sign On-Diensts in vShield wird die Sicherheit der Benutzerauthentifizierung für vCenter-Benutzer erhöht und vShield ermöglicht, Benutzer aus anderen Identitätsdiensten, wie z. B. AD, NIS und LDAP, zu authentifizieren. Mit Single Sign On unterstützt vShield die Authentifizierung mithilfe authentifizierter SAML-Token einer vertrauenswürdigen Quelle über REST-API-Aufrufe. vShield Manager kann auch AuthentifizierungsSAML-Token für die Verwendung mit anderen VMware-Lösungen erwerben. Voraussetzungen n Der Single Sign On-Dienst muss auf vCenter Server installiert sein. n Der NTP-Server muss angegeben werden, um sicherzugehen, dass die Zeit des Single Sign On-Servers und von vShield Manager synchron sind. Weitere Informationen hierzu finden Sie im Abschnitt über das Einrichten von vShield Manager im Installations- und Upgrade-Handbuch für vShield. VMware, Inc. 33 vShield-Administratorhandbuch Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Konfiguration] . 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [Lookup Service] . 5 Geben Sie die IP-Adresse oder den Namen des Hosts mit dem Lookup Service ein. 6 Ändern Sie die Portnummer, falls erforderlich. Die URL des Lookup Service wird basierend auf dem angegebenen Host und Port angezeigt. 7 Geben Sie den SSO-Benutzernamen und das Kennwort ein. Damit kann vShield Manager sich selbst mit dem Security Token Service-Server registrieren. 8 Klicken Sie auf [OK] . Weiter Weisen Sie dem SSO-Benutzer eine Rolle zu. Verwalten von Benutzerrechten Auf der vShield Manager-Benutzeroberfläche definiert die Rolle eines Benutzers, welche Aktionen der Benutzer für eine bestimmte Ressource ausführen kann. Die Rolle legt fest, welche Rechte der Benutzer an der Ressource hat, wodurch sichergestellt wird, dass ein Benutzer nur auf die Funktionen Zugriff hat, die zum Ausführen notwendiger Vorgänge erforderlich sind. So kann der Zugriff auf bestimmte Ressourcen auf Domänenebene oder systemweit gesteuert werden, wenn Ihre Rechte nicht eingeschränkt sind. Die folgenden Regeln werden erzwungen: n Ein Benutzer kann nur über ein Rolle verfügen. n Sie können einem Benutzer eine Rolle hinzufügen oder eine dem Benutzer zugewiesene Rolle entfernen. Sie können allerdings auch die einem Benutzer zugewiesene Rolle ändern. Tabelle 4‑1. vShield Manager-Benutzerrollen Recht Berechtigungen Enterprise Administrator vShield-Vorgänge und -Sicherheit. vShield Administrator Nur vShield-Vorgänge: Zum Beispiel: Installieren von virtuellen Appliances, Konfigurieren von Portgruppen. Security Administrator Nur vShield-Sicherheit: Zum Beispiel: Definieren von Datensicherheitsrichtlinien, Erstellen von Portgruppen, Erstellen von Berichten für vShield-Module. Auditor Nur Lesen. Der Geltungsbereich einer Rolle legt fest, welche Ressourcen ein bestimmter Benutzer anzeigen kann. Für vShield-Benutzer stehen folgende Geltungsbereiche zur Verfügung. 34 VMware, Inc. Kapitel 4 Benutzer-Management Tabelle 4‑2. Geltungsbereich für vShield Manager-Benutzer Geltungsbereich Beschreibung Keine Beschränkung Zugriff auf das gesamte vShield-System Begrenzt den Zugriff auf die unten ausgewählten Portgruppen Zugriff auf ein angegebenes Datencenter oder eine angegebene Portgruppe Die Rollen „Enterprise Administrator“ und „vShield Administrator“ können nur vCenter-Benutzern zugewiesen werden und ihr Geltungsbereich ist global (keine Beschränkung). Verwalten des Standardbenutzerkontos Zur vShield Manager-Benutzeroberfläche gehört auch ein lokales Benutzerkonto, das Zugriffsrechte auf alle Ressourcen hat. Die Rechte dieses Benutzers können nicht bearbeitet und der Benutzer kann nicht gelöscht werden. Der Standardbenutzername lautet admin und das Standardkennwort lautet default. Ändern Sie das Kennwort für dieses Konto, wenn Sie sich erstmalig bei vShield Manager anmelden. Weitere Informationen hierzu finden Sie unter „Bearbeiten eines Benutzerkontos“, auf Seite 38. Hinzufügen eines Benutzerkontos Sie können entweder einen neuen lokalen vShield-Benutzer erstellen oder einem vCenter-Benutzer eine Rolle zuweisen. Erstellen eines neuen lokalen Benutzers 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Klicken Sie auf [Hinzufügen] . Das Fenster „Assign Role“ wird geöffnet. 4 Klicken Sie auf [Create a new user local to vShield] . 5 Geben Sie eine [Email] -Adresse ein. 6 Geben Sie eine [Login ID] ein. Dieser Name wird für die Anmeldung bei der vShield Manager-Benutzeroberfläche verwendet. Dieser Benutzername und das zugehörige Kennwort können nicht für den Zugriff auf die vShield App- oder die vShield Manager-Befehlszeilenschnittstelle verwendet werden. 7 Geben Sie zu Identifikationszwecken unter [Full Name] den vollständigen Namen des Benutzers ein. 8 Geben Sie in [Password] ein Kennwort für die Anmeldung ein. 9 Geben Sie das Kennwort im Feld [Retype Password] erneut ein. 10 Klicken Sie auf [Weiter] . 11 Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next] . Weitere Informationen zu den verfügbaren Rollen finden Sie unter „Verwalten von Benutzerrechten“, auf Seite 34. 12 Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish] . Das Benutzerkonto wird in der Benutzertabelle angezeigt. VMware, Inc. 35 vShield-Administratorhandbuch Zuweisen einer Rolle zu einem vCenter-Benutzer Wenn Sie einem SSO-Benutzer eine Rolle zuweisen, authentifiziert vCenter den Benutzer anhand des Identitätsdiensts, der auf dem SSO-Server konfiguriert ist. Wenn die SSO-Server nicht konfiguriert oder nicht verfügbar ist, wird der Benutzer basierend auf der vCenter-Konfiguration entweder lokal oder mit Active Directory authentifiziert. 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Klicken Sie auf [Hinzufügen] . Das Fenster „Assign Role“ wird geöffnet. 4 Klicken Sie auf [Select vCenter user] . 5 Geben Sie den vCenter-Benutzernamen unter [User] ein. HINWEIS Wenn der vCenter-Benutzer aus einer Domäne stammt (z. B. ein SSO-Benutzer), müssen Sie den vollqualifizierten Pfad einer Windows-Domäne eingeben. Damit können sich der standardmäßige vShield Manager-Benutzer (admin) und der standardmäßige SSO-Benutzer (admin) bei vShield Manager anmelden. Dieser Benutzername dient der Anmeldung bei der vShield Manager-Benutzerschnittstelle und kann nicht für den Zugriff auf die vShield App- oder die vShield Manager-Befehlszeilenschnittstelle verwendet werden. 6 Klicken Sie auf [Weiter] . 7 Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next] . Weitere Informationen zu den verfügbaren Rollen finden Sie unter „Verwalten von Benutzerrechten“, auf Seite 34. 8 Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish] . Das Benutzerkonto wird in der Benutzertabelle angezeigt. Grundlegendes zu gruppenbasierten Rollenzuweisungen Organisationen erstellen Benutzergruppen, um Benutzer ordnungsgemäß zu verwalten. Nach der Integration mit Single Sign On (SSO) kann vShield Manager Details zu den Gruppen abrufen, denen ein Benutzer angehört. Statt einzelnen derselben Gruppe angehörenden Benutzern Rollen zuzuweisen, weist vShield Manager Rollen zu Gruppen zu. Lassen Sie uns einige Szenarien durchspielen, um zu verdeutlichen, wie vShield Manager Rollen zuweist. Beispiel: Szenario 1 Gruppenoption Wert Name G1 Zugewiesene Rolle Prüfer (nur Lesen) Ressourcen Global Root Benutzeroption Wert Name Peter Gehört zur Gruppe G1 Zugewiesene Rolle Keine Peter gehört der Gruppe G1 an, der die Rolle „Prüfer“ zugewiesen wurde. Peter übernimmt die Gruppenrolle und die Ressourcenberechtigungen. 36 VMware, Inc. Kapitel 4 Benutzer-Management Beispiel: Szenario 2 Gruppenoption Wert Name G1 Zugewiesene Rolle Prüfer (nur Lesen) Ressourcen Global Root Gruppenoption Wert Name G2 Zugewiesene Rolle Sicherheitsadministrator (Lesen und Schreiben) Ressourcen Datacenter1 Benutzeroption Wert Name Paul Gehört zur Gruppe G1, G2 Zugewiesene Rolle Keine Paul gehört den Gruppen G1 und G2 an und übernimmt eine Kombination von Rechten und Berechtigungen der Rollen „Prüfer“ und „Sicherheitsadministrator“. Peter verfügt beispielsweise über folgende Berechtigungen: n Lesen, Schreiben (Rolle „Sicherheitsadministrator“) für Datacenter1 n Nur Lesen (Auditor) für Global Root Beispiel: Szenario 3 Gruppenoption Wert Name G1 Zugewiesene Rolle Enterprise-Administrator Ressourcen Global Root Benutzeroption Wert Name Florian Gehört zur Gruppe G1 Zugewiesene Rolle Sicherheitsadministrator (Lesen und Schreiben) Ressourcen Datacenter1 Florian wurde die Rolle „Sicherheitsadministrator“ zugewiesen, sodass er die Rollenberechtigungen der Gruppe nicht übernimmt. Florian verfügt über folgende Berechtigungen n Lesen, Schreiben (Rolle „Sicherheitsadministrator“) für Datacenter1 und dessen untergeordnete Ressourcen n Die Rolle „Enterprise-Administrator“ für Datacenter1 VMware, Inc. 37 vShield-Administratorhandbuch Bearbeiten eines Benutzerkontos Sie können ein Benutzerkonto bearbeiten, um das Kennwort oder den Gültigkeitsbereich zu ändern. Das admin-Konto kann nicht bearbeitet werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Wählen Sie den Benutzer aus, den Sie bearbeiten möchten. 4 Klicken Sie auf [Bearbeiten] . 5 Nehmen Sie die gewünschten Änderungen vor. 6 Klicken Sie auf [Beenden] , um Ihre Änderungen zu speichern. Ändern einer Benutzerrolle Sie können die Rollenzuweisung für alle Benutzer ändern mit Ausnahme des admin-Benutzers. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Wählen Sie den Benutzer aus, für den Sie die Rolle ändern möchten. 4 Klicken Sie auf [Change Role] . 5 Nehmen Sie die gewünschten Änderungen vor. 6 Klicken Sie auf [Finish] , um Ihre Änderungen zu speichern. Deaktivieren oder Aktivieren eines Benutzerkontos Sie können ein Benutzerkonto deaktivieren, um den entsprechenden Benutzer daran zu hindern, sich bei vShield Manager anzumelden. Sie können den Benutzer admin nicht deaktivieren. Vorgehensweise 38 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Wählen Sie ein Benutzerkonto aus. 4 Führen Sie einen der folgenden Schritte aus: n Klicken Sie auf [Actions] > [Disable selected user(s) ] , um ein Benutzerkonto zu deaktivieren. n Klicken Sie auf [Actions] > [Enable selected user(s) ] , um ein Benutzerkonto zu aktivieren. VMware, Inc. Kapitel 4 Benutzer-Management Löschen eines Benutzerkontos Sie können jedes erstellte Benutzerkonto löschen. Das admin-Konto kann nicht gelöscht werden. Überwachungsdatensätze für gelöschte Benutzer werden in der Datenbank verwaltet und können in einem Überwachungsprotokollbericht referenziert werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Wählen Sie den Benutzer aus, den Sie löschen möchten. 4 Klicken Sie auf [Delete] . 5 Klicken Sie auf [OK] , um den Löschvorgang zu bestätigen. Wenn Sie ein vCenter-Benutzerkonto löschen, wird nur die Rollenzuweisung für vShield Manager gelöscht. Das Benutzerkonto auf vCenter wird nicht gelöscht. VMware, Inc. 39 vShield-Administratorhandbuch 40 VMware, Inc. Aktualisieren von Systemsoftware 5 Für die vShield-Software sind regelmäßige Updates erforderlich, um die System-Performance aufrechtzuerhalten. Mithilfe der Optionen auf der Registerkarte [Updates] können Sie System-Updates installieren und nachverfolgen. n Anzeigen der aktuellen Systemsoftware auf Seite 41 Sie können die aktuell installierten Versionen der vShield-Komponentensoftware anzeigen oder überprüfen, ob gerade ein Update ausgeführt wird. n Hochladen eines Updates auf Seite 41 vShield-Updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird, können Sie es auf Ihren PC herunterladen und das Update anschließend über die vShield ManagerBenutzeroberfläche hochladen. Anzeigen der aktuellen Systemsoftware Sie können die aktuell installierten Versionen der vShield-Komponentensoftware anzeigen oder überprüfen, ob gerade ein Update ausgeführt wird. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Updates] . 3 Klicken Sie auf [Update Status] . Hochladen eines Updates vShield-Updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird, können Sie es auf Ihren PC herunterladen und das Update anschließend über die vShield Manager-Benutzeroberfläche hochladen. Beim Hochladen des Updates werden zunächst vShield Manager und anschließend alle vShield Zones- bzw. vShield App-Instanzen aktualisiert. Wenn ein Neustart von vShield Manager oder einer vShield Zones- oder vShield App-Instanz erforderlich ist, werden Sie im Bildschirm [Update Status] zum Neustarten der Komponente aufgefordert. Wenn sowohl vShield Manager als auch alle vShield Zones- bzw. vShield App-Instanzen neu gestartet werden müssen, muss zunächst vShield Manager und anschließend jede vShield Zonesbzw. jede vShield App-Instanz neu gestartet werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Updates] . VMware, Inc. 41 vShield-Administratorhandbuch 3 Klicken Sie auf [Upload Upgrade Bundle] . 4 Klicken Sie auf [Browse] , um nach dem Update zu suchen. 5 Wenn Sie die Datei ausgewählt haben, klicken Sie auf [Upload File] . 6 Klicken Sie auf [Update Status] und anschließend auf [Install] . 7 Klicken Sie auf [Confirm Install] , um die Installation des Updates zu bestätigen. Der angezeigte Bildschirm umfasst zwei Tabellen. Während der Installation wird in der oberen Tabelle die Beschreibung, die Startzeit sowie der Erfolgs- und der Prozessstatus des aktuellen Updates angezeigt. Die untere Tabelle zeigt den Update-Status der einzelnen vShield App-Instanzen. Wenn als Status der letzten vShield App-Instanz [Finished] angezeigt wird, wurden alle vShield App-Instanzen aktualisiert. 42 8 Klicken Sie nach dem Neustart von vShield Manager auf die Registerkarte [Update Status] . 9 Klicken Sie bei Aufforderung auf [Reboot Manager] . 10 Klicken Sie auf [Finish Install] , um das System-Update abzuschließen. 11 Klicken Sie auf [Confirm] . VMware, Inc. Sichern von vShield Manager-Daten 6 Sie können Ihre vShield Manager-Daten – ggf. einschließlich von Systemkonfiguration, Ereignissen und Überwachungsprotokolltabellen – sichern und wiederherstellen. Konfigurationstabellen sind in jeder Sicherung enthalten. System- und Überwachungsprotokollereignisse können Sie jedoch ausschließen. Sicherungen werden an einem Remote-Speicherort abgelegt, der über vShield Manager zugänglich sein muss. Sicherungen können nach einem Zeitplan oder bei Bedarf ausgeführt werden. n Sichern von vShield Manager-Daten bei Bedarf auf Seite 43 Sie können vShield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen. n Planen einer Sicherung von vShield Manager-Daten auf Seite 44 Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden. n Wiederherstellen einer Sicherung auf Seite 45 Sie können eine Sicherung nur auf einer neu bereitgestellten vShield Manager-Appliance wiederherstellen. Sichern von vShield Manager-Daten bei Bedarf Sie können vShield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Backups] . 4 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events] , wenn Sie die Systemereignistabellen nicht sichern möchten. 5 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Logs] , wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten. 6 Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert wird. 7 Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein. 8 Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem ein. VMware, Inc. 43 vShield-Administratorhandbuch 9 Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort ein. 10 Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen. 11 Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge ein. Dieser Text wird dem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbHH_MM_SS_TagTTMonJJJJ. 12 Geben Sie zum Sichern der Sicherungsdatei eine [Pass Phrase] ein. 13 Wählen Sie im Dropdown-Menü [Transfer Protocol] entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus. 14 Klicken Sie auf [Backup] . Nach Abschluss der Sicherung wird diese in einer Tabelle unterhalb dieses Formulars angezeigt. 15 Klicken Sie auf [Save Settings] , um die Konfiguration zu speichern. Planen einer Sicherung von vShield Manager-Daten Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Backups] . 4 Wählen Sie im Dropdown-Menü [Scheduled Backups] die Option [On] . 5 Wählen Sie im Dropdown-Menü [Backup Frequency] die Option [Hourly] , [Daily] oder [Weekly] . Je nach ausgewählter Häufigkeit werden die Dropdown-Menüs [Day of Week] , [Hour of Day] und [Minute] deaktiviert. Wenn Sie beispielsweise [Daily] auswählen, wird das Dropdown-Menü [Day of Week] deaktiviert, da dieses Feld bei einer täglichen Sicherung nicht zum Tragen kommt. 44 6 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events] , wenn Sie die Systemereignistabellen nicht sichern möchten. 7 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Log] , wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten. 8 Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert wird. 9 (Optional) Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein. 10 Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem ein. 11 Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort ein. 12 Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen. VMware, Inc. Kapitel 6 Sichern von vShield Manager-Daten 13 Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge ein. Dieser Text wird jedem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbHH_MM_SS_TagTTMonJJJJ. 14 Wählen Sie im Dropdown-Menü [Transfer Protocol] basierend auf der Unterstützung durch das Zielsystem entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus. 15 Klicken Sie auf [Save Settings] . Wiederherstellen einer Sicherung Sie können eine Sicherung nur auf einer neu bereitgestellten vShield Manager-Appliance wiederherstellen. Zum Wiederherstellen einer verfügbaren Sicherung müssen die Felder [Host IP Address] , [User Name] , [Password] und [Backup Directory] auf dem Bildschirm [Backups] über Werte verfügen, die den Speicherort der wiederherzustellenden Sicherung angeben. Wenn die Sicherungsdatei Systemereignisse und Überwachungsprotokolldaten enthält, werden diese Daten ebenfalls wiederhergestellt. WICHTIG Sichern Sie Ihre aktuellen Daten, bevor Sie eine Sicherungsdatei wiederherstellen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Backups] . 4 Klicken Sie auf [View Backups] , um alle verfügbaren Sicherungen anzuzeigen, die auf dem Sicherungsserver gespeichert wurden. 5 Aktivieren Sie das Kontrollkästchen für die Sicherung, die Sie wiederherstellen möchten. 6 Klicken Sie auf [Restore] . 7 Klicken Sie zur Bestätigung auf [OK] . VMware, Inc. 45 vShield-Administratorhandbuch 46 VMware, Inc. 7 Systemereignisse und Überwachungsprotokolle Systemereignisse sind Ereignisse, die sich auf den Betrieb von vShield beziehen. Sie werden generiert, um Detailinformationen zu Ereignissen bereitzustellen, die während des Betriebs auftreten – beispielsweise ein Neustart von vShield App oder eine Kommunikationsunterbrechung zwischen vShield App und vShield Manager. Ereignisse können sich auf den allgemeinen Betrieb (Informational) oder auf einen kritischen Fehler (Critical) beziehen. Dieses Kapitel behandelt die folgenden Themen: n „Anzeigen des Systemereignisberichts“, auf Seite 47 n „Ereignisse für virtuelle vShield Manager-Appliance“, auf Seite 47 n „vShield App-Ereignisse“, auf Seite 48 n „Grundlegendes zum Syslog-Format“, auf Seite 49 n „Anzeigen des Überwachungsprotokolls“, auf Seite 49 Anzeigen des Systemereignisberichts Der vShield Manager sammelt Systemereignisse in einem Bericht. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [System Events] . 3 Um die Ereignisse zu sortieren, klicken Sie auf oder neben der entsprechenden Spaltenüberschrift auf . Ereignisse für virtuelle vShield Manager-Appliance Die folgenden Ereignisse sind spezifisch für die virtuelle vShield Manager-Appliance. Tabelle 7‑1. Ereignisse für virtuelle vShield Manager-Appliance Ausschalten Einschalten Schnittstelle nicht verfügbar Schnittstelle verfügbar Lokale CLI Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. GUI – – – – VMware, Inc. 47 vShield-Administratorhandbuch Tabelle 7‑2. Ereignisse für virtuelle vShield Manager-Appliance CPU Arbeitsspeicher Speicher Lokale CLI Führen Sie den Befehl show process monitor aus. Führen Sie den Befehl show system memory aus. Führen Sie den Befehl show filesystem aus. GUI – – – vShield App-Ereignisse Die folgenden Ereignisse sind spezifisch für die virtuellen vShield App-Appliances. Tabelle 7‑3. vShield App-Ereignisse Schnittstelle nicht verfügbar Schnittstelle verfügbar Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. – Siehe „Grundlegendes zum Syslog-Format“, auf Seite 49. e1000: mgmt: e1000_watchdog_task: NIC Link is Up/Down 100 Mbps Full Duplex. Für ein Skripting auf dem SyslogServer suchen Sie nach NIC Link is. e1000: mgmt: e1000_watchdog_task: NIC Link is Up/Down 100 Mbps Full Duplex. Für ein Skripting auf dem Syslog-Server suchen Sie nach NIC Link is. Fehler vom Typ „Heartbeat failure“ im Systemereignisprotokoll. Siehe „Anzeigen des Systemereignisberichts“, auf Seite 47. Siehe „Anzeigen des aktuellen Systemstatus einer vShield App“, auf Seite 164. Siehe „Anzeigen des aktuellen Systemstatus einer vShield App“, auf Seite 164. Siehe „Anzeigen des aktuellen Systemstatus einer vShield App“, auf Seite 164. Ausschalten Einschalten Lokale CLI Führen Sie den Befehl show log follow aus. Syslog GUI Tabelle 7‑4. vShield App –Appliance-Statusereignisse CPU Arbeitsspeicher Speicher Lokale CLI Führen Sie den Befehl show process monitor aus. Führen Sie den Befehl show system memory aus. Führen Sie den Befehl show filesystem aus. Führen Sie den Befehl show log follow aus. Syslog – – Siehe „Grundlegendes zum Syslog-Format“, auf Seite 49. GUI 1 2 Wählen Sie im Bestandslistenbereich von vShield Manager den Host aus, auf dem vShield App installiert ist. Klicken Sie unter [Service Virtual Machines] auf neben der virtuellen vShield AppMaschine. 48 Zurücksetzung der Sitzung aufgrund von DoS, Inaktivität oder Daten-Timeouts 1 2 Wählen Sie im Bestandslistenbereich von vShield Manager den Host aus, auf dem vShield App installiert ist. Klicken Sie unter [Service Virtual Machines] auf neben der virtuellen vShield AppMaschine. 1 2 Wählen Sie im Bestandslistenbereich von vShield Manager den Host aus, auf dem vShield App installiert ist. Klicken Sie unter [Service Virtual Machines] auf neben der virtuellen vShield AppMaschine. 1 2 Wählen Sie im Bestandslistenbereich von vShield Manager den Host aus, auf dem vShield App installiert ist. Klicken Sie unter [Service Virtual Machines] auf neben der virtuellen vShield App-Maschine. VMware, Inc. Kapitel 7 Systemereignisse und Überwachungsprotokolle Grundlegendes zum Syslog-Format Gilt dies genau so für SPOCK? Im Syslog-Protokoll aufgezeichnete Systemereignisse weisen das folgende Format auf. syslog header (timestamp + hostname + sysmgr/) Timestamp (from the service) Name/value pairs Name and value separated by delimiter '::' (double colons) Each name/value pair separated by delimiter ';;' (double semi-colons) Die Felder und Typen des Systemereignisses enthalten die folgenden Informationen. Event ID :: 32 bit unsigned integer Timestamp :: 32 bit unsigned integer Application Name :: string Application Submodule :: string Application Profile :: string Event Code :: integer (possible values: 10007 10016 10043 20019) Severity :: string (possible values: INFORMATION LOW MEDIUM HIGH CRITICAL) Message :: Anzeigen des Überwachungsprotokolls Auf der Registerkarte [Audit Logs] wird eine Ansicht der von allen vShield Manager-Benutzern durchgeführten Aktionen bereitgestellt. vShield Manager speichert Überwachungsprotokolldaten für ein Jahr, anschließend werden die Daten verworfen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Audit Logs] . 3 Klicken Sie auf den Text in der Spalte [Operation] , um die Details des Überwachungsprotokolls anzuzeigen. Sobald Details des Überwachungsprotokolls zur Verfügung stehen, ist der Text in der Spalte [Operation] anklickbar. 4 Wählen Sie in [Audit Log Change Details] den Eintrag [Changed Rows] , wenn nur Eigenschaften angezeigt werden sollen, deren Werte sich geändert haben, nachdem der Vorgang durchgeführt wurde. VMware, Inc. 49 vShield-Administratorhandbuch 50 VMware, Inc. Verwalten von virtuellen VXLANLeitungen 8 Bei großen Cloud-Bereitstellungen müssen Anwendungen innerhalb von virtuellen Netzwerken möglicherweise logisch isoliert werden. Eine 3-Tier-Anwendung kann beispielsweise mehrere virtuellen Maschinen haben, die logisch isolierte Netzwerke zwischen den virtuellen Maschinen erfordern. Herkömmliche Netzwerkisolierungstechniken, wie z. B. VLAN (4096 LAN-Segmente über einen 12-Bit-VLAN-Bezeichner), stellen möglicherweise nicht genügend Segmente für solche Bereitstellungen zur Verfügung. Darüber hinaus sind VLAN-basierte Netzwerke am physischen Fabric gebunden und ihre Mobilität ist eingeschränkt. Die virtuelle VXLAN-Leitung von vShield ist ein skalierbares, flaches Layer 2-Netzwerksegment. Diese Funktion bietet Ihnen Netzwerkagilität, indem sie es Ihnen ermöglicht, eine Anwendung auf jedem verfügbaren Cluster bereitzustellen und virtuelle Maschinen im breiteren Rahmen verschieben zu können. Die zugrunde liegende Technologie, als Virtual eXtensible LAN (oder VXLAN) bezeichnet, definiert einen 24-BitLAN-Segmentbezeichner, um Segmentierungen im Ausmaß einer Cloud-Bereitstellung zu bieten. Mithilfe virtueller VXLAN-Leitungen können Sie Ihre Cloud-Bereitstellungen mit wiederholbaren Pods in unterschiedlichen Subnetzen vergrößern. Das Platzieren von virtuellen Maschinen über verschiedene Cluster hinweg hilft Ihnen, Ihre Netzwerkressourcen voll auszunutzen, ohne dass Sie Kabel neu verlegen müssen. Folglich bieten virtuelle VXLAN-Leitungen Isolierungen auf Anwendungsebene. Abbildung 8‑1. Virtuelle VXLAN-Leitungen - Überblick Virtuelles Netzwerk VM VM VM Virtuelle Leitung VM VM VXLAN Distributed Switches Sie müssen einen Sicherheitsadministrator sein, um virtuelle VXLAN-Leitungen erstellen zu können. Dieses Kapitel behandelt die folgenden Themen: n „Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen“, auf Seite 52 n „Erstellen einer virtuellen VXLAN-Leitung“, auf Seite 53 VMware, Inc. 51 vShield-Administratorhandbuch n „Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung“, auf Seite 56 n „Testen der Konnektivität einer virtuellen VXLAN-Leitung“, auf Seite 56 n „Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung“, auf Seite 58 n „Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen“, auf Seite 58 n „Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung“, auf Seite 58 n „Bearbeiten von Netzwerkbereichen“, auf Seite 58 n „Bearbeiten einer virtuellen VXLAN-Leitung“, auf Seite 60 n „Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen“, auf Seite 60 Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen Sie müssen Ihr Netzwerk für virtuelle VXLAN-Leitungen vorbereiten, indem Sie ein Transport-VLAN angeben und IP-Multicast aktivieren. Diese vorbereitenden Schritte müssen nur einmal durchgeführt werden. Anschließend können Sie mehrere virtuelle VXLAN-Leitungen erstellen. Voraussetzungen Gehen Sie die folgende Checkliste durch, um das Erstellen von virtuellen VXLAN-Leitungen in Ihrem Netzwerk vorzubereiten: n Stellen Sie sicher, dass Sie über folgende Softwareversionen verfügen: n VMware vCenter Server 5.1 oder höher n VMware ESX 5.1 oder höher auf jedem Server n vSphere Distributed Switch 5.1 oder höher n Für die MTU der physischen Infrastruktur müssen mindestens 50 Bytes mehr als für die MTU der vNIC der virtuellen Maschine angegeben werden n Sie erhalten den Multicast-Adressbereich von Ihrem Netzwerkadministrator und dem Segment-ID-Pool n Legen Sie in den „vCenter Server Runtime Settings“ die verwaltete IP-Adresse für jeden vCenter Server fest. Weitere Informationen hierzu finden Sie in der Dokumentation „vCenter Server und Hostverwaltung“. n Vergewissern Sie sich, dass DHCP auf VXLAN-Transport-VLANs verfügbar ist n „5-Tuple Hash Distribution“ muss für das LACP (Link Aggregation Control Protocol) aktiviert werden Zuordnen von Clustern mit Distributed Switches Sie müssen jeden Cluster, der Teil eines virtualisierten Netzwerks werden soll, einem vDS zuordnen. Wenn Sie einem Switch einen Cluster zuordnen, wird jeder Host in diesem Cluster für virtuelle VXLAN-Leitungen aktiviert. Voraussetzungen Es wird empfohlen, einen konsistenten Switch-Typ (Anbieter usw.) und eine konsistente Version über einen Netzwerkbereich hinweg zu verwenden. Inkonsistente Switch-Typen können ein nicht definiertes Verhalten in Ihrer virtuellen VXLAN-Leitung verursachen. Vorgehensweise 52 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. VMware, Inc. Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden. 5 Klicken Sie unter „Connectivity“ auf [Edit.] Das Dialogfeld [Prepare Infrastructure for VXLAN networking] wird angezeigt. 6 Wählen Sie die Cluster aus, die in das virtuelle Netzwerk aufgenommen werden sollen. 7 Geben Sie für jeden ausgewählten Cluster das VLAN ein, das für den VXLAN-Transport verwendet wird. Informationen über das Abrufen der VLAN-ID des VXLAN-VLAN finden Sie in der Dokumentation zum vSphere-Netzwerk. 8 Klicken Sie auf [Weiter] . 9 Geben Sie unter „Specify Transport Attributes“ für jeden virtuellen Distributed Switch die MTU (Maximum Transmission Units) ein. Unter MTU versteht man die maximale Menge der Daten, die in einem Paket übertragen werden kann, bevor es in kleinere Pakete aufgeteilt wird. VXLAN-Datenverkehrs-Frames sind aufgrund der Verkapselung etwas größer, sodass die MTU für jeden Switch auf mindestens 1550 festgelegt werden muss. 10 Klicken Sie auf [Beenden] . Sie haben jetzt Ihre Rechenressourcen in einem Pool zusammengefasst und können nunmehr bei Bedarf virtuelle VXLAN-Leitungen erstellen. Zuweisen des Segment-ID-Pools und des Multicast-Adressbereichs zu vShield Manager Sie müssen einen Segment-ID-Pool angeben, um Ihren Netzwerkdatenverkehr zu isolieren, und einen Multicast-Adressbereich, um den Datenverkehr im Netzwerk zu verteilen, um zu verhindern, dass eine einzelne Multicast-Adresse überladen wird. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden. 5 Klicken Sie auf die Registerkarte [Segment ID] . 6 Klicken Sie auf [Bearbeiten] . Das Dialogfeld „Edit Settings“ wird geöffnet. 7 Geben Sie einen Bereich für Segment-IDs ein. Beispiel: 5000-5200. 8 Geben Sie einen Adressbereich ein. Beispiel: 224.1.1.50-224.1.1.60. 9 Klicken Sie auf [OK] . Erstellen einer virtuellen VXLAN-Leitung Voraussetzungen Ihr Netzwerk ist jetzt für das Hinzufügen von virtuellen VXLAN-Leitungen vorbereitet. VMware, Inc. 53 vShield-Administratorhandbuch Hinzufügen eines Netzwerkbereichs Bei einem Netzwerkbereich handelt es sich um den Computing-Wirkungsbereich, der von Ihrem virtualisierten Netzwerk überbrückt wird und möglicherweise mehrere virtuelle VXLAN-Leitungen enthält. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Network Scopes] . 5 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add Network Scope“ wird angezeigt. 6 Geben Sie einen Namen für den Netzwerkbereich ein. 7 Geben Sie eine Beschreibung für den Netzwerkbereich ein. 8 Wählen Sie die Cluster aus, die Sie dem Netzwerkbereich hinzufügen möchten. 9 Klicken Sie auf [OK] . Hinzufügen einer virtuellen VXLAN-Leitung Nachdem Sie das VXLAN-Fabric vorbereitet haben, können Sie eine virtuelle VXLAN-Leitung hinzufügen. Eine virtuelle VXLAN-Leitung sorgt für die erforderliche Netzwerkabstraktion, sodass die vNICs einer virtuellen Maschine stets eine virtuelle VXLAN-Leitung für die Konnektivität zur Außenwelt verwenden. Voraussetzungen 1 Ihr Netzwerk ist jetzt für das Hinzufügen von virtuellen VXLAN-Leitungen vorbereitet. 2 Sie haben einen Netzwerkbereich hinzugefügt. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Networks] . 5 Klicken Sie auf das Symbol [Add] . 6 Geben Sie einen Namen für die virtuelle VXLAN-Leitung ein. 7 Geben Sie eine Beschreibung für die virtuelle VXLAN-Leitung ein. 8 Wählen Sie den Netzwerkbereich aus, in dem Sie das virtualisierte Netzwerk erstellen möchten. Im Bereich „Scope Details“ werden die Cluster, die Teil des ausgewählten Netzwerkbereichs sind, und die Dienste, die in dem Netzwerkbereich zu Bereitstellung zur Verfügung stehen, angezeigt. 9 Klicken Sie auf [OK] . Weiter Klicken Sie in der Spalte „Name“ auf die virtuelle VXLAN-Leitung, um Details zur virtuellen Leitung anzuzeigen. 54 VMware, Inc. Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen Verbinden einer virtuellen VXLAN-Leitung mit vShield Edge Durch das Verbinden einer virtuellen VXLAN-Leitung mit einer vShield Edge-Schnittstelle wird die virtuelle VXLAN-Leitung isoliert und die Netzwerk-Edge-Sicherheit erhöht. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Networks] . 5 Wählen Sie die virtuelle VXLAN-Leitung aus, mit der Sie vShield Edge verbinden möchten. 6 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Connect to Edge] . 7 Wählen Sie die vShield Edge-Instanz aus, mit der Sie die virtuelle VXLAN-Leitung verbinden möchten. 8 Klicken Sie auf [Auswählen] . 9 Klicken Sie im Dialogfeld „Redirect to Selected Edge“ auf [Continue] . 10 Geben Sie im Dialogfeld „Edit Edge Interface“ einen Namen für die vShield Edge-Schnittstelle ein. 11 Wählen Sie [Internal] bzw. [Uplink] , um anzugeben, ob es sich um eine interne oder eine UplinkSchnittstelle handelt. Eine virtuelle VXLAN-Leitung wird in der Regel mit einer internen Schnittstelle verbunden. 12 Der Name der virtuelle VXLAN-Leitung wird im Bereich [Connected To] angezeigt. 13 Wählen Sie den Konnektivitätsstatus für die Schnittstelle aus. 14 Wenn bei der vShield Edge-Instanz, mit der Sie die virtuelle VXLAN-Leitung verbinden, „Manual HA Configuration“ ausgewählt ist, geben Sie zwei Verwaltungs-IP-Adressen im CIDR-Format ein. 15 Bearbeiten Sie die standardmäßige MTU, falls erforderlich. 16 Klicken Sie auf [OK] . Bereitstellen von Diensten auf einer virtuellen VXLAN-Leitung Sie können Dienste von Drittanbietern auf einer virtuellen VXLAN-Leitung bereitstellen. Voraussetzungen Informationen zum Hinzufügen von Diensten zu vShield Manager finden Sie unter „Einfügen von Netzwerkdiensten“, auf Seite 157. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Networks] . 5 Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, auf der Sie Dienste bereitstellen möchten. 6 Klicken Sie im Bereich [Available Services] auf [Enable Services] . VMware, Inc. 55 vShield-Administratorhandbuch 7 Wählen Sie im Dialogfeld „Apply Service Profile to this Network“ den Dienst und das Dienstprofil aus, die Sie anwenden möchten. 8 Klicken Sie auf [Übernehmen] . Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung Sie können virtuelle Maschinen mit einer virtuellen VXLAN-Leitung verbinden. Dadurch ist es einfacher, in Ihrer vCenter-Bestandsliste die Portgruppen zu identifizieren, die zu einer virtuellen Leitung gehören. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Networks] . 5 Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie bearbeiten möchten. 6 Klicken Sie auf die Registerkarte [Virtuelle Maschinen (Virtual Machines)] . 7 8 Klicken Sie auf das Symbol [Add] ( ). Geben Sie im Feld „Search“ des Dialogfelds „Connect VNics to this Network“ den Namen der virtuellen Maschine ein und klicken Sie auf . Es werden alle vNICs für die virtuelle Maschine angezeigt. 9 Wählen Sie die vNICs aus, die Sie verbinden möchten. 10 Klicken Sie auf [Weiter] . 11 Überprüfen Sie die von Ihnen ausgewählten vNICs. 12 Klicken Sie auf [Beenden] . Testen der Konnektivität einer virtuellen VXLAN-Leitung Sie können auf einer virtuellen VXLAN-Leitung einen Ping-oder Broadcast-Test durchführen, um die Konnektivität und die physische Leitungsinfrastruktur für VXLAN zu überprüfen. Durchführen des Ping-Tests Sie können einem Zielhost von einem Quellhost aus einen Ping-Befehl senden, bevor Sie ein Unicast-Paket senden. 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Networks] . 5 Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie testen möchten. 6 Klicken Sie auf die Registerkarte [Hosts] . 7 Markieren Sie einen Host. 8 56 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Test Connectivity] . VMware, Inc. Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen Das Dialogfeld „Test Connectivity Between Hosts in the Network“ wird geöffnet. Der in Schritt 7 ausgewählte Host wird im Feld „Source Host“ angezeigt. Klicken Sie auf [Browse] , wenn Sie einen anderen Quellhost auswählen möchten. 9 Wählen Sie die Größe des Testpakets. Die Standardgröße bei VXLAN beträgt 1550 Bytes ohne Fragmentierung (sollte mit den MTU der physischen Infrastruktur übereinstimmen). Dies ermöglicht vShield, die Konnektivität zu überprüfen und sicherzustellen, dass die Infrastruktur für den VXLAN-Verkehr vorbereitet ist. Eine minimale Paketgröße führt zu Fragmentierung. Demzufolge kann vShield nur die Konnektivität prüfen, jedoch nicht, ob die Infrastruktur für größere Rahmengrößen eingerichtet ist. 10 Klicken Sie im Fenster [Destination] auf [Browse Hosts] . 11 Wählen Sie im Dialogfeld „Select Host“ den Zielhost aus. 12 Klicken Sie auf [Auswählen] . 13 Klicken Sie auf [Start Test] . Die Ergebnisse des Host-to-Host-Ping-Tests werden angezeigt. Durchführen des Broadcast-Tests Sie können einen Broadcast-Test durchführen, um MAC-Adressen aufzulösen. Ein einzelner Host sendet eine Broadcast-Nachricht an alle anderen Geräte in dem Netzwerksegment. 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Networks] . 5 Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, die Sie testen möchten. 6 Klicken Sie auf die Registerkarte [Hosts] . 7 Markieren Sie einen Host. 8 9 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Test Connectivity] . Klicken Sie im Dialogfeld „Test Connectivity Between Hosts in the Network“ auf [Broadcast] . Der in Schritt 7 ausgewählte Host wird im Feld „Source Host“ angezeigt. Klicken Sie auf [Browse] , wenn Sie einen anderen Quellhost auswählen möchten. 10 Wählen Sie die Größe des Testpakets. Die Standardgröße bei VXLAN beträgt 1550 Bytes ohne Fragmentierung (sollte mit den MTU der physischen Infrastruktur übereinstimmen). Dies ermöglicht vShield, die Konnektivität zu überprüfen und sicherzustellen, dass die Infrastruktur für den VXLAN-Verkehr vorbereitet ist. Eine minimale Paketgröße führt zu Fragmentierung. Demzufolge kann vShield die Konnektivität der Infrastruktur prüfen, jedoch nicht, ob die Infrastruktur für größere Rahmengrößen eingerichtet ist. 11 Klicken Sie auf [Start Test] . Die Ergebnisse des Broadcast-Tests werden angezeigt. VMware, Inc. 57 vShield-Administratorhandbuch Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung Flow Monitoring ist ein Tool zur Datenverkehrsanalyse, das Ihnen detaillierte Informationen zum Datenverkehr auf Ihrer virtuellen VXLAN-Leitung liefert, der eine vShield App-Instanz durchläuft. Die Flow Monitoring-Ausgabe zeigt, welche Maschinen Daten über welche Anwendung austauschen. Diese Daten umfassen die Anzahl von Sitzungen und Paketen sowie die Bytes, die pro Sitzung übertragen werden. Die Sitzungsdetails umfassen die Quellen, Ziele, Sitzungsrichtungen und Anwendungen sowie die verwendeten Ports. Anhand der Sitzungsdetails können Firewallregeln für das Zulassen oder Blockieren von Datenverkehr erstellt werden. Sie können Flow Monitoring als forensisches Tool zum Ermitteln von nicht autorisierten Diensten sowie zum Untersuchen ausgehender Sitzungen nutzen. Flow Monitoring-Daten stehen für zwei Wochen zur Verfügung. Flow Monitoring-Daten sind nur dann verfügbar, wenn Sie auf den Hosts in den Clustern mit virtuellen VXLAN-Leitungen vShield App installiert haben. Weitere Informationen finden Sie unter Kapitel 12, „vShield App Flow Monitoring“, auf Seite 167. Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen vShield App bietet Firewall-Schutz für Ihre virtuellen VXLAN-Leitungen, indem Zugriffsrichtlinien erzwungen werden. Weitere Informationen finden Sie unter Kapitel 13, „vShield App Firewall-Management“, auf Seite 175. Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung Nach der Synchronisierung mit vCenter Server erfasst vShield Manager auf jeder virtuellen Maschine die IP-Adressen aller virtuellen vCenter-Gastmaschinen von VMware Tools. vShield vertraut nicht allen IP-Adressen, die von VMware Tools auf einer virtuellen Maschine bereitgestellt wurden. Wenn die Sicherheit einer virtuellen Maschine gefährdet wurde, kann die IP-Adresse manipuliert worden sein. Demzufolge könnten Übertragungen mit böswilligen Absichten Firewallrichtlinien umgehen. SpoofGuard ermöglicht die Autorisierung der von den VMware Tools gemeldeten IP-Adressen und bei Bedarf deren Änderung, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden. SpoofGuard wird getrennt von den App Firewall-Regeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde. Weitere Informationen finden Sie unter „Verwenden von SpoofGuard“, auf Seite 183. Bearbeiten von Netzwerkbereichen Sie können einen Netzwerkbereich bearbeiten, erweitern oder verkleinern. Anzeigen und Bearbeiten eines Netzwerkbereichs Sie können die virtuellen VXLAN-Leitungen und die Cluster in einem ausgewählten Netzwerkbereich sowie die für den Netzwerkbereich verfügbaren Dienste anzeigen. Vorgehensweise 58 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . VMware, Inc. Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen 4 Klicken Sie auf die Registerkarte [Network Scope] . Alle Netzwerkbereiche für das ausgewählte Datencenter werden angezeigt. 5 Klicken Sie in der Spalte [Name] auf einen Netzwerkbereich. Auf der Registerkarte „Summary“ werden folgende Informationen angezeigt. Klicken Sie im entsprechenden Abschnitt auf [Edit] , wenn Sie Änderungen vornehmen möchten. n Der Abschnitt „Properties“ enthält den Namen und die Beschreibung des Netzwerkbereichs sowie die Anzahl der auf diesem Netzwerkbereich basierenden virtuellen VXLAN-Leitungen. n Der Abschnitt „Network Scope“ führt die Cluster in dem Netzwerkbereich auf und informiert darüber, ob diese für ein virtualisiertes Netzwerk bereit sind (ob sie einem vDS zugeordnet wurden). n Der Abschnitt „Available Services“ enthält die für den Netzwerkbereich verfügbaren Dienste. Erweitern eines Netzwerkbereichs Sie können Cluster zu einem Netzwerkbereich hinzufügen. Dadurch werden alle vorhandenen virtuellen VXLAN-Leitungen gestreckt, sodass sie den neu hinzugefügten Clustern zur Verfügung stehen. Voraussetzungen Die Cluster, die Sie einem Netzwerkbereich hinzufügen, müssen vorbereitet werden. Siehe „Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen“, auf Seite 52. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Network Scope] . Alle Netzwerkbereiche für das ausgewählte Datencenter werden angezeigt. 5 Klicken Sie in der Spalte [Name] auf einen Netzwerkbereich. 6 Klicken Sie unter [Scope Details] auf [Expand] . Das Dialogfeld „Add Clusters to a Network Scope (Expand)“ wird geöffnet. 7 Wählen Sie die Cluster aus, die Sie dem Netzwerkbereich hinzufügen möchten. 8 Klicken Sie auf [OK] . Verkleinern eines Netzwerkbereichs Sie können Cluster aus einem Netzwerkbereich entfernen. Vorhandene virtuelle VXLAN-Leitungen können verkürzt werden, um den kontrahierten Bereich aufzunehmen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Network Scope] . Alle Netzwerkbereiche für das ausgewählte Datencenter werden angezeigt. 5 VMware, Inc. Klicken Sie in der Spalte [Name] auf einen Netzwerkbereich. 59 vShield-Administratorhandbuch 6 Klicken Sie unter [Scope Details] auf [Contract] . Das Dialogfeld „Remove Clusters from a Network Scope (Contract)“ wird geöffnet. 7 Wählen Sie die Cluster aus, die Sie aus dem Netzwerkbereich entfernen möchten. 8 Klicken Sie auf [OK] . Bearbeiten einer virtuellen VXLAN-Leitung Sie können den Namen und die Beschreibung einer virtuellen VXLAN-Leitung bearbeiten. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Networks] . 5 Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie bearbeiten möchten. 6 Klicken Sie auf [Bearbeiten] . 7 Nehmen Sie die gewünschten Änderungen vor. 8 Klicken Sie auf [OK] . Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen Dieses Szenario stellt eine Situation dar, in der das Unternehmen ACME Enterprise im ACME-Datencenter über zwei Cluster mit mehreren ESX-Hosts verfügt. Die Engineering-Abteilung (mit der Portgruppe „PGEngineering“) sowie die Finance-Abteilung (mit der Portgruppe „PG-Finance“) befinden sich auf Cluster1. Die Marketing-Abteilung (PG-Marketing) verwendet Cluster2. Beide Cluster werden von einem einzelnen vCenter Server 5.1 verwaltet. Abbildung 8‑2. Netzwerk von ACME Enterprise vor der Implementierung virtueller VXLAN-Leitungen Cluster 2 Cluster 1 VM VM VM VM PGEngineering VM VM PGFinance vDS1 Physischer Switch VM PGMarketing vDS2 Physischer Switch Engineering: VLAN10:10.10.1.0/24 Finanz: VLAN20:10.20.1.0/24 Marketing: VLAN30:10.30.1.0/24 60 VMware, Inc. Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen ACME verfügt auf Cluster1 über unzureichende Rechenressourcen, während Cluster2 nicht ausgelastet ist. Der Netzwerk-Supervisor von ACME bittet Peter Admin (Virtualisierungsadministrator bei ACME) zu ermitteln, wie eine Nutzung der Cluster2-Maschinen durch die Engineering-Abteilung aussehen könnte, bei der die virtuellen Maschinen der Engineering-Abteilung auf beiden Clustern miteinander kommunizieren. Dies würde es ACME ermöglichen, durch Ausdehnen der L2-Schicht die Rechenkapazität beider Cluster zu nutzen. Wenn Peter Admin diese Aufgabenstellung auf eine herkömmliche Weise lösen würde, müsste er die beiden VLANs auf eine besondere Weise verbinden, um beiden Clustern die Zugehörigkeit zur selben L2-Domäne zu ermöglichen. Das würde bedeuten, dass ACME ein neues physisches Gerät für die Trennung des Datenverkehrs anschaffen müsste, und es würde Probleme wie VLAN-Sprawl, Netzwerk-Loops sowie einen Mehraufwand bei Administrations- und Management-Aufgaben nach sich ziehen. Peter Admin erinnert sich an die Demo zu virtuellen VXLAN-Leitungen, die er auf der VMworld 2011 gesehen hat, und beschließt, vShield Version 5.1 zu testen. Er kommt zu dem Schluss, dass ihm der Aufbau einer virtuellen VXLAN-Leitung zwischen dvSwitch1 und dvSwitch2 ermöglichen wird, die L2-Schicht bei ACME auszuweiten. Abbildung 8‑3. ACME Enterprise implementiert eine virtuelle VXLAN-Leitung Cluster 2 Cluster 1 Virtuelle Leitung erstreckt sich über mehrere VLANs/Subnetze VM VM VM VM PGEngineering VM VM PGFinance vDS1 Physischer Switch VM VM VM VM VM VM PGEngineering PGMarketing vDS2 Physischer Switch Engineering: VXLAN5000:10.10.1.0/24 Finanz: VXLAN5001:10.20.1.0/24 Marketing: VXLAN5002:10.30.1.0/24 Nachdem Peter Admin die virtuelle VXLAN-Leitung zwischen den beiden Clustern eingerichtet hat, kann er die virtuellen Maschinen mithilfe von vMotion über die vDSes verschieben. VMware, Inc. 61 vShield-Administratorhandbuch Abbildung 8‑4. vMotion über eine virtuelle VXLAN-Leitung vMotion-Bereich VM VM VM VM PGEngineering vMotion-Bereich VM VM PGFinance VM VM VM VM VM PGEngineering PGMarketing vDS1 VM vDS2 Engineering: VXLAN5000:10.10.1.0/24 Finanz: VXLAN5001:10.20.1.0/24 Marketing: VXLAN5002:10.30.1.0/24 Lassen Sie uns nachvollziehen, welche Schritte Peter Admin durchführen muss, um bei ACME Enterprise eine virtuelle VXLAN-Leitung aufbauen. Peter Admin ordnet Distributed Switches einem Cluster zu Peter Admin muss jeden Cluster, der Teil eines virtualisierten Netzwerks werden soll, einem vDS zuordnen. Wenn er einem Switch einen Cluster zuordnet, wird jeder Host in diesem Cluster für die Verwendung virtueller VXLAN-Leitungen befähigt. Voraussetzungen 1 Peter Admin erhält vom Administrator für vShield Manager bei ACME einen Segment-ID-Pool (4097 5010). Vom Netzwerkadministrator bei ACME erhält er einen Multicast-Adressbereich (224.0.0.0 bis 239.255.255.255). 2 Peter Admin legt die verwaltete IP-Adresse für vCenter Server fest. a Auswählen [Administration] > [vCenter Server Settings] > [Runtime Settings] . b In Geben Sie in das Feld „vCenter Server Managed IP“ 10.115.198.165 ein. c Klicken Sie auf [OK] . 3 Peter Admin stellt sicher, dass in den für den VXLAN-Transport verwendeten VLANs ein DHCP-Server verfügbar ist. 4 Peter Admin verifiziert, dass dvSwitch1 und dvSwitch2 über dieselbe Version verfügen und vom selben Anbieter stammen. Vorgehensweise 62 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich „ACME-Datencenter“ aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden. 5 Klicken Sie unter „Connectivity“ auf [Edit] . VMware, Inc. Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen 6 Wählen Sie im Dialogfeld „Prepare Infrastructure for VXLAN Networking“ die Option „Cluster1“ für den Anschluss an die virtuelle VXLAN-Leitung aus. 7 Geben Sie 10 für das ACME-VXLAN-Transport-VLAN ein, das von dvSwitch1 verwendet werden soll. 8 Klicken Sie auf [Weiter] . 9 Behalten Sie unter „Specify Transport Attributes“ für dvSwitch1 den Wert „1600“ als „Maximum Transmission Units (MTU)“ bei. Unter MTU versteht man die maximale Menge der Daten, die in einem Paket übertragen werden kann, bevor es in kleinere Pakete aufgeteilt wird. Peter Admin weiß, dass Datenverkehr-Frames bei virtuellen VXLAN-Leitungen aufgrund der Verkapselung etwas größer sind. Demzufolge muss der MTU-Wert für jeden Switch 1550 oder mehr betragen. 10 Wiederholen Sie die Schritte 5 bis 7 und wählen Sie „Cluster2“ für den Anschluss an die virtuelle VXLAN-Leitung aus. 11 Geben Sie für dvSwitch2 in „Specify Transport Attributes“ den Wert 20 ein. 12 Behalten Sie für dvSwitch2 den Wert „1600“ als „Maximum Transmission Units (MTU)“ bei. 13 Klicken Sie auf [Beenden] . Nachdem Peter Admin Cluster1 und Cluster2 den entsprechenden Switches zugeordnet hat, sind die Hosts in diesen Clustern für virtuelle VXLAN-Leitungen vorbereitet: 1 Jedem Host im Cluster1 und Cluster2 wird ein VXLAN-Kernelmodul und eine VMKNIC hinzugefügt. 2 Auf dem der virtuellen VXLAN-Leitung zugeordneten vDS wird eine spezielle dvPortGroup erstellt, mit der die VMKNIC verbunden wird. Peter Admin weist vShield Manager einen Segment-ID-Pool und einen Multicast-Adressbereich zu Peter Admin muss den Segment-ID-Pool angeben, den er für die Isolierung des Netzwerkdatenverkehrs der Firma ABC erhalten hat, sowie den Multicast-Adressbereich für das Verteilen des Datenverkehrs im Netzwerk, um die Überlastung einer einzelnen Multicast-Adresse zu vermeiden. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich „ABC-Datencenter“ aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden. 5 Klicken Sie auf die Registerkarte [Segment ID] . 6 Klicken Sie auf [Bearbeiten] . Das Dialogfeld „Edit Settings“ wird geöffnet. 7 Geben Sie in „Segment ID Pool“ 500-510 ein. 8 Geben Sie unter „Multicast Addresses“ 224.1.1.50-224.1.1.60 ein. 9 Klicken Sie auf [OK] . VMware, Inc. 63 vShield-Administratorhandbuch Peter Admin fügt einen Netzwerkbereich hinzu Das physische Netzwerk, das eine virtuelle VXLAN-Leitung stützt, wird Netzwerkbereich genannt. Bei einem Netzwerkbereich handelt es sich um den von einem virtualisierten Netzwerk umfassten ComputingWirkungsbereich. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich „ABC-Datencenter“ aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Network Scopes] . 5 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add Network Scope“ wird angezeigt. 6 Geben Sie im Feld „Name“ [ACME‐Netzwerkbereich] ein. 7 Geben Sie im Feld „Description“ [Bereich mit ACME‐Clustern] ein. 8 Wählen Sie Cluster1 und Cluster2 aus, um sie dem Netzwerkbereich hinzuzufügen. 9 Klicken Sie auf [OK] . Peter Admin fügt eine virtuelle VXLAN-Leitung hinzu Nachdem Peter Admin das Fabric für eine virtuelle VXLAN-Leitung vorbereitet hat, kann er eine virtuelle VXLAN-Leitung hinzufügen. Eine virtuelle VXLAN-Leitung sorgt für die erforderliche Netzwerkabstraktion, sodass die vNICs einer virtuellen VXLAN-Leitung diese immer für die Verbindung zur Außenwelt verwenden. Voraussetzungen 1 Das ACME-Netzwerk ist jetzt für die Aufnahme virtueller VXLAN-Leitungen vorbereitet. 2 Peter Admin hat einen Netzwerkbereich hinzugefügt. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich „ABC-Datencenter“ aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Networks] . 5 Klicken Sie auf das Symbol [Add] . 6 Geben Sie im Feld „Name“ Virtuelle ACME-Leitung ein. 7 Geben Sie im Feld „Description“ Virtuelle Leitung zur Erweiterung des ACME-Engineering-Netzwerks auf Cluster 2 ein. 8 Wählen Sie unter [Network Scope] „ACME-Netzwerkbereich“ aus. 9 Überprüfen Sie die Details des Netzwerkbereichs. 10 Klicken Sie auf [OK] . vShield generiert eine virtuelle VXLAN-Leitung, die zwischen dvSwitch1 und dvSwitch2 L2-Konnektivität (über VXLANs) bereitstellt. 64 VMware, Inc. Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen Weiter Peter Admin kann nun die bei ACME für die Produktion verwendeten virtuellen Maschinen mit der virtuellen VXLAN-Leitung verbinden und diese an eine vShield Edge anschließen. VMware, Inc. 65 vShield-Administratorhandbuch 66 VMware, Inc. vShield Edge-Management 9 vShield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Ma® schinen in einer Portgruppe, vDS-Portgruppe oder einem Cisco Nexus 1000V-Switch. vShield Edge verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vShield Edge umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vShield Edge Perimeter-Sicherheit für virtuelle Datencenter (VDCs) bietet. Dieses Kapitel behandelt die folgenden Themen: n „Anzeigen des Status einer vShield Edge-Instanz“, auf Seite 68 n „Konfigurieren der vShield Edge-Einstellungen“, auf Seite 68 n „Verwalten von Appliances“, auf Seite 68 n „Arbeiten mit Schnittstellen“, auf Seite 70 n „Arbeiten mit Zertifikaten“, auf Seite 73 n „Verwalten der vShield Edge-Firewall“, auf Seite 76 n „Verwalten von NAT-Regeln“, auf Seite 82 n „Arbeiten mit statischen Routen“, auf Seite 84 n „Verwalten des DHCP-Diensts“, auf Seite 85 n „Verwalten von VPN-Diensten“, auf Seite 88 n „Verwalten des Lastverteilerdiensts“, auf Seite 146 n „Grundlegendes zu High Availability“, auf Seite 151 n „Konfigurieren von DNS-Servern“, auf Seite 152 n „Konfigurieren von Remote-Syslog-Servern“, auf Seite 153 n „Ändern der CLI-Anmeldedaten“, auf Seite 153 n „Durchführen eines Upgrades von vShield Edge auf Large oder X-Large“, auf Seite 154 n „Herunterladen von Tech Support-Protokollen für vShield Edge“, auf Seite 154 n „Synchronisieren von vShield Edge mit vShield Manager“, auf Seite 155 n „Erneutes Bereitstellen von vShield Edge“, auf Seite 155 VMware, Inc. 67 vShield-Administratorhandbuch Anzeigen des Status einer vShield Edge-Instanz Die Statusseite enthält Diagramme für den Datenverkehr, der über die Schnittstellen der ausgewählten vShield Edge-Instanz fließt, sowie Verbindungsstatistiken für die Firewall- und Lastausgleichsdienste. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, deren Status Sie überprüfen möchten. 6 Klicken Sie auf die Registerkarte [Status] . Konfigurieren der vShield Edge-Einstellungen Auf der Seite „Settings“ werden detaillierte Informationen über die ausgewählte vShield Edge-Instanz angezeigt. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Inventory] > [Hosts and Clusters] . 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Klicken Sie auf die Registerkarte [Configure] . 6 Klicken Sie auf den Link [Settings] . Angezeigt werden vShield Edge-Details, für die vShield Edge-Instanz konfigurierte Dienste sowie die HA- und DNS-Konfigurationen. Weiter Sie können die gewünschte Konfiguration ändern, indem Sie auf [Change] klicken. Verwalten von Appliances Sie können Appliances hinzufügen, bearbeiten oder löschen. Eine vShield Edge-Instanz bleibt offline, bis ihr wenigstens eine Appliance hinzugefügt wurde. Hinzufügen einer Appliance Sie müssen mindestens eine Appliance zu vShield Edge hinzufügen, bevor Sie sie bereitstellen können. Vorgehensweise 68 1 Navigieren Sie im vSphere-Client zu [Inventory] > [Hosts and Clusters] . 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . VMware, Inc. Kapitel 9 vShield Edge-Management 5 Klicken Sie auf die Registerkarte [Configure] . 6 Klicken Sie auf den Link [Settings] . 7 Klicken Sie unter [Edge Appliances] auf das [Add] -Symbol ( ). 8 Wählen Sie im Dialogfeld „Add Edge Appliance“ den Cluster oder den Ressourcenpool sowie den Datenspeicher für die Appliance aus. 9 (Optional) Wählen Sie den Host aus, auf dem die Appliance hinzugefügt werden soll. 10 (Optional) Wählen Sie den vCenter-Ordner aus, in dem die Appliance hinzugefügt werden soll. 11 Klicken Sie auf [Hinzufügen] . Ändern einer Appliance Sie können eine vShield Edge-Appliance ändern. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Inventory] > [Hosts and Clusters] . 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Klicken Sie auf die Registerkarte [Configure] . 6 Klicken Sie auf den Link [Settings] . 7 Wählen Sie unter [Edge Appliances] die zu ändernde Appliance aus. 8 Klicken Sie auf das Symbol [Edit] ( ). 9 Nehmen Sie im Dialogfeld „Edit Edge Appliance“ die entsprechenden Änderungen vor. 10 Klicken Sie auf [Save] . Löschen einer Appliance Sie können eine vShield Edge-Appliance löschen. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Inventory] > [Hosts and Clusters] . 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Klicken Sie auf die Registerkarte [Configure] . 6 Klicken Sie auf den Link [Settings] . 7 Wählen Sie unter [Edge Appliances] die zu löschende Appliance aus. 8 VMware, Inc. Klicken Sie auf das Symbol [Delete] ( ). 69 vShield-Administratorhandbuch Arbeiten mit Schnittstellen Sie installieren eine vShield Edge-Instanz auf einem Datencenter und können bis zu zehn interne oder Uplink-Schnittstellen hinzufügen. Eine vShield Edge-Instanz muss über mindestens eine interne Schnittstelle verfügen, bevor sie bereitgestellt werden kann. Hinzufügen einer Schnittstelle Sie können einer virtuellen vShield Edge-Instanz bis zu zehn interne und Uplink-Schnittstellen hinzufügen. Sie müssen mindestens eine interne Schnittstelle hinzufügen, damit HA funktioniert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf den Link [Interfaces] . 8 Klicken Sie auf das Symbol [Add] ( ). 9 Geben Sie im Dialogfeld „Add Edge Interface“ einen Namen für die Schnittstelle ein. 10 Wählen Sie [Internal] bzw. [Uplink] , um anzugeben, ob es sich um eine interne oder eine externe Schnittstelle handelt. 11 Wählen Sie die Portgruppe oder die virtuelle VXLAN-Leitung aus, mit der diese Schnittstelle verbunden werden soll. 12 13 a Klicken Sie auf [Select] neben dem Feld [Connected To] . b Klicken Sie je nachdem, womit die Schnittstelle verbunden werden soll, auf die Registerkarte [Vir‐ tual Wire] , [Standard Portgroup] oder [Distributed Portgroup] . c Wählen Sie die entsprechende virtuelle Leitung oder Portgruppe aus. d Klicken Sie auf [Auswählen] . Wählen Sie den Konnektivitätsstatus für die Schnittstelle aus. Klicken Sie unter [Configure Subnets] auf das Symbol [Add] ( hinzuzufügen. ), um der Schnittstelle ein Subnetz Eine Schnittstelle kann über mehrere nicht überlappende Subnetze verfügen. 14 Klicken Sie unter [Add Subnet] auf das Symbol [Add] ( ), um eine IP-Adresse einzugeben. Wenn Sie mehr als eine IP-Adresse eingeben, können Sie die primäre IP-Adresse auswählen. Eine Schnittstelle kann eine primäre und mehrere sekundäre IP-Adressen haben. vShield Edge betrachtet die primäre IP-Adresse als die Quelladresse für den lokal generierten Datenverkehr. Sie müssen der Schnittstelle zuerst eine IP-Adresse hinzufügen, bevor Sie sie für jede beliebige Funktionskonfiguration verwenden können. 70 15 Geben Sie die Subnetzmaske für die Schnittstelle ein und klicken Sie auf [Save] . 16 Ändern Sie die standardmäßige MTU, falls erforderlich. VMware, Inc. Kapitel 9 vShield Edge-Management 17 Wählen Sie unter [Options] die erforderlichen Optionen aus. Option Beschreibung Enable Proxy ARP Unterstützt das Überlappen der Netzwerkweiterleitung zwischen verschiedenen Schnittstellen. Send ICMP Redirect Leitet Routing-Informationen an Hosts weiter. 18 Geben Sie die Fence-Parameter ein und klicken Sie auf [Add] . 19 Wiederholen Sie die Schritte Schritt 8 bis Schritt 18, um weitere Schnittstellen hinzuzufügen. Ändern von Schnittstelleneinstellungen Sie können die Portgruppe oder die virtuelle Leitung, mit der eine Schnittstelle verbunden ist, ändern und die IP-Adressen der Schnittstelle aktualisieren. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge] . 4 Doppelklicken Sie auf eine vShield Edge-Instanz. 5 Klicken Sie auf die Registerkarte [Configure] . 6 Klicken Sie auf [Interfaces] . 7 Klicken Sie auf das Symbol [Edit] ( ). 8 Nehmen Sie die erforderlichen Änderungen vor. 9 Klicken Sie auf [Save] . Löschen einer Schnittstelle Sie können eine vShield Edge-Schnittstelle löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf den Link [Interfaces] 8 Wählen Sie die zu löschende Schnittstelle. 9 VMware, Inc. Klicken Sie auf das Symbol [Delete] ( ) 71 vShield-Administratorhandbuch Aktivieren einer Schnittstelle Eine Schnittstelle muss aktiviert sein, damit vShield Edge die virtuellen Maschinen innerhalb dieser Schnittstelle (Portgruppe oder virtuelle VXLAN-Leitung) isolieren kann. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf den Link [Interfaces] 8 Wählen Sie die zu aktivierende Schnittstelle aus. 9 Klicken Sie auf das Symbol [Enable] ( ). Deaktivieren einer Schnittstelle Sie können eine Schnittstelle deaktivieren Vorgehensweise 72 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf den Link [Interfaces] 8 Wählen Sie die zu deaktivierende Schnittstelle aus. 9 Klicken Sie auf das Symbol [Disable] . VMware, Inc. Kapitel 9 vShield Edge-Management Arbeiten mit Zertifikaten vShield Edge unterstützt selbstsignierte Zertifikate, von einer Zertifizierungsstelle (CA) signierte Zertifikate und Zertifikate, die von einer Zertifizierungsstelle generiert und signiert wurden. Konfigurieren eines von einer Zertifizierungsstelle signierten Zertifikats Sie können eine Signaturanforderung (CSR) generieren und sie von einer Zertifizierungsstelle signieren lassen. Wenn Sie eine CSR auf globaler Ebene generieren, steht sie allen vShield Edge-Instanzen in Ihrer Bestandsliste zur Verfügung. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. Option Beschreibung So generieren Sie ein globales Zertifikat a So generieren Sie ein Zertifikat für vShield Edge b Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . Klicken Sie auf die Registerkarte [SSL‐Zertifikat] . a b c d e f g Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. Klicken Sie auf die Registerkarte [Network Virtualization] . Klicken Sie auf den Link [Edges] . Doppelklicken Sie auf eine vShield Edge-Instanz. Klicken Sie auf die Registerkarte [Configure] . Klicken Sie auf den Link [Certificates] . Klicken Sie auf [Actions] und wählen Sie [Generate CSR] . 2 Geben Sie den Namen Ihres Unternehmens und der Organisationseinheit ein. 3 Geben Sie Ort, Straße und Land Ihres Unternehmens ein. 4 Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation zwischen den Hosts aus. Beachten Sie, dass SSL VPN-Plus nur RSA-Zertifikate unterstützt. 5 Ändern Sie bei Bedarf die Standardschlüsselgröße. 6 Geben Sie für ein globales Zertifikat eine Beschreibung ein. 7 Klicken Sie auf [Generate] (auf globaler Ebene) bzw. auf [OK] (auf vShield Edge-Ebene). Die Signaturanforderung wird generiert und in der Zertifikatsliste angezeigt. 8 VMware, Inc. Lassen Sie diese CSR von einer Online-Zertifizierungsstelle signieren. 73 vShield-Administratorhandbuch 9 Importieren Sie das signierte Zertifikat. Option Beschreibung So importieren Sie ein signiertes Zertifikat auf globaler Ebene a Klicken Sie auf der Registerkarte „SSL Certificates“ der vShield Mana- b c d ger-Benutzeroberfläche auf neben [Import Signed Certificate] . Klicken Sie auf [Browse] und wählen Sie die CSR-Datei aus. Wählen Sie den Zertifikatstyp aus. Klicken Sie auf [Übernehmen] . So generieren Sie ein Zertifikat für vShield Edge a b c d Kopieren Sie den Inhalt des signierten Zertifikats. Klicken Sie auf der Registerkarte [Certificates] auf [Actions] und wählen Sie [Import Certificate] . Fügen Sie im Dialogfeld „Import CSR“ den Inhalt des signierten Zertifikats ein. Klicken Sie auf [OK] . Das von der Zertifizierungstelle signierte Zertifikat wird in die Liste der Zertifikate aufgenommen. Hinzufügen eines CA-Zertifikats Durch das Hinzufügen eines CA-Zertifikats werden Sie die Interim-Zertifizierungsstelle (CA) für Ihr Unternehmen. Sie sind dann berechtigt, Ihre eigenen Zertifikate zu signieren. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf den Link [Certificates] . 8 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie anschließend [CA Certificate] aus. 9 Kopieren Sie den Zertifikatsinhalt und fügen Sie ihn in das Textfeld „Certificate“ ein. 10 Geben Sie eine Beschreibung für das CA-Zertifikat ein. 11 Klicken Sie auf [OK] . Sie können jetzt Ihre eigenen Zertifikate signieren. Konfigurieren eines selbstsignierten Zertifikats Sie können selbstsignierte Serverzertifikate erstellen, installieren und verwalten. Voraussetzungen Stellen Sie sicher, dass Sie über ein CA-Zertifikat verfügen, sodass Sie Ihre eigenen Zertifikate signieren können. Vorgehensweise 74 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . VMware, Inc. Kapitel 9 vShield Edge-Management 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf den Link [Certificates] . 8 Führen Sie zum Generieren einer Signaturanforderung (CSR) die folgenden Schritte aus. a Klicken Sie auf das Symbol [Generate CSR] ( ). b Geben Sie im Feld „Common Name“ die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) von vShield Manager ein. c Geben Sie den Namen Ihres Unternehmens und der Organisationseinheit ein. d Geben Sie Ort, Straße und Land Ihres Unternehmens ein. e Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation zwischen den Hosts aus. Beachten Sie, dass SSL VPN-Plus nur RSA-Zertifikate unterstützt. Zwecks Abwärtskompatibilität wird RSA empfohlen. f Ändern Sie bei Bedarf die Standardschlüsselgröße. g Geben Sie eine Beschreibung für das Zertifikat ein. h Klicken Sie auf [OK] . Die Signaturanforderung wird generiert und in der Zertifikatsliste angezeigt. 9 10 Stellen Sie sicher, dass das von Ihnen angelegte Zertifikat ausgewählt ist. Klicken Sie auf das Symbol [Self Sign Certificate] ( ). 11 Geben Sie die Anzahl der Tage ein, die das selbstsignierte Zertifikat gültig ist. 12 Klicken Sie auf [OK] . Verwenden von Zertifikaten Sie können ein Clientzertifikat unter Verwendung eines CAI-Befehls oder eines REST-Aufrufs erstellen. Anschließend können Sie dieses Zertifikat an Ihre Remotebenutzer verteilen, die das Zertifikat dann im Webbrowser installieren können Der Hauptvorteil des Implementierens von Client-Zertifikaten besteht darin, dass für jeden Remotebenutzer ein Client-Referenzzertifikat gespeichert und anhand des vom Remotebenutzer bereitgestellten Clientzertifikats überprüft werden kann. Um zu verhindern, dass ein bestimmter Benutzer zukünftig eine Verbindung herstellt, können Sie das Referenzzertifikat aus der Liste der Clientzertifikate des Sicherheitsservers löschen. Durch das Löschen des Zertifikats kann der Benutzer keine Verbindungen herstellen. Hinzufügen einer Zertifikatswiderrufsliste Eine CRL (Certificate Revocation List, Zertifikatswiderrufsliste) ist eine Liste von Abonnenten und deren Status, die von Microsoft zur Verfügung gestellt und signiert wird. Die Liste enthält die folgenden Elemente: n Die widerrufenen Zertifikate und den Grund des jeweiligen Widerrufs n Das jeweilige Ausstellungsdatum des Zertifikats n Der jeweilige Aussteller des Zertifikats n Ein vorgeschlagenes Datum für die nächste Freigabe VMware, Inc. 75 vShield-Administratorhandbuch Wenn ein potenzieller Benutzer versucht, auf einen Server zuzugreifen, wird anhand des CRL-Eintrags für den bestimmten Benutzer der Zugriff zugelassen oder verweigert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf den Link [Certificates] . 8 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [Certificate.] 9 Kopieren Sie die Liste und fügen Sie sie ein. 10 (Optional) Geben Sie eine Beschreibung ein. 11 Klicken Sie auf [OK] . Verwalten der vShield Edge-Firewall vShield Edge bietet Firewallschutz für eingehende und ausgehende Sitzungen. Die standardmäßige Firewallrichtlinie blockiert den gesamten eingehenden Datenverkehr und lässt den gesamten ausgehenden Datenverkehr zu. Zusätzlich zur standardmäßigen Firewallrichtlinie können Sie einen Satz von Regeln erstellen, um Datenverkehrssitzungen zwischen bestimmten Quellen und Zielen zuzulassen oder zu blockieren. Die standardmäßige Firewallrichtlinie und der Satz von Firewallregeln können für jede vShield Edge-Instanz separat verwaltet werden. Hinzufügen einer vShield Edge-Firewallregel Sie können eine vShield Edge-Firewallregel für den Datenverkehr zu oder von einer vShield Edge-Schnittstelle oder IP-Adressgruppe hinzufügen. Sie können mehrere vShield Edge-Schnittstellen und/oder IP-Adressgruppen als Quelle und Ziel für Firewallregeln hinzufügen. Abbildung 9‑1. Firewallregel für den Datenverkehr von einer vShield Edge-Schnittstelle zu einem HTTPServer 76 VMware, Inc. Kapitel 9 vShield Edge-Management Abbildung 9‑2. Firewallregel für den ausgehenden Datenverkehr aller internen Schnittstellen (Subnetze auf mit internen Schnittstellen verbundenen Portgruppen) einer vShield Edge-Instanz zu einem HTTP-Server HINWEIS Wenn Sie als Quelle [internal] auswählen, wird die Regel automatisch aktualisiert, wenn Sie weitere interne Schnittstellen konfigurieren. Abbildung 9‑3. Firewallregel für den Datenverkehr, die SSH in einem m/c in einem internen Netzwerk zulässt Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Firewall] . VMware, Inc. 77 vShield-Administratorhandbuch 7 Führen Sie einen der folgenden Schritte aus: Option Beschreibung So fügen Sie eine Regel an einer bestimmten Stelle der Firewalltabelle ein a b Wählen Sie die gewünschte Regel aus. So fügen Sie eine Regel durch Kopieren hinzu a b Wählen Sie die gewünschte Regel aus. und wählen Sie [Add Above] Klicken Sie in der Spalte „No.“ auf oder [Add Below] aus. Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt. c d So fügen Sie eine Regel an einer beliebigen Stelle der Firewalltabelle hinzu Klicken Sie auf das Symbol „Copy“ ( Wählen Sie die gewünschte Regel aus. ). und wählen Sie [Paste Above] Klicken Sie in der Spalte „No.“ auf oder [Paste Below] aus. a ). Klicken Sie auf das Symbol [Add] ( Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt. Diese neue Regel ist standardmäßig aktiviert. 8 9 10 Zeigen Sie auf die Zelle [Name] der neuen Regel und klicken Sie auf . Geben Sie einen Namen für die neue Regel ein. Zeigen Sie auf die Zelle [Source] der neuen Regel und klicken Sie auf a . Wählen Sie [VnicGroup] oder [IPAddresses] . [VnicGroup] zeigt vShield Edge-Schnittstellen ( [vse] ), [internal] (alle internen Schnittstellen), [ex‐ ternal] (alle Uplink-Schnittstellen) und alle internen und externen Schnittstellen für die vShield Edge-Instanz an. [IPAddresses] zeigt alle IP-Adressgruppen an. b Wählen Sie mindestens eine Schnittstelle oder IP-Adressgruppe aus. Wenn Sie [vse] wählen, gilt die Regel für den Datenverkehr, der von der vShield Edge-Instanz generiert wird. Wenn Sie [internal] oder [external] wählen, gilt die Regel für den Datenverkehr, der von einer internen oder Uplink-Schnittstelle der ausgewählten vShield Edge-Instanz kommt. Die Regel wird automatisch aktualisiert, wenn Sie weitere Schnittstellen konfigurieren. Wenn Sie [IPAddresses] wählen, können Sie eine neue IP-Adressgruppe erstellen. Sobald Sie die neue Gruppe erstellt haben, wird sie automatisch zur Spalte „Source“ hinzugefügt. Weitere Informationen zum Erstellen einer IP-Adresse finden Sie unter „Erstellen einer IP-Adressgruppe“, auf Seite 25. Sie können den Quellport angeben, indem Sie auf neben [Advance options] klicken. Es wird empfohlen, ab Version 5.1 den Quellport nicht anzugeben. Sie können stattdessen einen Dienst für eine Protokoll-Port-Kombination erstellen. Siehe „Erstellen eines Diensts“, auf Seite 22. c 78 Klicken Sie auf [OK] . VMware, Inc. Kapitel 9 vShield Edge-Management 11 Zeigen Sie auf die Zelle [Destination] der neuen Regel und klicken Sie auf a . Wählen Sie [VnicGroup] oder [IPAddresses] . [VnicGroup] zeigt vShield Edge-Schnittstellen ( [vse] ), [internal] (alle internen Schnittstellen), [ex‐ ternal] (alle Uplink-Schnittstellen) und alle internen und Uplink-Schnittstellen für die vShield Edge-Instanz an. [IPAddresses] zeigt alle IP-Adressgruppen an. b Wählen Sie mindestens eine Schnittstelle oder IP-Adressgruppe aus. Wenn Sie [vse] wählen, gilt die Regel für den Datenverkehr, der von der vShield Edge-Instanz generiert wird. Wenn Sie [internal] oder [external] wählen, gilt die Regel für den Datenverkehr, der zu einer internen oder Uplink-Schnittstelle der ausgewählten vShield Edge-Instanz kommt. Wenn Sie eine Schnittstelle zur vShield Edge-Instanz hinzufügen, gilt die Regel automatisch für die neue Schnittstelle. Wenn Sie [IPAddresses] wählen, können Sie eine neue IP-Adressgruppe erstellen. Sobald Sie die neue Gruppe erstellt haben, wird sie automatisch zur Spalte „Destination“ hinzugefügt. Weitere Informationen zum Erstellen einer IP-Adresse finden Sie unter „Erstellen einer IP-Adressgruppe“, auf Seite 25. c 12 Klicken Sie auf [OK] . Zeigen Sie auf die Zelle [Service] der neuen Regel und klicken Sie auf . Wählen Sie einen Dienst aus. Klicken Sie zum Erstellen eines neuen Diensts auf [New] . Sobald Sie den neuen Dienst erstellt haben, wird er automatisch zur Spalte „Service“ hinzugefügt. Weitere Informationen zum Erstellen eines neuen Diensts finden Sie unter „Erstellen eines Diensts“, auf Seite 22. HINWEIS vShield Edge unterstützt nur Dienste, die mit L3-Protokollen definiert sind. 13 Zeigen Sie auf die Zelle [Action] der neuen Regel und klicken Sie auf . a Klicken Sie auf [Deny] , um den Datenverkehr zwischen der angegebenen Quelle und dem Ziel zu blockieren. b Klicken Sie auf [Log] , um alle Sitzungen, die unter diese Regel fallen, zu protokollieren. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen. 14 c Geben Sie bei Bedarf Kommentare ein. d Klicken Sie auf e Um die Regel für die übersetzte IP-Adresse und Dienste für eine NAT-Regel anzuwenden, wählen Sie [Translated IP] für [Match on] . f Klicken Sie auf [Enable Rule Direction] und wählen Sie [Incoming] oder [Outgoing] . Es wird nicht empfohlen, die Richtung für Firewallregeln anzugeben. g Klicken Sie auf [OK] . neben [Advance options] . Klicken Sie auf [Publish Changes] , um die neue Regel für die vShield Edge-Instanz zu veröffentlichen. Weiter n VMware, Inc. Deaktivieren Sie eine Regel durch Klicken auf neben der Regelnummer in der Spalte [No.] 79 vShield-Administratorhandbuch n Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf Spalten auswählen. Name der Spalte Angezeigte Informationen Regel-Tag Eindeutige ID, die das System für jede Regel generiert Protokoll Ob der Datenverkehr für diese Regel protokolliert bzw. nicht protokolliert wird Statistik Kommentare n klicken und die gewünschten Durch Klicken auf , um den Datenverkehr anzuzeigen, der unter diese Regel fällt (Anzahl der Sitzungen, Datenpakete und Größe) Kommentare zu dieser Regel Suchen Sie nach Regeln, indem Sie Text in das Feld „Search“ eingeben. Ändern der Standard-Firewallregel Die standardmäßigen Firewalleinstellungen gelten für Datenverkehr, der unter keine der benutzerdefinierten Firewallregeln fällt. Die standardmäßige Firewallrichtlinie blockiert den gesamten eingehenden Datenverkehr. Sie können die Standardaktion und die Protokolleinstellungen ändern. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge, für die Sie die Standard-Firewallrichtlinie ändern möchten. 6 Klicken Sie auf die Registerkarte [Firewall] . 7 Wählen Sie die [Default Rule] (Standardregel), die als letzte Regel in der Firewalltabelle aufgelistet ist. 8 Zeigen Sie auf die Zelle [Action] der neuen Regel und klicken Sie auf . a Klicken Sie auf [Accept] , um den Datenverkehr zwischen der angegebenen Quelle und dem Ziel zuzulassen. b Klicken Sie auf [Log] , um alle Sitzungen, die unter diese Regel fallen, zu protokollieren. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen. 9 c Geben Sie bei Bedarf Kommentare ein. d Klicken Sie auf [OK] . Klicken Sie auf [Publish Changes] . Ändern einer vShield Edge-Firewallregel Sie können benutzerdefinierte Firewallregeln ändern. Vorgehensweise 80 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . VMware, Inc. Kapitel 9 vShield Edge-Management 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel ändern möchten. 6 Klicken Sie auf die Registerkarte [Firewall] . 7 Wählen Sie die zu ändernde Regel aus. HINWEIS Sie können weder eine automatisch generierte Regel noch die Standardregel ändern. 8 Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [OK] . 9 Klicken Sie auf [Publish Changes] . Ändern der Priorität einer vShield Edge-Firewallregel Sie können die Reihenfolge der benutzerdefinierten Firewallregeln ändern, um den über vShield Edge fließenden Datenverkehr anzupassen. Angenommen, Sie haben eine Regel erstellt, die Lastausgleichsdatenverkehr zulässt. Sie können nun eine Regel hinzufügen, die Lastausgleichsdatenverkehr für eine bestimmte IPAdressengruppe unterbindet, und diese Regel über die Regel für das Zulassen des Lastausgleichsdatenverkehrs stellen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel bearbeiten möchten. 6 Klicken Sie auf die Registerkarte [Firewall] . 7 Wählen Sie die Regel aus, für die Sie die Priorität ändern möchten. HINWEIS Sie können die Priorität weder für automatisch generierte Regeln noch für die Standardregel ändern. 8 Klicken Sie auf das Symbol [Move Up] ( 9 Klicken Sie auf [OK] . 10 Klicken Sie auf [Publish Changes] . ) oder [Move Down] ( ). Löschen einer vShield Edge-Firewallregel Sie können benutzerdefinierte Firewallregeln löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge, für die Sie eine Regel löschen möchten. 6 Klicken Sie auf die Registerkarte [Firewall] . VMware, Inc. 81 vShield-Administratorhandbuch 7 Wählen Sie die zu löschende Regel aus. HINWEIS Sie können weder automatisch generierte Regeln noch die Standardregel löschen. 8 Klicken Sie auf das Symbol [Delete] ( ). Verwalten von NAT-Regeln vShield Edge bietet den Dienst „Network Address Translation“ (NAT), der einem Computer oder einer Gruppe von Computern innerhalb eines privaten Netzwerks eine öffentliche Adresse zuweist. Mithilfe dieser Technologie kann die Anzahl öffentlicher IP-Adressen verringert werden, die eine Organisation oder ein Unternehmen verwenden muss. Dies hat wirtschaftliche Vorteile und dient der Sicherheit. Für den Zugriff auf Dienste, die auf virtuellen Maschinen mit privaten Adressen ausgeführt werden, müssen NAT-Regeln konfiguriert werden. Die Konfiguration des NAT-Diensts gliedert sich in SNAT- (Source NAT, Quell-NAT) und DNAT-Regeln (Destination NAT, Ziel-NAT). Hinzufügen einer SNAT-Regel Sie erstellen eine Quell-NAT-Regel (SNAT) zum Übersetzen einer privaten internen IP-Adresse in eine öffentliche IP-Adresse für ausgehenden Datenverkehr. Voraussetzungen Die übersetzte (öffentliche) IP-Adresse muss bereits zur vShield Edge-Schnittstelle, an der Sie die Regel hinzufügen möchten, hinzugefügt worden sein. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel hinzufügen möchten. 6 Klicken Sie auf die Registerkarte [NAT] . 7 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [Add SNAT Rule] . 8 Wählen Sie die Schnittstelle aus, für die die Regel hinzugefügt werden soll. 9 Geben Sie die ursprüngliche Quell-IP-Adresse in einem der folgenden Formate ein. Formatieren Beispiel IP-Adresse 192.168.10.1 IP-Adressenbereich 192.168.10.1-192.168.10.10 IP address/subnet 192.168.10.1/24 beliebigen 10 82 Geben Sie die übersetzte (öffentliche) Quell-IP-Adresse in einem der folgenden Formate ein. Formatieren Beispiel IP-Adresse 192.168.10.1 IP-Adressenbereich 192.168.10.1-192.168.10.10 VMware, Inc. Kapitel 9 vShield Edge-Management Formatieren Beispiel IP address/subnet 192.168.10.1/24 beliebigen 11 Wählen Sie [Enabled] , um die Regel zu aktivieren. 12 Klicken Sie auf [Enable logging] , um die Übersetzung der Adresse zu protokollieren. 13 Klicken Sie auf [Add] , um die Regel zu speichern. 14 Klicken Sie auf [Publish Changes] . Hinzufügen einer DNAT-Regel Beim Erstellen einer DNAT-Regel wird eine öffentliche IP-Adresse einer privaten internen IP-Adresse zugeordnet. Voraussetzungen Die ursprüngliche (öffentliche) IP-Adresse muss bereits zur vShield Edge-Schnittstelle, an der Sie die Regel hinzufügen möchten, hinzugefügt worden sein. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel hinzufügen möchten. 6 Klicken Sie auf die Registerkarte [NAT] . 7 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [Add DNAT Rule] . 8 Wählen Sie die Schnittstelle aus, für die die DNAT-Regel gelten soll. 9 Geben Sie die ursprüngliche (öffentliche) IP-Adresse in einem der folgenden Formate ein. Formatieren Beispiel IP-Adresse 192.168.10.1 IP-Adressenbereich 192.168.10.1-192.168.10.10 IP address/subnet 192.168.10.1/24 beliebigen 10 Geben Sie das Protokoll ein. 11 Geben Sie den ursprünglichen Port bzw. Portbereich ein. Formatieren Beispiel Portnummer 80 Portbereich 80-85 beliebigen VMware, Inc. 83 vShield-Administratorhandbuch 12 Geben Sie die übersetzte IP-Adresse in einem der folgenden Formate ein. Formatieren Beispiel IP-Adresse 192.168.10.1 IP-Adressenbereich 192.168.10.1-192.168.10.10 IP address/subnet 192.168.10.1/24 beliebigen 13 Geben Sie den übersetzten Port bzw. Portbereich ein. Formatieren Beispiel Portnummer 80 Portbereich 80-85 beliebigen 14 Wählen Sie [Enabled] , um die Regel zu aktivieren. 15 Wählen Sie [Enable logging] , um die Übersetzung der Adresse zu protokollieren. 16 Klicken Sie auf [Add] , um die Regel zu speichern. Arbeiten mit statischen Routen Sie können ein Standard-Gateway festlegen und eine statische Route für Ihre Datenpakete hinzufügen. Festlegen des Standard-Gateways Bevor Sie eine statische Route hinzuzufügen, müssen Sie eine Uplink-Schnittstelle von vShield Edge als Standard-Gateway zuweisen. Vorgehensweise 84 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf die Registerkarte [Static Routing] . 8 Klicken Sie unter [Default Gateway] auf [Edit] . 9 Wählen Sie die Schnittstelle aus, von der aus der nächste Hop in Richtung des Zielnetzwerks erreicht werden kann. 10 Ändern Sie die Gateway-IP, falls erforderlich. 11 Klicken Sie auf [Save] . VMware, Inc. Kapitel 9 vShield Edge-Management Hinzufügen einer statischen Route Sie können eine statische Route hinzufügen, der Ihre Datenpakete folgen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf die Registerkarte [Static Routing] 8 Klicken Sie auf das Symbol [Add] ( ). 9 Wählen Sie die Schnittstelle aus, auf der Sie eine statische Route hinzufügen möchten. 10 Geben Sie unter [Network] das Netzwerk in CIDR-Notation ein. 11 Geben Sie die IP-Adresse für [Next Hop] ein. 12 Bearbeiten Sie unter [MTU] den maximalen Übertragungswert für die Datenpakete, falls erforderlich. Der MTU-Wert darf nicht höher als der MTU-Wert sein, der in der vShield Edge-Schnittstelle festgelegt wurde. 13 Klicken Sie auf [Hinzufügen] . 14 Klicken Sie auf [Publish Changes] . Verwalten des DHCP-Diensts vShield Edge unterstützt IP-Adresspools und die 1:1-Zuordnung statischer IP-Adressen. Die Bindung statischer IP-Adressen basiert auf der von vCenter verwalteten Objekt- und Schnittstellen-ID des anfordernden Clients. Der vShield Edge-DHCP-Dienst beachtet folgende Richtlinien: n Die interne vShield Edge-Schnittstelle wird für die DHCP-Suche überwacht. n Die IP-Adresse der internen vShield Edge-Schnittstelle wird als standardmäßige Gateway-Adresse für alle Clients verwendet und die Broadcast- und Subnetzmaskenwerte der internen Schnittstelle werden für das Containernetzwerk verwendet. In folgenden Fällen müssen Sie den DHCP-Dienst auf virtuellen Client-Maschinen neu starten: n Sie haben einen DHCP-Pool, ein Standard-Gateway oder einen DNS-Server geändert bzw. gelöscht. n Sie haben die interne IP-Adresse der vShield Edge-Instanz geändert. VMware, Inc. 85 vShield-Administratorhandbuch Hinzufügen eines DHCP-IP-Pools Der DHCP-Dienst benötigt einen Pool von IP-Adressen. Ein IP-Pool ist ein sequenzieller Bereich von IP-Adressen innerhalb des Netzwerks. Virtuellen Maschinen, die von vShield Edge geschützt werden und keiner Adresse zugeordnet sind, wird eine IP-Adresse aus diesem Pool zugewiesen. Die IP-Pool-Bereiche dürfen sich nicht überschneiden, d. h., eine IP-Adresse darf nur einem IP-Pool angehören. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie einen DHCP-Pool hinzufügen möchten. 6 Klicken Sie auf die Registerkarte [DHCP] . 7 8 9 Klicken Sie im Bereich „DHCP Pools“ auf das Symbol [Add] ( ). Konfigurieren Sie den Pool. Option Aktion [Auto Configure DNS] Wählen Sie diese Option aus, wenn Sie die DNS-Dienst-Konfiguration für die DHCP-Bindung verwenden möchten. [Lease never expires] Wählen Sie diese Option aus, um die Adresse dauerhaft an die MAC-Adresse der virtuellen Maschine zu binden. Wenn Sie diese Option auswählen, wird die Option [Lease Time] deaktiviert. [Start IP] Geben Sie die IP-Startadresse für den Pool ein. [End IP] Geben Sie die IP-Endadresse für den Pool ein. [Domänenname] Geben Sie den Domänennamen des DNS-Servers ein. Die Auswahl dieser Option ist optional. [Primary Name Server] Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben Sie den [Primary Nameserver] für den DNS-Dienst ein. Sie müssen die IPAdresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. Die Auswahl dieser Option ist optional. [Secondary Name Server] Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben Sie den [Secondary Nameserver] für den DNS-Dienst ein. Sie müssen die IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. Die Auswahl dieser Option ist optional. [Default Gateway] Geben Sie die Adresse des Standard-Gateways ein. Falls Sie die IP-Adresse des Standard-Gateways nicht angeben, wird die interne Schnittstelle der vShield Edge-Instanz als Standard-Gateway verwendet. Die Auswahl dieser Option ist optional. [Lease Time] Legen Sie fest, ob Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den Client leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden an. Die Option „Lease Time“ steht nicht zur Verfügung, wenn Sie [Lease never expires] ausgewählt haben. Die Auswahl dieser Option ist optional. Klicken Sie auf [Hinzufügen] . Weiter Stellen Sie sicher, dass der DHCP-Dienst aktiviert ist. Unter [DHCP Service Status] über dem Bereich „DHCP Pools“ muss die Option „Enabled“ ausgewählt sein. 86 VMware, Inc. Kapitel 9 vShield Edge-Management Hinzufügen einer statischen DHCP-Bindung Wenn auf einer virtuellen Maschine Dienste ausgeführt werden und Sie nicht möchten, dass die IP-Adresse geändert wird, können Sie eine IP-Adresse an die MAC-Adresse einer virtuellen Maschine binden. Die IPAdresse, die Sie binden, darf keinen IP-Pool überlappen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie eine Regel bearbeiten möchten. 6 Klicken Sie auf die Registerkarte [DHCP] . 7 8 Klicken Sie im Bereich „DHCP Bindings“ auf [Add] ( Konfigurieren Sie die Bindung. Option Aktion [Auto Configure DNS] Wählen Sie diese Option aus, wenn Sie die DNS-Dienst-Konfiguration für die DHCP-Bindung verwenden möchten. [Lease never expires] Wählen Sie diese Option aus, um die Adresse dauerhaft an die MAC-Adresse der virtuellen Maschine zu binden. [Schnittstelle] Wählen Sie die zu bindende vShield Edge-Schnittstelle aus. [VM-Name] Wählen Sie die zu bindende virtuelle Maschine aus. [VM vNIC Index] Wählen Sie die Netzwerkkarte der virtuellen Maschine aus, die an die IPAdresse gebunden werden soll. [Hostname] Geben Sie den Hostnamen der virtuellen DHCP-Clientmaschine ein. [IP Address] Geben Sie die Adresse ein, an die Sie die MAC-Adresse der ausgewählten virtuellen Maschine binden möchten. [Domänenname] Geben Sie den Domänennamen des DNS-Servers ein. [Primary Name Server] Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben Sie den [Primary Nameserver] für den DNS-Dienst ein. Sie müssen die IPAdresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. [Secondary Name Server] Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben Sie den [Secondary Nameserver] für den DNS-Dienst ein. Sie müssen die IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. [Default Gateway] Geben Sie die Adresse des Standard-Gateways ein. Falls Sie die IP-Adresse des Standard-Gateways nicht angeben, wird die interne Schnittstelle der vShield Edge-Instanz als Standard-Gateway verwendet. [Lease Time] Falls Sie [Lease never expires] nicht ausgewählt haben, geben Sie an, ob Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den Client leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden an. 9 Klicken Sie auf [Hinzufügen] . 10 Klicken Sie auf [Publish Changes] . VMware, Inc. ). 87 vShield-Administratorhandbuch Weiter Stellen Sie sicher, dass der DHCP-Dienst aktiviert ist. Unter [DHCP Service Status] über dem Bereich „DHCP Pools“ muss die Option „Enabled“ ausgewählt sein. Verwalten von VPN-Diensten vShield Edge-Module unterstützen Site-to-Site-IPSec-VPN zwischen einer vShield Edge-Instanz und Remote-Sites. Darüber hinaus unterstützen vShield Edge-Module SSL VPN-Plus, um Remotebenutzern zu ermöglichen, auf private Unternehmensanwendungen zuzugreifen. 1 Überblick über IPSec VPN auf Seite 88 vShield Edge-Module unterstützen Standort-zu-Standort-IPSec-VPNs zwischen einer vShield Edge-Instanz und Remotestandorten. 2 SSL VPN-Plus – Überblick auf Seite 112 Mit SSL VPN-Plus können Remotebenutzer eine sichere Verbindung mit privaten Netzwerken hinter einem vShield Edge-Gateway herstellen. Remotebenutzer können auf Server und Anwendungen in den privaten Netzwerken zugreifen. Überblick über IPSec VPN vShield Edge-Module unterstützen Standort-zu-Standort-IPSec-VPNs zwischen einer vShield Edge-Instanz und Remotestandorten. vShield Edge unterstützt die Zertifikatsauthentifizierung, den Pre-Shared Key-Modus, den IP-Unicast-Datenverkehr und kein dynamisches Routing-Protokoll zwischen der vShield Edge-Instanz und den RemoteVPN-Routern. Sie können hinter jedem Remote-VPN-Router mehrere Subnetze konfigurieren, um hinter einer vShield Edge-Instanz über IPSec-Tunnel eine Verbindung mit dem internen Netzwerk herzustellen. Diese Subnetze und das interne Netzwerk hinter einer vShield Edge-Instanz dürfen keine überlappenden Adressbereiche aufweisen. Sie können einen vShield Edge-Agenten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse einer vShield Edge-Instanz in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Router verwenden diese öffentliche Adresse für den Zugriff auf die vShield Edge-Instanz. Sie können Remote-VPN-Router auch hinter einem NAT-Gerät platzieren. Zur Einrichtung des Tunnels müssen Sie sowohl die interne VPN-Adresse als auch die VPN-Gateway-ID angeben. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich. Sie können maximal 64 Tunnel haben, die über maximal 10 Sites verteilt sind. Konfigurieren des IPSec VPN-Diensts Sie können einen vShield Edge-Tunnel zwischen einem lokalen und einem Peer-Subnetz einrichten. 1 Konfigurieren der IPSec VPN-Parameter auf Seite 89 Sie müssen mindestens eine externe IP-Adresse an der vShield Edge konfigurieren, um den IPSec VPN-Dienst anbieten zu können. 2 Aktivieren des IPSec VPN-Diensts auf Seite 90 Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum Peer-Subnetz übertragen werden kann. 88 VMware, Inc. Kapitel 9 vShield Edge-Management Konfigurieren der IPSec VPN-Parameter Sie müssen mindestens eine externe IP-Adresse an der vShield Edge konfigurieren, um den IPSec VPNDienst anbieten zu können. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Doppelklicken Sie auf eine vShield Edge-Instanz. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden. 7 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add IPSec VPN“ wird geöffnet. 8 Geben Sie einen Namen für das IPSec VPN ein. 9 Geben Sie die IP-Adresse der vShield Edge-Instanz im Feld [Local Id] ein. Diese wird zur Peer-ID auf der Remote-Site. 10 Geben Sie die IP-Adresse des lokalen Endpunkts ein. Wenn Sie unter Verwendung eines vorab installierten Schlüssels (Pre-Shared Key) eine IP-Adresse zum IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein. 11 Geben Sie die Subnetze, die von den Sites gemeinsam genutzt werden sollen, im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma. 12 Geben Sie die Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (common name) im Peer-Zertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie die öffentliche IP-Adresse des VPN oder ein FQDN für den VPN-Dienst als Peer-ID verwenden. 13 Geben Sie im Feld „Peer Endpoint“ die IP-Adresse der Peer-Site ein. Falls Sie das Feld leer lassen, wartet vShield Edge auf das Peer-Gerät, um eine Verbindung anzufordern. 14 Geben Sie die interne IP-Adresse des Peer-Subnetzes im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma. 15 Wählen Sie den Verschlüsselungsalgorithmus aus. 16 Wählen Sie unter „Authentication Method“ eine der folgenden Authentifizierungsmethoden aus: Option Beschreibung PSK (Pre Shared Key) Gibt an, dass der von vShield Edge und der Peer-Site gemeinsam genutzte geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte sein. Certificate Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird. 17 Geben Sie den Shared Key ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen. 18 Klicken Sie auf [Display Shared Key] , um den Schlüssel auf der Peer-Site anzuzeigen. VMware, Inc. 89 vShield-Administratorhandbuch 19 Wählen Sie unter „Diffie-Hellman (DH) Group“ das kryptographische Schema aus, das es der Peer-Site und vShield Edge ermöglicht, über einen ungesicherten Kommunikationskanal ein Shared Secret einzurichten. 20 Bearbeiten Sie die standardmäßige MTU, falls erforderlich. 21 Wählen Sie, ob der Schwellenwert für Perfect Forward Secrecy (PFS) aktiviert oder deaktiviert werden soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat. 22 Klicken Sie auf [OK] . vShield Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz. Weiter Aktivieren Sie den IPSec VPN-Dienst. Aktivieren des IPSec VPN-Diensts Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum PeerSubnetz übertragen werden kann. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden. 8 Klicken Sie unter „IPSec VPN Service Status“ auf [Enable] . Weiter Klicken Sie auf [Enable Logging] , um den Datenverkehr zwischen dem lokalen Subnetz und dem Peer-Subnetz zu protokollieren. Bearbeiten des IPSec VPN-Diensts Sie können einen IPSec VPN-Dienst bearbeiten. Vorgehensweise 90 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden. 8 Wählen Sie den zu bearbeitenden IPSec VPN-Dienst aus. VMware, Inc. Kapitel 9 vShield Edge-Management 9 Klicken Sie auf das Symbol [Edit] ( ). Das Dialogfeld „Edit IPSec VPN“ wird geöffnet. 10 Nehmen Sie die gewünschten Änderungen vor. 11 Klicken Sie auf [OK] . Löschen des IPSec-Diensts Sie können einen IPSec-Dienst löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden. 8 Wählen Sie den IPSec-Dienst aus, den Sie löschen möchten. 9 Klicken Sie auf das Symbol [Delete] ( ). Der ausgewählte IPSec-Dienst wird gelöscht. Aktivieren des IPSec-Diensts Sie müssen einen IPSec-Dienst aktivieren, damit der Datenverkehr zwischen den lokalen und den Peer-Subnetzen übertragen werden kann. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden. 8 Wählen Sie den IPSec-Dienst aus, den Sie aktivieren möchten. 9 Klicken Sie auf das Symbol [Enable] ( ). Der ausgewählte Dienst wird aktiviert. VMware, Inc. 91 vShield-Administratorhandbuch Deaktivieren des IPSec-Diensts Sie können einen IPSec-Dienst deaktivieren. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden. 8 Wählen Sie den IPSec-Dienst aus, den Sie deaktivieren möchten. 9 Klicken Sie auf das Symbol [Disable] ( ). Der ausgewählte Dienst wird deaktiviert. vShield Edge-VPN-Konfigurationsbeispiele Dieses Szenario enthält Konfigurationsbeispiele für eine einfache IPSEC-VPN-Punkt-zu-Punkt-Verbindung zwischen einer vShield Edge-Instanz und einem Cisco- oder WatchGuard-VPN am anderen Ende. In diesem Szenario verbindet vShield Edge das interne Netzwerk 192.168.5.0/24 mit dem Internet. Die vShield Edge-Schnittstellen sind wie folgt konfiguriert: n Uplink-Schnittstelle: 10.115.199.103 n Interne Schnittstelle: 192.168.5.1 Das Remote-Gateway verbindet das interne Netzwerk 172.16.0.0/16 mit dem Internet. Die Remote-GatewaySchnittstellen sind wie folgt konfiguriert: n Uplink-Schnittstelle: 10.24.120.90/24 n Interne Schnittstelle: 172.16.0.1/16 Abbildung 9‑4. vShield Edge stellt Verbindung mit einem Remote-VPN-Gateway her 192.168.5.0/24 172.15.0.0/16 10.115.199.103 192.168.5.1 10.24.120.90 172.16.0.1 Internet vShield Edge HINWEIS Für Tunnel zwischen vShield Edge und vShield Edge IPSEC können Sie dasselbe Szenario verwenden, indem Sie die zweite vShield Edge-Instanz als Remote-Gateway einrichten. 92 VMware, Inc. Kapitel 9 vShield Edge-Management Terminologie IPSec ist ein Rahmen aus offenen Standards. Die Protokolle der vShield Edge-Instanz und anderer VPN-Appliances, die Sie verwenden können, um Probleme mit IPSEC VPN zu beheben, enthalten viele technische Begriffe. Dies sind einige der Standardeinträge, die vorkommen können: n ISAKMP (Internet Security Association and Key Management Protocol), ein Protokoll für den Aufbau von Sicherheitsverbindungen (Security Associations, SA) und den Austausch kryptografischer Schlüssel in einer Internet-Umgebung, ist in RFC 2408 definiert. ISAKMP bietet nur einen Rahmen für die Authentifizierung und den Schlüsselaustausch und ist vom Schlüsselaustausch selbst unabhängig. n Das Schlüsselvereinbarungsprotokoll Oakley ermöglicht es authentifizierten Parteien, Schlüsselmaterial unter Verwendung des Diffie-Hellman-Schlüsselaustauschalgorithmus über eine unsichere Verbindung auszutauschen. n IKE (Internet Key Exchange) ist eine Kombination aus ISAKMP und Oakley. vShield Edge bietet IKEv2. n Der Diffie-Hellman-Schlüsselaustausch (DH-Schlüsselaustausch) ist ein Protokoll aus dem Bereich der Kryptografie, das zwei Parteien ohne gegenseitige Kenntnisse voneinander ermöglicht, über einen unsicheren Kommunikationskanal einen gemeinsamen sicheren Schlüssel zu erzeugen. VSE unterstützt DH-Gruppe 2 (1024 Bits) und DH-Gruppe 5 (1536 Bits). IKE Phase 1 und Phase 2 IKE ist eine Standardmethode für den Aufbau einer sicheren, authentifizierten Kommunikation. Parameter der Phase 1 In Phase 1 wird die gegenseitige Authentifizierung der Peers eingerichtet, es werden kryptographische Parameter ausgehandelt und der Sitzungsschlüssel wird generiert. vShield Edge verwendet folgende Parameter der Phase 1: n Main-Modus n TripleDES / AES [konfigurierbar] n SHA-1 n MODP-Gruppe 2 (1024 Bits) n Pre-Shared Secret [konfigurierbar] n SA-Lebensdauer von 28800 Sekunden (8 Stunden) ohne neu zugewiesene KB n Aggressiver ISAKMP-Modus deaktiviert Parameter der Phase 2 In der IKE-Phase 2 wird ein IPSec-Tunnel ausgehandelt. Dabei wird das vom IPSec-Tunnel zu verwendende Schlüsselmaterial erstellt (entweder durch das Zugrundelegen der Schlüssel aus IKE-Phase 1 oder mit der Durchführung eines erneuten Schlüsselaustauschs). Folgende Parameter der IKE-Phase 2 werden von vShield Edge unterstützt: n TripleDES / AES [entspricht der Einstellung in Phase 1] n SHA-1 n ESP-Tunnelmodus n MODP-Gruppe 2 (1024 Bits) n PFS (Perfect Forward Secrecy) für Neuzuweisung n SA-Lebensdauer von 3600 Sekunden (1 Stunde) ohne neu zugewiesene KB VMware, Inc. 93 vShield-Administratorhandbuch n Selektoren für alle IP-Protokolle und alle Ports zwischen den beiden Netzen unter Verwendung von IPv4-Subnetzen Beispiele für den Transaktionsmodus vShield Edge unterstützt „Main Mode“ für Phase 1 und „Quick Mode“ für Phase 2. vShield Edge schlägt eine Richtlinie vor, die PSK, 3DES/AES128, SHA-1 und die DH-Gruppe 2/5 erfordert. Der Peer muss diese Richtlinie akzeptieren, andernfalls scheitert die Aushandlungsphase. Phase 1: Transaktionen im Main-Modus Dieses Beispiel zeigt den Austausch einer von vShield Edge zu einem Cisco-Gerät initiierten Phase-1-Aushandlung. Die folgenden Transaktionen werden nacheinander zwischen vShield Edge und einem Cisco VPN-Gerät im Main-Modus durchgeführt. 1 2 3 vShield Edge an Cisco n Vorschlag: Verschlüsselung 3DES-CBC, SHA, PSK, Group5(Group2) n DPD aktiviert Cisco an vShield Edge n enthält den von Cisco gewählten Vorschlag n Wenn das Cisco-Gerät keinen der Parameter akzeptiert, den vShield Edge in Schritt 1 gesendet hat, sendet das Cisco-Gerät die Meldung mit dem Flag „NO_PROPOSAL_CHOSEN“ und beendet die Aushandlung. vShield Edge an Cisco n 4 Cisco an vShield Edge n 5 DH-Schlüssel und Nonce vShield Edge an Cisco (verschlüsselt) n 6 DH-Schlüssel und Nonce ID verwenden (PSK) Cisco an vShield Edge (verschlüsselt) n ID verwenden (PSK) n Wenn das Cisco-Gerät feststellt, dass der PSK nicht übereinstimmt, sendet es eine Nachricht mit dem Flag „INVALID_ID_INFORMATION“. Phase 1 schlägt fehl. Phase 2: Transaktionen im Quick-Modus Die folgenden Transaktionen werden nacheinander zwischen vShield Edge und einem Cisco VPN-Gerät im Quick-Modus durchgeführt. 1 vShield Edge an Cisco vShield Edge schlägt dem Peer die Richtlinie für Phase 2 vor. Beispiel: Aug 26 12:16:09 weiqing-desktop pluto[5789]: "s1-c1" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW {using isakmp#1 msgid:d20849ac proposal=3DES(3)_192-SHA1(2)_160 pfsgroup=OAKLEY_GROUP_MODP1024} 94 VMware, Inc. Kapitel 9 vShield Edge-Management 2 Cisco an vShield Edge Das Cisco-Gerät sendet NO_PROPOSAL_CHOSEN, falls es keine zu dem Vorschlag passende Richtlinie findet. Andernfalls sendet das Cisco-Gerät den Satz der gewählten Parameter. 3 vShield Edge an Cisco Um das Debuggen zu erleichtern, können Sie in vShield Edge die IPSec-Protokollierung einschalten und auf Cisco das Crypto-Debugging (debug crypto isakmp <Level>) aktivieren. Konfigurieren des IPSec VPN-Diensts – Beispiel Sie müssen VPN-Parameter konfigurieren und anschließend den IPSEC-Dienst aktivieren. Vorgehensweise 1 Konfigurieren von vShield Edge VPN-Parametern – Beispiel auf Seite 95 Sie müssen mindestens eine externe IP-Adresse an der vShield Edge konfigurieren, um den IPSec VPN-Dienst anbieten zu können. 2 Aktivieren des IPSec VPN-Diensts - Beispiel auf Seite 96 Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum Peer-Subnetz übertragen werden kann. Konfigurieren von vShield Edge VPN-Parametern – Beispiel Sie müssen mindestens eine externe IP-Adresse an der vShield Edge konfigurieren, um den IPSec VPNDienst anbieten zu können. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Doppelklicken Sie auf eine vShield Edge-Instanz. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden. 7 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add IPSec VPN“ wird geöffnet. 8 Geben Sie einen Namen für das IPSec VPN ein. 9 Geben Sie die IP-Adresse der vShield Edge-Instanz im Feld [Local Id] ein. Diese wird zur Peer-ID auf der Remote-Site. 10 Geben Sie die IP-Adresse des lokalen Endpunkts ein. Wenn Sie unter Verwendung eines vorab installierten Schlüssels (Pre-Shared Key) eine IP-Adresse zum IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein. 11 Geben Sie die Subnetze, die von den Sites gemeinsam genutzt werden sollen, im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma. 12 Geben Sie die Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (common name) im Peer-Zertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie die öffentliche IP-Adresse des VPN oder ein FQDN für den VPN-Dienst als Peer-ID verwenden. VMware, Inc. 95 vShield-Administratorhandbuch 13 Geben Sie im Feld „Peer Endpoint“ die IP-Adresse der Peer-Site ein. Falls Sie das Feld leer lassen, wartet vShield Edge auf das Peer-Gerät, um eine Verbindung anzufordern. 14 Geben Sie die interne IP-Adresse des Peer-Subnetzes im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma. 15 Wählen Sie den Verschlüsselungsalgorithmus aus. 16 Wählen Sie unter „Authentication Method“ eine der folgenden Authentifizierungsmethoden aus: Option Beschreibung PSK (Pre Shared Key) Gibt an, dass der von vShield Edge und der Peer-Site gemeinsam genutzte geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte sein. Certificate Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird. 17 Geben Sie den Shared Key ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen. 18 Klicken Sie auf [Display Shared Key] , um den Schlüssel auf der Peer-Site anzuzeigen. 19 Wählen Sie unter „Diffie-Hellman (DH) Group“ das kryptographische Schema aus, das es der Peer-Site und vShield Edge ermöglicht, über einen ungesicherten Kommunikationskanal ein Shared Secret einzurichten. 20 Ändern Sie den MTU-Schwellenwert, falls erforderlich. 21 Wählen Sie, ob der Schwellenwert für Perfect Forward Secrecy (PFS) aktiviert oder deaktiviert werden soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat. 22 Klicken Sie auf [OK] . vShield Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz. Weiter Aktivieren Sie den IPSec VPN-Dienst. Aktivieren des IPSec VPN-Diensts - Beispiel Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum PeerSubnetz übertragen werden kann. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge] . 4 Doppelklicken Sie auf ein vShield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „IPSec VPN“ befinden. 7 Klicken Sie unter „IPSec VPN Service Status“ auf [Enable] . Weiter Klicken Sie auf [Enable Logging] , um den Datenverkehr zwischen dem lokalen Subnetz und dem Peer-Subnetz zu protokollieren. 96 VMware, Inc. Kapitel 9 vShield Edge-Management Verwenden eines a Cisco 2821 Integrated Services-Router Im Folgenden werden Konfigurationen beschrieben, die unter Verwendung von Cisco IOS durchgeführt wurden. Vorgehensweise 1 Konfigurieren von Schnittstellen und der Standardroute interface GigabitEthernet0/0 ip address 10.24.120.90 255.255.252.0 duplex auto speed auto crypto map MYVPN ! interface GigabitEthernet0/1 ip address 172.16.0.1 255.255.0.0 duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 10.24.123.253 2 Konfigurieren der IKE-Richtlinie Router# config term Router(config)# crypto Router(config-isakmp)# Router(config-isakmp)# Router(config-isakmp)# Router(config-isakmp)# Router(config-isakmp)# pre-share Router(config-isakmp)# 3 isakmp policy 1 encryption 3des group 2 hash sha lifetime 28800 authentication exit PSS-Zuordnung für jeden Peer Router# config term Router(config)# crypto isakmp key vshield address 10.115.199.103 Router(config-isakmp)# exit 4 Definieren der IPSEC-Transformation Router# config term Router(config)# crypto ipsec transform-set myset esp-3des esp-sha-hmac Router(config-isakmp)# exit 5 Erstellen der IPSEC-Zugriffsliste Router# config term Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255 Router(config)# exit VMware, Inc. 97 vShield-Administratorhandbuch 6 Binden der Richtlinie an eine Crypto Map und Bezeichnen der Crypto Map Im folgenden Beispiel wird die Crypto Map mit „MYVPN“ bezeichnet. Router# config term Router(config)# crypto map MYVPN 1 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. Router(config-crypto-map)# set transform-set myset Router(config-crypto-map)# set pfs group1 Router(config-crypto-map)# set peer 10.115.199.103 Router(config-crypto-map)# match address 101 Router(config-crypto-map)# exit Beispiel: Beispielkonfiguration router2821#show running-config output Building configuration... Current configuration : 1263 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router2821 ! boot-start-marker boot-end-marker ! ! card type command needed for slot 0 ! card type command needed for slot 1 enable password cisco ! no aaa new-model ! resource policy ! ip subnet-zero ! ip cef !no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key vshield address 10.115.199.103 ! 98 VMware, Inc. Kapitel 9 vShield Edge-Management crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map MYVPN 1 ipsec-isakmp set peer 10.115.199.103 set transform-set myset set pfs group1 match address 101 ! interface GigabitEthernet0/0 ip address 10.24.120.90 255.255.252.0 duplex auto speed auto crypto map MYVPN ! interface GigabitEthernet0/1 ip address 172.16.0.1 255.255.0.0 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.24.123.253 ! ip http server no ip http secure-server ! access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255 ! control-plane ! line con 0 line aux 0 line vty 0 4 password cisco login line vty 5 15 password cisco login ! scheduler allocate 20000 1000 ! end Verwenden von Cisco ASA 5510 Verwenden Sie die folgende Ausgabe für die Konfiguration von Cisco ASA 5510. ciscoasa# show running-config output : Saved : ASA Version 8.2(1)18 ! hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted VMware, Inc. 99 vShield-Administratorhandbuch names ! interface Ethernet0/0 nameif untrusted security-level 100 ip address 10.24.120.90 255.255.252.0 ! interface Ethernet0/1 nameif trusted security-level 90 ip address 172.16.0.1 255.255.0.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! boot system disk0:/asa821-18-k8.bin ftp mode passive access-list ACL1 extended permit ip 172.16.0.0 255.255.0.0 192.168.5.0 255.255.255.0 access-list ACL1 extended permit ip 192.168.5.0 255.255.255.0 172.16.0.0 255.255.0.0 access-list 101 extended permit icmp any any pager lines 24 mtu untrusted 1500 mtu trusted 1500 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any untrusted icmp permit any trusted no asdm history enable arp timeout 14400 access-group 101 in interface untrusted access-group 101 out interface untrusted access-group 101 in interface trusted access-group 101 out interface trusted route untrusted 10.115.0.0 255.255.0.0 10.24.123.253 1 route untrusted 192.168.5.0 255.255.255.0 10.115.199.103 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 100 VMware, Inc. Kapitel 9 vShield Edge-Management timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact crypto ipsec transform-set MYSET esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map MYVPN 1 match address ACL1 crypto map MYVPN 1 set pfs crypto map MYVPN 1 set peer 10.115.199.103 crypto map MYVPN 1 set transform-set MYSET crypto map MYVPN interface untrusted crypto isakmp enable untrusted crypto isakmp policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet 10.0.0.0 255.0.0.0 untrusted telnet timeout 5 ssh timeout 5 console timeout 0 no threat-detection basic-threat no threat-detection statistics access-list no threat-detection statistics tcp-intercept username admin password f3UhLvUj1QsXsuK7 encrypted tunnel-group 10.115.199.103 type ipsec-l2l tunnel-group 10.115.199.103 ipsec-attributes pre-shared-key * ! ! prompt hostname context Cryptochecksum:29c3cc49460831ff6c070671098085a9 : end Konfigurieren von WatchGuard Firebox X500 Sie können Ihre WatchGuard Firebox X500 als Remote-Gateway konfigurieren. HINWEIS Genaue Anweisungen finden Sie in Ihrer WatchGuard Firebox-Dokumentation. Vorgehensweise 1 Wählen Sie in „Firebox System Manager“ [Tools] > [Policy Manager] >. 2 Wählen Sie in „Policy Manager“ [Network] > [Configuration] . 3 Konfigurieren Sie die Schnittstellen und klicken Sie auf [OK] . 4 (Optional) Wählen Sie [Network] > [Routes] , um eine Standardroute zu konfigurieren. VMware, Inc. 101 vShield-Administratorhandbuch 5 Wählen Sie [Network] > [Branch Office VPN] > [Manual IPSec] , um das Remote-Gateway zu konfigurieren. 6 Klicken Sie im Dialogfeld „IPSec Configuration“ auf [Gateways] , um das IPSEC Remote Gateway zu konfigurieren. 7 Klicken Sie im Dialogfeld „IPSec Configuration“ auf [Tunnels] , um einen Tunnel zu konfigurieren. 8 Klicken Sie im Dialogfeld „IPSec Configuration“ auf [Add] , um eine Routing-Richtlinie hinzuzufügen. 9 Klicken Sie auf [Schließen] . 10 Bestätigen Sie, dass der Tunnel aktiv ist. Beheben von vShield Edge-Konfigurationsfehlern – Beispiel Anhand dieser Informationen können Sie konfigurationsbedingte Aushandlungsprobleme beheben. Erfolgreiche Aushandlung (sowohl Phase 1 als auch Phase 2) Die folgenden Beispiele zeigen das Ergebnis einer erfolgreichen Aushandlung zwischen vShield Edge und einem Cisco-Gerät. vShield Edge Von der vShield Edge-Befehlszeilenschnittstelle aus (ipsec auto-status, Teil des Befehls „show service ipsec“): 000 #2: "s1-c1":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2430s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate 000 #2: "s1-c1" [email protected] [email protected] [email protected] [email protected] ref=0 refhim=4294901761 000 #1: "s1-c1":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 27623s; newest ISAKMP; lastdpd=0s(seq in:0 out:0); idle; import:admin initiate Cisco ciscoasa# show crypto isakmp sa detail Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 IKE Peer: 10.20.129.80 Type : L2L Role Rekey : no State : responder : MM_ACTIVE Encrypt : 3des Hash : SHA Auth : preshared Lifetime: 28800 Lifetime Remaining: 28379 102 VMware, Inc. Kapitel 9 vShield Edge-Management Phase 1-Richtlinie stimmt nicht überein Im Folgenden sind Protokolleinträge für Fehler aufgrund der Nichtübereinstimmung der Phase-1-Richtlinie aufgeführt. vShield Edge vShield Edge hängt im Zustand „STATE_MAIN_I1“. Suchen Sie unter „/var/log/messages“ nach Informationen, die zeigen, dass der Peer eine IKE-Meldung zurückgesendet hat, bei der „NO_PROPOSAL_CHOSEN“ festgelegt ist. 000 #1: "s1-c1":500 STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 7s; nodpd; idle; import:admin initiate 000 #1: pending Phase 2 for "s1-c1" replacing #0 Aug 26 12:31:25 weiqing-desktop pluto[6569]: | got payload 0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0 Aug 26 12:31:25 weiqing-desktop pluto[6569]: | ***parse ISAKMP Notification Payload: Aug 26 12:31:25 weiqing-desktop pluto[6569]: | next payload type: ISAKMP_NEXT_NONE Aug 26 12:31:25 weiqing-desktop pluto[6569]: | length: 96 Aug 26 12:31:25 weiqing-desktop pluto[6569]: | DOI: ISAKMP_DOI_IPSEC Aug 26 12:31:25 weiqing-desktop pluto[6569]: | protocol ID: 0 Aug 26 12:31:25 weiqing-desktop pluto[6569]: | SPI size: 0 Aug 26 12:31:25 weiqing-desktop pluto[6569]: | Notify Message Type: NO_PROPOSAL_CHOSEN Aug 26 12:31:25 weiqing-desktop pluto[6569]: "s1-c1" #1: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000 Cisco Wenn „debug crypto“ aktiviert ist, wird eine Fehlermeldung ausgegeben, die angibt, dass keine Vorschläge akzeptiert wurden. ciscoasa# Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 148 Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, processing SA payload Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Group 5 Cfg'd: Group 2 Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Group 5 Cfg'd: Group 2 Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + NOTIFY (11) + NONE (0) total length : 124 Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, All SA proposals found unacceptable Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, Error processing payload: Payload ID: 1 Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, IKE MM Responder FSM error history (struct &0xd8355a60) <state>, <event>: VMware, Inc. 103 vShield-Administratorhandbuch MM_DONE, EV_ERROR-->MM_START, EV_RCV_MSG-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, IKE SA MM:9e0e4511 terminating: flags 0x01000002, refcnt 0, tuncnt 0 Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, sending delete/delete with reason message Phase 2 stimmt nicht überein Im Folgenden sind Protokolleinträge für Fehler aufgrund der Nichtübereinstimmung der Phase-2-Richtlinie aufgeführt. vShield Edge vShield Edge hängt im Status „STATE_QUICK_I1“. Ein Protokollmeldung zeigt, dass der Peer eine NO_PROPOSAL_CHOSEN-Meldung gesendet hat. 000 #2: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 11s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate Aug 26 12:33:54 weiqing-desktop pluto[6933]: | got payload 0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0 Aug 26 12:33:54 weiqing-desktop pluto[6933]: | ***parse ISAKMP Notification Payload: Aug 26 12:33:54 weiqing-desktop pluto[6933]: | next payload type: ISAKMP_NEXT_NONE Aug 26 12:33:54 weiqing-desktop pluto[6933]: | length: 32 Aug 26 12:33:54 weiqing-desktop pluto[6933]: | DOI: ISAKMP_DOI_IPSEC Aug 26 12:33:54 weiqing-desktop pluto[6933]: | protocol ID: 3 Aug 26 12:33:54 weiqing-desktop pluto[6933]: | SPI size: 16 Aug 26 12:33:54 weiqing-desktop pluto[6933]: | Notify Message Type: NO_PROPOSAL_CHOSEN Aug 26 12:33:54 weiqing-desktop pluto[6933]: "s1-c1" #3: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000 Cisco Die Debug-Meldungen zeigen, dass Phase 1 abgeschlossen wurde, Phase 2 jedoch fehlschlug, weil das Aushandeln der Richtlinien gescheitert ist. Aug 26 16:03:49 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80, PHASE 1 COMPLETED Aug 26 16:03:49 [IKEv1]: IP = 10.20.129.80, Keep-alive type for this connection: DPD Aug 26 16:03:49 [IKEv1 DEBUG]: Group = 10.20.129.80, IP = 10.20.129.80, Starting P1 rekey timer: 21600 seconds Aug 26 16:03:49 [IKEv1]: IP = 10.20.129.80, IKE_DECODE RECEIVED Message (msgid=b2cdcb13) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : 288 . 104 VMware, Inc. Kapitel 9 vShield Edge-Management . . Aug 26 16:03:49 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80, Session is being torn down. Reason: Phase 2 Mismatch PFS-Nichtübereinstimmung Im Folgenden sind Protokolleinträge für Fehler aufgrund von PFS-Nichtübereinstimmung aufgeführt. vShield Edge PFS wird als Teil der Phase 2 ausgehandelt. Bei Nichtübereinstimmung von PFS ähnelt das Verhalten dem unter „Phase 2 stimmt nicht überein“, auf Seite 104 beschriebenen Fehlerfall. 000 #4: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate Aug 26 12:35:52 weiqing-desktop pluto[7312]: | got payload 0x800 (ISAKMP_NEXT_N) needed: 0x0 opt: 0x0 Aug 26 12:35:52 weiqing-desktop pluto[7312]: | ***parse ISAKMP Notification Payload: Aug 26 12:35:52 weiqing-desktop pluto[7312]: | next payload type: ISAKMP_NEXT_NONE Aug 26 12:35:52 weiqing-desktop pluto[7312]: | length: 32 Aug 26 12:35:52 weiqing-desktop pluto[7312]: | DOI: ISAKMP_DOI_IPSEC Aug 26 12:35:52 weiqing-desktop pluto[7312]: | protocol ID: 3 Aug 26 12:35:52 weiqing-desktop pluto[7312]: | SPI size: 16 Aug 26 12:35:52 weiqing-desktop pluto[7312]: | Notify Message Type: NO_PROPOSAL_CHOSEN Aug 26 12:35:52 weiqing-desktop pluto[7312]: "s1-c1" #1: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000 Aug 26 12:35:52 weiqing-desktop pluto[7312]: | info: fa 16 b3 e5 91 a9 b0 02 a3 30 e1 d9 6e 5a 13 d4 Aug 26 12:35:52 weiqing-desktop pluto[7312]: | info: 93 e5 e4 d7 Aug 26 12:35:52 weiqing-desktop pluto[7312]: | processing informational NO_PROPOSAL_CHOSEN (14) Cisco <BS>Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80, IP = 10.20.129.80, sending delete/delete with reason message Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80, IP = 10.20.129.80, constructing blank hash payload Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80, IP = 10.20.129.80, constructing blank hash payload Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80, IP = 10.20.129.80, constructing IKE delete payload Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80, IP = 10.20.129.80, constructing qm hash payload Aug 26 19:00:26 [IKEv1]: IP = 10.20.129.80, IKE_DECODE SENDING Message (msgid=19eb1e59) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 80 VMware, Inc. 105 vShield-Administratorhandbuch Aug 26 19:00:26 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80, Session is being torn down. Reason: Phase 2 Mismatch PSK stimmt nicht überein Im Folgenden sind Protokolleinträge für Fehler aufgrund von PSK-Nichtübereinstimmung aufgeführt. vShield Edge Der PSK wird in der letzten Runde der Phase 1 ausgehandelt. Wenn die PSK-Aushandlung fehlschlägt, ist der Status von vShield Edge „STATE_MAIN_I4“. Der Peer sendet eine INVALID_ID_INFORMATION-Meldung. Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4 Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024} Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: Dead Peer Detection (RFC 3706): enabled Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW {using isakmp#1 msgid:e8add10e proposal=3DES(3)_192-SHA1(2)_160 pfsgroup=OAKLEY_GROUP_MODP1024} Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: ignoring informational payload, type INVALID_ID_INFORMATION msgid=00000000 Cisco Aug 26 15:27:07 [IKEv1]: IP = 10.115.199.191, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) total length : 304 Aug 26 15:27:07 [IKEv1]: Group = 10.115.199.191, IP = 10.115.199.191, Received encrypted Oakley Main Mode packet with invalid payloads, MessID = 0 Aug 26 15:27:07 [IKEv1]: IP = 10.115.199.191, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + NOTIFY (11) + NONE (0) total length : 80 Aug 26 15:27:07 [IKEv1]: Group = 10.115.199.191, IP = 10.115.199.191, ERROR, had problems decrypting packet, probably due to mismatched pre-shared key. Aborting Paketerfassung für eine erfolgreiche Aushandlung Die folgende Liste zeigt eine Paketerfassungssitzung für eine erfolgreiche Aushandlung zwischen vShield Edge und einem Cisco-Gerät. No. 9203 Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9203 (190 bytes on wire, 190 bytes captured) 106 Time 768.394800 Source 10.20.129.80 Destination 10.20.131.62 VMware, Inc. Kapitel 9 vShield Edge-Management Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: 10.20.129.80 (10.20.129.80), Dst: 10.20.131.62 (10.20.131.62) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 0000000000000000 Next payload: Security Association (1) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x00 Message ID: 0x00000000 Length: 148 Security Association payload Next payload: Vendor ID (13) Payload length: 84 Domain of interpretation: IPSEC (1) Situation: IDENTITY (1) Proposal payload # 0 Next payload: NONE (0) Payload length: 72 Proposal number: 0 Protocol ID: ISAKMP (1) SPI Size: 0 Proposal transforms: 2 Transform payload # 0 Next payload: Transform (3) Payload length: 32 Transform number: 0 Transform ID: KEY_IKE (1) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Encryption-Algorithm (1): 3DES-CBC (5) Hash-Algorithm (2): SHA (2) Authentication-Method (3): PSK (1) Group-Description (4): 1536 bit MODP group (5) Transform payload # 1 Next payload: NONE (0) Payload length: 32 Transform number: 1 Transform ID: KEY_IKE (1) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Encryption-Algorithm (1): 3DES-CBC (5) Hash-Algorithm (2): SHA (2) Authentication-Method (3): PSK (1) Group-Description (4): Alternate 1024-bit MODP group (2) Vendor ID: 4F456C6A405D72544D42754D Next payload: Vendor ID (13) Payload length: 16 Vendor ID: 4F456C6A405D72544D42754D Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD) Next payload: NONE (0) Payload length: 20 VMware, Inc. 107 vShield-Administratorhandbuch Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD) No. 9204 Time 768.395550 Source 10.20.131.62 Destination 10.20.129.80 Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9204 (146 bytes on wire, 146 bytes captured) Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5), Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd) Internet Protocol, Src: 10.20.131.62 (10.20.131.62), Dst: 10.20.129.80 (10.20.129.80) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Security Association (1) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x00 Message ID: 0x00000000 Length: 104 Security Association payload Next payload: Vendor ID (13) Payload length: 52 Domain of interpretation: IPSEC (1) Situation: IDENTITY (1) Proposal payload # 1 Next payload: NONE (0) Payload length: 40 Proposal number: 1 Protocol ID: ISAKMP (1) SPI Size: 0 Proposal transforms: 1 Transform payload # 1 Next payload: NONE (0) Payload length: 32 Transform number: 1 Transform ID: KEY_IKE (1) Encryption-Algorithm (1): 3DES-CBC (5) Hash-Algorithm (2): SHA (2) Group-Description (4): Alternate 1024-bit MODP group (2) Authentication-Method (3): PSK (1) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Vendor ID: Microsoft L2TP/IPSec VPN Client Next payload: NONE (0) Payload length: 24 Vendor ID: Microsoft L2TP/IPSec VPN Client No. 9205 Time 768.399599 Source 10.20.129.80 Destination 10.20.131.62 Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9205 (222 bytes on wire, 222 bytes captured) Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), 108 VMware, Inc. Kapitel 9 vShield Edge-Management Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: 10.20.129.80 (10.20.129.80), Dst: 10.20.131.62 (10.20.131.62) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Key Exchange (4) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x00 Message ID: 0x00000000 Length: 180 Key Exchange payload Next payload: Nonce (10) Payload length: 132 Key Exchange Data (128 bytes / 1024 bits) Nonce payload Next payload: NONE (0) Payload length: 20 Nonce Data No. 9206 Time 768.401192 Source 10.20.131.62 Destination 10.20.129.80 Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9206 (298 bytes on wire, 298 bytes captured) Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5), Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd) Internet Protocol, Src: 10.20.131.62 (10.20.131.62), Dst: 10.20.129.80 (10.20.129.80) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Key Exchange (4) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x00 Message ID: 0x00000000 Length: 256 Key Exchange payload Next payload: Nonce (10) Payload length: 132 Key Exchange Data (128 bytes / 1024 bits) Nonce payload Next payload: Vendor ID (13) Payload length: 24 Nonce Data Vendor ID: CISCO-UNITY-1.0 Next payload: Vendor ID (13) Payload length: 20 Vendor ID: CISCO-UNITY-1.0 Vendor ID: draft-beaulieu-ike-xauth-02.txt Next payload: Vendor ID (13) VMware, Inc. 109 vShield-Administratorhandbuch Payload length: 12 Vendor ID: draft-beaulieu-ike-xauth-02.txt Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A Next payload: Vendor ID (13) Payload length: 20 Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A Vendor ID: CISCO-CONCENTRATOR Next payload: NONE (0) Payload length: 20 Vendor ID: CISCO-CONCENTRATOR No. 9207 Time 768.404990 Source 10.20.129.80 Destination 10.20.131.62 Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9207 (110 bytes on wire, 110 bytes captured) Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: 10.20.129.80 (10.20.129.80), Dst: 10.20.131.62 (10.20.131.62) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Identification (5) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x01 Message ID: 0x00000000 Length: 68 Encrypted payload (40 bytes) No. 9208 Time 768.405921 Source 10.20.131.62 Destination 10.20.129.80 Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9208 (126 bytes on wire, 126 bytes captured) Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5), Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd) Internet Protocol, Src: 10.20.131.62 (10.20.131.62), Dst: 10.20.129.80 (10.20.129.80) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Identification (5) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x01 Message ID: 0x00000000 Length: 84 Encrypted payload (56 bytes) No. 9209 110 Time 768.409799 Source 10.20.129.80 Destination 10.20.131.62 Protocol Info ISAKMP Quick Mode VMware, Inc. Kapitel 9 vShield Edge-Management Frame 9209 (334 bytes on wire, 334 bytes captured) Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: 10.20.129.80 (10.20.129.80), Dst: 10.20.131.62 (10.20.131.62) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Hash (8) Version: 1.0 Exchange type: Quick Mode (32) Flags: 0x01 Message ID: 0x79a63fb1 Length: 292 Encrypted payload (264 bytes) No. 9210 Time 768.411797 Source 10.20.131.62 Destination 10.20.129.80 Protocol Info ISAKMP Quick Mode Frame 9210 (334 bytes on wire, 334 bytes captured) Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5), Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd) Internet Protocol, Src: 10.20.131.62 (10.20.131.62), Dst: 10.20.129.80 (10.20.129.80) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Hash (8) Version: 1.0 Exchange type: Quick Mode (32) Flags: 0x01 Message ID: 0x79a63fb1 Length: 292 Encrypted payload (264 bytes) No. 9211 Time 768.437057 Source 10.20.129.80 Destination 10.20.131.62 Protocol Info ISAKMP Quick Mode Frame 9211 (94 bytes on wire, 94 bytes captured) Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: 10.20.129.80 (10.20.129.80), Dst: 10.20.131.62 (10.20.131.62) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Hash (8) Version: 1.0 Exchange type: Quick Mode (32) VMware, Inc. 111 vShield-Administratorhandbuch Flags: 0x01 Message ID: 0x79a63fb1 Length: 52 Encrypted payload (24 bytes) SSL VPN-Plus – Überblick Mit SSL VPN-Plus können Remotebenutzer eine sichere Verbindung mit privaten Netzwerken hinter einem vShield Edge-Gateway herstellen. Remotebenutzer können auf Server und Anwendungen in den privaten Netzwerken zugreifen. vShield Manager Unternehmens-LAN Admin Remotebenutzer stellen Verbindung über den Webzugriffsmodus her Internet Externes vShield Edge SSL VPN WindowsServer Remotebenutzer stellen Verbindung über den SSL-Client her Konfigurieren von Network Access SSL VPN-Plus Im Netzwerkzugriffsmodus kann ein Remotebenutzer auf private Netzwerke zugreifen, sobald er einen SSL-Client heruntergeladen und installiert hat. Voraussetzungen Bei dem SSL VPN-Gateway muss Port 443 für externe Netzwerke zugänglich sein. Bei dem SSL VPN-Client muss die IP-Adresse des vShield Edge-Gateways sowie Port 443 vom Clientsystem aus zugänglich sein. Vorgehensweise 1 Hinzufügen eines IP-Pools auf Seite 113 Dem Remotebenutzer wird eine virtuelle IP-Adresse aus dem IP-Pool, den Sie hinzugefügt haben, zugewiesen. 2 Hinzufügen eines privaten Netzwerks auf Seite 113 Fügen Sie das Netzwerk hinzu, auf das der Remotebenutzer zugreifen soll. 3 Hinzufügen eines Installationspakets auf Seite 114 Erstellen Sie ein SSL VPN-Plus-Client-Installationspaket für den Remotebenutzer. 4 Hinzufügen eines Benutzers auf Seite 116 Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. 112 VMware, Inc. Kapitel 9 vShield Edge-Management 5 Hinzufügen der Authentifizierung auf Seite 116 Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 6 Hinzufügen von SSL VPN-Plus-Servereinstellungen auf Seite 121 Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vShield Edge-Schnittstelle SSL aktivieren zu können. 7 Aktivieren des SSL VPN-Plus-Diensts auf Seite 122 Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können. Hinzufügen eines IP-Pools Dem Remotebenutzer wird eine virtuelle IP-Adresse aus dem IP-Pool, den Sie hinzugefügt haben, zugewiesen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [IP Pool] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add IP Pool“ wird geöffnet. 10 Geben Sie die IP-Startadresse und die IP-Endadresse für den IP-Pool ein. 11 Geben Sie die Netzmaske des IP-Pools ein. 12 Geben Sie die IP-Adresse für die Routing-Schnittstelle des vShield Edge-Gateways ein. 13 (Optional) Geben Sie eine Beschreibung für den IP-Pool ein. 14 Wählen Sie aus, ob der IP-Pool aktiviert oder deaktiviert werden soll. 15 (Optional) Geben Sie im Bereich [Advanced] den DNS-Namen ein. 16 (Optional) Geben Sie den Namen des sekundären DNS ein. 17 Geben Sie das verbindungsspezifische DNS-Suffix für die domänenbasierte Hostnamenauflösung ein. 18 Geben Sie Adresse des WINS-Servers ein. 19 Klicken Sie auf [OK] . Hinzufügen eines privaten Netzwerks Fügen Sie das Netzwerk hinzu, auf das der Remotebenutzer zugreifen soll. Vorgehensweise 1 VMware, Inc. Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 113 vShield-Administratorhandbuch 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Private Networks] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Private Network“ wird angezeigt. 10 Geben Sie die IP-Adresse des privaten Netzwerks ein. 11 Geben Sie die Netzmaske des privaten Netzwerks ein. 12 (Optional) Geben Sie eine Beschreibung für das Netzwerk ein. 13 Geben Sie an, ob Sie den privaten Netzwerk- und Internetdatenverkehr über das SSL VPN-Plus-aktivierte vShield Edge übertragen oder vShield Edge übergehen möchten, um den Datenverkehr direkt an den privaten Server zu übertragen. 14 Wenn Sie [Send traffic over the tunnel] ausgewählt haben, wählen Sie [Enable TCP Optimization] , um die Geschwindigkeit der Internetverbindung zu optimieren. Bei einem konventionellen SSL VPNs-Tunnel mit vollem Zugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Dies führt dazu, dass Anwendungs-Layer-Daten zweimal in zwei getrennten TCP-Streams eingekapselt werden. Wenn Pakete verloren gehen (was auch unter optimalen Internetbedingungen passieren kann), tritt eine Leistungsbeeinträchtigung mit der Bezeichnung „TCP-over-TCP Meltdown“ ein. Im Wesentlichen korrigieren zwei TCP-Instrumente ein einzelnes Paket von IP-Daten, was den Netzdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Die TCP-Optimierung behebt dieses „TCP-over-TCP“-Problem und sorgt somit für eine optimierte Leistung. 15 Geben Sie die Portnummern ein, die Sie öffnen möchten, damit der Remotebenutzer auf die internen Server bzw. Maschinen des Unternehmens zugreifen kann, wie. z. B. 3389 für RDP, 20/21 für FTP und 80 für HTTP. Wenn Sie möchten, dass der Benutzer uneingeschränkten Zugriff erhält, lassen Sie das Feld [Ports] leer. 16 Geben Sie an, ob Sie das private Netzwerk aktivieren oder deaktivieren möchten. 17 Klicken Sie auf [OK] . Weiter n Fügen Sie einen IP-Pool hinzu. n Fügen Sie eine entsprechende Firewallregel hinzu, um den privaten Netzwerkdatenverkehr zuzulassen. Hinzufügen eines Installationspakets Erstellen Sie ein SSL VPN-Plus-Client-Installationspaket für den Remotebenutzer. Vorgehensweise 114 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . VMware, Inc. Kapitel 9 vShield Edge-Management 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Installation Package] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add Installation Package“ wird geöffnet. 10 Geben Sie einen Profilnamen für das Installationspaket ein. 11 Geben Sie unter [Gateway] die IP-Adresse oder den FQDN der öffentlichen vShield Edge-Schnittstelle ein. Diese IP-Adresse bzw. der FQDN ist an den SSL-Client gebunden. Wenn der Client installiert wird, können Sie diese IP-Adresse bzw. diesen FQDN auf dem SSL-Client sehen. 12 Geben Sie die Portnummer ein, die Sie in den Servereinstellungen für SSL VPN-Plus angegeben haben. Siehe „Hinzufügen von SSL VPN-Plus-Servereinstellungen“, auf Seite 121. 13 (Optional) Um weitere vShield Edge-Uplink-Schnittstellen an den SSL-Client zu binden, führen Sie die folgenden Schritte aus: a Klicken Sie auf das Symbol [Add] ( ). b Geben Sie die IP-Adresse und die Portnummer ein. c Klicken Sie auf [OK] . 14 Das Installationspaket wird standardmäßig für das Windows-Betriebssystem erstellt. Wählen Sie „Linux“ oder „Mac“, um auch ein Installationspaket für das Linux- bzw. Mac-Betriebssystem zu erstellen. 15 (Optional) Geben Sie eine Beschreibung für das Installationspaket ein. 16 Wählen Sie [Enable] , um das Installationspaket auf der Seite „Installation Package“ anzuzeigen. 17 Wählen Sie bei Bedarf die folgenden Optionen aus. 18 VMware, Inc. Option Beschreibung Start client on logon Wenn sich der Remotebenutzer beim System anmeldet, wird der SSL VPNClient gestartet. Allow remember password Aktiviert die Option zum Speichern des Kennworts. Enable silent mode installation Blendet die Installationsbefehle des Remotebenutzers aus. Hide SSL client network adapter Blendet den VMware SSL VPN-Plus-Adapter aus, der zusammen mit dem SSL VPN-Installationspaket auf dem Computer des Remotebenutzers installiert ist. Hide client system tray icon Mit dieser Option können Sie das SSL VPN-Taskleistensymbol, das angibt, ob die VPN-Verbindung aktiv ist oder nicht, ausblenden. Create desktop icon Erstellt auf dem Desktop des Benutzers ein Symbol zum Starten des SSLClients. Enable silent mode operation Blendet das Popup, das angibt, dass die Installation abgeschlossen ist, aus. Server security certificate validation Der SSL VPN-Client prüft das SSL VPN-Serverzertifikat, bevor die sichere Verbindung hergestellt wird. Klicken Sie auf [OK.] 115 vShield-Administratorhandbuch Weiter Hinzufügen der Benutzeranmeldedaten des Remotebenutzers Hinzufügen eines Benutzers Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Users] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add User“ wird geöffnet. 10 Geben Sie die Benutzer-ID ein. 11 Geben Sie das Kennwort ein. 12 Geben Sie das Kennwort erneut ein. 13 (Optional) Geben Sie den Vornamen des Benutzers ein. 14 (Optional) Geben Sie den Nachnamen des Benutzers ein. 15 (Optional) Geben Sie eine Beschreibung für den Benutzer ein. 16 Wählen Sie unter „Password Details“ die Option [Password never expires] aus, sodass das Benutzerkennwort immer beibehalten wird. 17 Klicken Sie auf [OK] . Weiter Hinzufügen von SSL VPN-Servereinstellungen. Hinzufügen der Authentifizierung Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen des AD-Authentifizierungsservers auf Seite 117 Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen des LDAP-Authentifizierungsservers auf Seite 118 Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 116 VMware, Inc. Kapitel 9 vShield Edge-Management n Hinzufügen eines RADIUS-Authentifizierungsservers auf Seite 119 Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen eines RSA-ACE-Authentifizierungsservers auf Seite 120 Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen eines lokalen Authentifizierungsservers auf Seite 120 Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen des AD-Authentifizierungsservers Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [AD] aus. 11 Geben Sie die IP-Adresse des externen Servers ein. 12 Geben Sie die Portnummer für den AD-Server ein. 13 Wählen Sie [Enable SSL] , um den SSL-Dienst auf dem angegebenen Server zu aktivieren. 14 Geben Sie unter [Timeout Period] den Zeitraum in Sekunden ein, innerhalb dem der AD-Server antworten muss. 15 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 16 Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen. 17 Geben Sie den Bind-DN ein. Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte AD-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des AD-Benutzers verwendet. VMware, Inc. 117 vShield-Administratorhandbuch 18 Geben Sie das Bind-Kennwort zum Authentifizieren des AD-Benutzers ein. 19 Geben Sie das Bind-Kennwort erneut ein. 20 Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung sAMAccountName. 21 Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen. Das Format für Suchfilter lautet Attribut Operator Wert. 22 Wählen Sie [Use this server for secondary authentication] , wenn Sie diesen AD-Server als zweite Authentifizierungsebene verwenden möchten. 23 Klicken Sie auf [OK] . Hinzufügen des LDAP-Authentifizierungsservers Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [LDAP] aus. 11 Geben Sie die IP-Adresse des externen Servers ein. 12 Geben Sie die Portnummer für den LDAP-Server ein. 13 Wählen Sie [Enable SSL] , um den SSL-Dienst auf dem angegebenen Server zu aktivieren. 14 Geben Sie das Zeitlimit in Sekunden ein. 15 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 16 Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen. 118 VMware, Inc. Kapitel 9 vShield Edge-Management 17 Geben Sie den Bind-DN ein. Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte LDAP-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des LDAP-Benutzers verwendet. 18 Geben Sie das Bind-Kennwort zum Authentifizieren des LDAP-Benutzers ein und bestätigen Sie es. 19 Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung sAMAccountName. 20 Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen. Das Format für Suchfilter lautet Attribut Operator Wert. 21 Wählen Sie [Use this server for secondary authentication] , wenn Sie diesen LDAP-Server als zweite Authentifizierungsebene verwenden möchten. 22 Klicken Sie auf [OK] . Hinzufügen eines RADIUS-Authentifizierungsservers Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [RADIUS] aus. 11 Geben Sie die IP-Adresse des RSA Radius-Servers ein. 12 Geben Sie die Portnummer des RADIUS-Servers ein. 13 Geben Sie das Zeitlimit in Sekunden ein. 14 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 15 Geben Sie das Shared Secret ein, das Sie beim Hinzufügen des Authentifizierungsagenten in der RSASicherheitskonsole festgelegt haben, und bestätigen Sie es durch erneute Eingabe. 16 Geben Sie die NAS-IP-Adresse für die Authentifizierung ein. 17 Geben Sie die Anzahl der Verbindungsversuche an, die durchgeführt werden sollen, wenn der RADIUS-Server nicht antwortet. VMware, Inc. 119 vShield-Administratorhandbuch 18 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails] . 19 Klicken Sie auf [OK] . Hinzufügen eines RSA-ACE-Authentifizierungsservers Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [RSA‐ACE] aus. 11 (Optional) Geben Sie das Zeitlimit (in Sekunden) für den RSA-Server ein. 12 Wählen Sie unter [Configuration File] die Datei sdconf.rec aus, die Sie vom RSA Authentication Manager heruntergeladen haben. 13 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 14 Geben Sie im Abschnitt [Advanced] die IP-Adresse der vShield Edge-Schnittstelle ein, über die der RSA-Server verfügbar ist. 15 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails] . 16 Klicken Sie auf [OK] . Hinzufügen eines lokalen Authentifizierungsservers Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 120 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. VMware, Inc. Kapitel 9 vShield Edge-Management 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [LOCAL] aus. 11 Wählen Sie zum Definieren einer Kennwortrichtlinie die Option [Password Policy] aus und geben Sie die erforderlichen Werte an. 12 Definieren Sie eine Kontosperrungsrichtlinie, indem Sie die Option [Enable] neben [Account Lockout Policy] auswählen. a Geben Sie unter [Retry Count] die Anzahl der möglichen Wiederholungsversuche für den Remotebenutzer ein, falls dieser ein falsches Kennwort eingegeben hat. b Geben Sie unter [Retry Duration] das Zeitintervall ein, nach dessen Ablauf das Konto des Remotebenutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird. Wenn Sie beispielsweise für [Retry Count] den Wert 5 und für [Retry Duration] 1 Minute festlegen, wird das Konto des Remotebenutzers nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt. c Geben Sie unter [Lockout Duration] die Dauer der Kontosperre ein. Nach Ablauf dieser Zeitspanne wird die Kontosperre automatisch aufgehoben. 13 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 14 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails] . 15 Klicken Sie auf [OK] . Hinzufügen von SSL VPN-Plus-Servereinstellungen Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vShield Edge-Schnittstelle SSL aktivieren zu können. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Edges] . 7 Klicken Sie auf die Registerkarte [VPN] . 8 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 9 Klicken Sie im Bereich [Configure] auf [Server Settings] . 10 Klicken Sie auf [Change.] Das Dialogfeld „Change Server Settings“ wird geöffnet. VMware, Inc. 121 vShield-Administratorhandbuch 11 Wählen Sie die vShield Edge-Schnittstelle aus, für die Sie SSL VPN-Plus aktivieren möchten. Wählen Sie [ANY ‐ 0.0.0.0] , um SSL VPN-Plus auf allen Schnittstellen des ausgewählten vShield Edge zu aktivieren. 12 Ändern Sie die Portnummer, falls erforderlich. Diese Portnummer ist für das Konfigurieren des Installationspakets erforderlich. 13 Wählen Sie die Verschlüsselungsmethode aus. 14 (Optional) Wählen Sie in der Tabelle „Server Certificates“ das Serverzertifikat aus, das Sie hinzufügen möchten. 15 Klicken Sie auf [OK.] Weiter Aktivieren Sie den SSL VPN-Plus-Dienst. Aktivieren des SSL VPN-Plus-Diensts Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf . Weiter Auf dem Dashboard werden Dienststatus, Anzahl der aktiven SSL VPN-Sitzungen sowie Sitzungsstatistiken und Datenflussinformationen angezeigt. Konfigurieren von Web Access SSL VPN-Plus Im Webzugriffsmodus kann ein Remotebenutzer auf private Netzwerke zugreifen, ohne einen SSL-Client herunterladen zu müssen. Vorgehensweise 1 Erstellen einer Webressource auf Seite 123 Sie können einen Server für den Webzugriff hinzufügen, mit dem der Remotebenutzer über einen Webbrowser eine Verbindung herstellen kann. 2 Hinzufügen eines Benutzers auf Seite 123 Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. 3 Hinzufügen der Authentifizierung auf Seite 124 Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 122 VMware, Inc. Kapitel 9 vShield Edge-Management 4 Hinzufügen von SSL VPN-Plus-Servereinstellungen auf Seite 129 Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vShield Edge-Schnittstelle SSL aktivieren zu können. 5 Aktivieren des SSL VPN-Plus-Diensts auf Seite 130 Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können. Erstellen einer Webressource Sie können einen Server für den Webzugriff hinzufügen, mit dem der Remotebenutzer über einen Webbrowser eine Verbindung herstellen kann. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Web Resource] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add Web Resource“ wird geöffnet. 10 Geben Sie einen Namen für die Webressource ein. 11 Geben Sie die URL der Webressource ein, auf die der Remotebenutzer zugreifen soll. 12 Je nachdem, ob der Remotebenutzer von der Webressource lesen oder darauf schreiben möchte, wählen Sie die [HTTPMethod] aus. 13 Geben Sie die Beschreibung für die Webressource ein. Diese Beschreibung wird auf dem Web-Portal angezeigt, wenn der Remotebenutzer auf die Webressource zugreift. 14 Wählen Sie [Enable] , um die Webressource zu aktivieren. Die Webressource muss aktiviert sein, damit der Remotebenutzer darauf zugreifen kann. Weiter Fügen Sie einen lokalen Benutzer oder eine Authentifizierung für einen externen Benutzer hinzu. Hinzufügen eines Benutzers Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. VMware, Inc. 123 vShield-Administratorhandbuch 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Users] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add User“ wird geöffnet. 10 Geben Sie die Benutzer-ID ein. 11 Geben Sie das Kennwort ein. 12 Geben Sie das Kennwort erneut ein. 13 (Optional) Geben Sie den Vornamen des Benutzers ein. 14 (Optional) Geben Sie den Nachnamen des Benutzers ein. 15 (Optional) Geben Sie eine Beschreibung für den Benutzer ein. 16 Wählen Sie unter „Password Details“ die Option [Password never expires] aus, sodass das Benutzerkennwort immer beibehalten wird. 17 Klicken Sie auf [OK] . Weiter Hinzufügen von SSL VPN-Servereinstellungen. Hinzufügen der Authentifizierung Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen des AD-Authentifizierungsservers auf Seite 124 Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen des LDAP-Authentifizierungsservers auf Seite 126 Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen eines RADIUS-Authentifizierungsservers auf Seite 127 Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen eines RSA-ACE-Authentifizierungsservers auf Seite 127 Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. n Hinzufügen eines lokalen Authentifizierungsservers auf Seite 128 Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen des AD-Authentifizierungsservers Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 124 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. VMware, Inc. Kapitel 9 vShield Edge-Management 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [AD] aus. 11 Geben Sie die IP-Adresse des externen Servers ein. 12 Geben Sie die Portnummer für den AD-Server ein. 13 Wählen Sie [Enable SSL] , um den SSL-Dienst auf dem angegebenen Server zu aktivieren. 14 Geben Sie unter [Timeout Period] den Zeitraum in Sekunden ein, innerhalb dem der AD-Server antworten muss. 15 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 16 Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen. 17 Geben Sie den Bind-DN ein. Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte AD-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des AD-Benutzers verwendet. 18 Geben Sie das Bind-Kennwort zum Authentifizieren des AD-Benutzers ein. 19 Geben Sie das Bind-Kennwort erneut ein. 20 Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung sAMAccountName. 21 Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen. Das Format für Suchfilter lautet Attribut Operator Wert. 22 Wählen Sie [Use this server for secondary authentication] , wenn Sie diesen AD-Server als zweite Authentifizierungsebene verwenden möchten. 23 Klicken Sie auf [OK] . VMware, Inc. 125 vShield-Administratorhandbuch Hinzufügen des LDAP-Authentifizierungsservers Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [LDAP] aus. 11 Geben Sie die IP-Adresse des externen Servers ein. 12 Geben Sie die Portnummer für den LDAP-Server ein. 13 Wählen Sie [Enable SSL] , um den SSL-Dienst auf dem angegebenen Server zu aktivieren. 14 Geben Sie das Zeitlimit in Sekunden ein. 15 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 16 Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen. 17 Geben Sie den Bind-DN ein. Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte LDAP-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des LDAP-Benutzers verwendet. 18 Geben Sie das Bind-Kennwort zum Authentifizieren des LDAP-Benutzers ein und bestätigen Sie es. 19 Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung sAMAccountName. 20 Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen. Das Format für Suchfilter lautet Attribut Operator Wert. 126 21 Wählen Sie [Use this server for secondary authentication] , wenn Sie diesen LDAP-Server als zweite Authentifizierungsebene verwenden möchten. 22 Klicken Sie auf [OK] . VMware, Inc. Kapitel 9 vShield Edge-Management Hinzufügen eines RADIUS-Authentifizierungsservers Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [RADIUS] aus. 11 Geben Sie die IP-Adresse des RSA Radius-Servers ein. 12 Geben Sie die Portnummer des RADIUS-Servers ein. 13 Geben Sie das Zeitlimit in Sekunden ein. 14 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 15 Geben Sie das Shared Secret ein, das Sie beim Hinzufügen des Authentifizierungsagenten in der RSASicherheitskonsole festgelegt haben, und bestätigen Sie es durch erneute Eingabe. 16 Geben Sie die NAS-IP-Adresse für die Authentifizierung ein. 17 Geben Sie die Anzahl der Verbindungsversuche an, die durchgeführt werden sollen, wenn der RADIUS-Server nicht antwortet. 18 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails] . 19 Klicken Sie auf [OK] . Hinzufügen eines RSA-ACE-Authentifizierungsservers Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . VMware, Inc. 127 vShield-Administratorhandbuch 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 10 Wählen Sie unter [Type] die Option [RSA‐ACE] aus. 11 (Optional) Geben Sie das Zeitlimit (in Sekunden) für den RSA-Server ein. 12 Wählen Sie unter [Configuration File] die Datei sdconf.rec aus, die Sie vom RSA Authentication Manager heruntergeladen haben. 13 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 14 Geben Sie im Abschnitt [Advanced] die IP-Adresse der vShield Edge-Schnittstelle ein, über die der RSA-Server verfügbar ist. 15 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails] . 16 Klicken Sie auf [OK] . Hinzufügen eines lokalen Authentifizierungsservers Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Authentication] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Server“ wird geöffnet. 128 10 Wählen Sie unter [Type] die Option [LOCAL] aus. 11 Wählen Sie zum Definieren einer Kennwortrichtlinie die Option [Password Policy] aus und geben Sie die erforderlichen Werte an. VMware, Inc. Kapitel 9 vShield Edge-Management 12 Definieren Sie eine Kontosperrungsrichtlinie, indem Sie die Option [Enable] neben [Account Lockout Policy] auswählen. a Geben Sie unter [Retry Count] die Anzahl der möglichen Wiederholungsversuche für den Remotebenutzer ein, falls dieser ein falsches Kennwort eingegeben hat. b Geben Sie unter [Retry Duration] das Zeitintervall ein, nach dessen Ablauf das Konto des Remotebenutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird. Wenn Sie beispielsweise für [Retry Count] den Wert 5 und für [Retry Duration] 1 Minute festlegen, wird das Konto des Remotebenutzers nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt. c Geben Sie unter [Lockout Duration] die Dauer der Kontosperre ein. Nach Ablauf dieser Zeitspanne wird die Kontosperre automatisch aufgehoben. 13 Wählen Sie [Enabled] bzw. [Disabled] , um anzugeben, ob der Server aktiviert ist. 14 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails] . 15 Klicken Sie auf [OK] . Hinzufügen von SSL VPN-Plus-Servereinstellungen Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vShield Edge-Schnittstelle SSL aktivieren zu können. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Edges] . 7 Klicken Sie auf die Registerkarte [VPN] . 8 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 9 Klicken Sie im Bereich [Configure] auf [Server Settings] . 10 Klicken Sie auf [Change.] Das Dialogfeld „Change Server Settings“ wird geöffnet. 11 Wählen Sie die vShield Edge-Schnittstelle aus, für die Sie SSL VPN-Plus aktivieren möchten. Wählen Sie [ANY ‐ 0.0.0.0] , um SSL VPN-Plus auf allen Schnittstellen des ausgewählten vShield Edge zu aktivieren. 12 Ändern Sie die Portnummer, falls erforderlich. Diese Portnummer ist für das Konfigurieren des Installationspakets erforderlich. 13 Wählen Sie die Verschlüsselungsmethode aus. 14 (Optional) Wählen Sie in der Tabelle „Server Certificates“ das Serverzertifikat aus, das Sie hinzufügen möchten. 15 Klicken Sie auf [OK.] VMware, Inc. 129 vShield-Administratorhandbuch Weiter Aktivieren Sie den SSL VPN-Plus-Dienst. Aktivieren des SSL VPN-Plus-Diensts Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf . Weiter Auf dem Dashboard werden Dienststatus, Anzahl der aktiven SSL VPN-Sitzungen sowie Sitzungsstatistiken und Datenflussinformationen angezeigt. Arbeiten mit IP-Pools Sie können einen IP-Pool hinzufügen, bearbeiten oder löschen. Hinzufügen eines IP-Pools Dem Remotebenutzer wird eine virtuelle IP-Adresse aus dem IP-Pool, den Sie hinzugefügt haben, zugewiesen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [IP Pool] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add IP Pool“ wird geöffnet. 130 10 Geben Sie die IP-Startadresse und die IP-Endadresse für den IP-Pool ein. 11 Geben Sie die Netzmaske des IP-Pools ein. VMware, Inc. Kapitel 9 vShield Edge-Management 12 Geben Sie die IP-Adresse für die Routing-Schnittstelle des vShield Edge-Gateways ein. 13 (Optional) Geben Sie eine Beschreibung für den IP-Pool ein. 14 Wählen Sie aus, ob der IP-Pool aktiviert oder deaktiviert werden soll. 15 (Optional) Geben Sie im Bereich [Advanced] den DNS-Namen ein. 16 (Optional) Geben Sie den Namen des sekundären DNS ein. 17 Geben Sie das verbindungsspezifische DNS-Suffix für die domänenbasierte Hostnamenauflösung ein. 18 Geben Sie Adresse des WINS-Servers ein. 19 Klicken Sie auf [OK] . Bearbeiten eines IP-Pools Sie können einen IP-Pool bearbeiten. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [IP Pool] . 9 Wählen Sie den zu bearbeitenden IP-Pool aus. 10 Wählen Sie den zu bearbeitenden IP-Pool aus. 11 Klicken Sie auf das Symbol [Edit] ( ). Das Dialogfeld „Edit IP Pool“ wird geöffnet. 12 Nehmen Sie die erforderlichen Änderungen vor. 13 Klicken Sie auf [OK] . Löschen eines IP-Pools Sie können einen IP-Pool löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge] . 4 Doppelklicken Sie auf ein vShield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 7 Klicken Sie im Bereich [Configure] auf [IP Pool] . 8 Wählen Sie den zu löschenden IP-Pool aus. VMware, Inc. 131 vShield-Administratorhandbuch 9 Klicken Sie auf das Symbol [Delete] ( ). Der ausgewählte IP-Pool wird gelöscht. Aktivieren eines IP-Pools Sie können einen IP-Pool aktivieren, wenn Sie möchten, dass einem Remotebenutzer eine IP-Adresse aus dem Pool zugewiesen wird. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge] . 4 Doppelklicken Sie auf ein vShield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 7 Klicken Sie im Bereich [Configure] auf [IP Pool] . 8 Wählen Sie den IP-Pool aus, den Sie aktivieren möchten. 9 Klicken Sie auf das Symbol [Enable] ( ). Der ausgewählte IP-Pool wird aktiviert. Deaktivieren eines IP-Pools Sie können einen IP-Pool deaktivieren, wenn Sie nicht möchten, dass einem Remotebenutzer eine IP-Adresse aus dem Pool zugewiesen wird. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge] . 4 Doppelklicken Sie auf ein vShield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 7 Klicken Sie im Bereich [Configure] auf [IP Pool] . 8 Wählen Sie den IP-Pool aus, den Sie deaktivieren möchten. 9 Klicken Sie auf das Symbol [Disable] ( ). Der ausgewählte IP-Pool wird deaktiviert. Ändern der Reihenfolge eines IP-Pools SSL VPN weist dem Remotebenutzer eine IP-Adresse gemäß der Reihenfolge des IP-Pools zu. Vorgehensweise 132 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. VMware, Inc. Kapitel 9 vShield Edge-Management 3 Klicken Sie auf die Registerkarte [Edge] . 4 Doppelklicken Sie auf ein vShield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 7 Klicken Sie im Bereich [Configure] auf [IP Pool] . 8 Wählen Sie den IP-Pool aus, für den Sie die Reihenfolge ändern möchten. 9 Klicken Sie auf das Symbol [Move Up] ( ) oder Move Down ( ). Arbeiten mit privaten Netzwerken Sie können ein privates Netzwerk, auf das ein Remotebenutzer zugreifen kann, hinzufügen, bearbeiten oder löschen. Hinzufügen eines privaten Netzwerks Fügen Sie das Netzwerk hinzu, auf das der Remotebenutzer zugreifen soll. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Private Networks] . 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld „Add Private Network“ wird angezeigt. 10 Geben Sie die IP-Adresse des privaten Netzwerks ein. 11 Geben Sie die Netzmaske des privaten Netzwerks ein. 12 (Optional) Geben Sie eine Beschreibung für das Netzwerk ein. 13 Geben Sie an, ob Sie den privaten Netzwerk- und Internetdatenverkehr über das SSL VPN-Plus-aktivierte vShield Edge übertragen oder vShield Edge übergehen möchten, um den Datenverkehr direkt an den privaten Server zu übertragen. 14 Wenn Sie [Send traffic over the tunnel] ausgewählt haben, wählen Sie [Enable TCP Optimization] , um die Geschwindigkeit der Internetverbindung zu optimieren. Bei einem konventionellen SSL VPNs-Tunnel mit vollem Zugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Dies führt dazu, dass Anwendungs-Layer-Daten zweimal in zwei getrennten TCP-Streams eingekapselt werden. Wenn Pakete verloren gehen (was auch unter optimalen Internetbedingungen passieren kann), tritt eine Leistungsbeeinträchtigung mit der Bezeichnung „TCP-over-TCP Meltdown“ ein. Im Wesentlichen korrigieren zwei TCP-Instrumente ein einzelnes Paket von IP-Daten, was den Netzdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Die TCP-Optimierung behebt dieses „TCP-over-TCP“-Problem und sorgt somit für eine optimierte Leistung. VMware, Inc. 133 vShield-Administratorhandbuch 15 Geben Sie die Portnummern ein, die Sie öffnen möchten, damit der Remotebenutzer auf die internen Server bzw. Maschinen des Unternehmens zugreifen kann, wie. z. B. 3389 für RDP, 20/21 für FTP und 80 für HTTP. Wenn Sie möchten, dass der Benutzer uneingeschränkten Zugriff erhält, lassen Sie das Feld [Ports] leer. 16 Geben Sie an, ob Sie das private Netzwerk aktivieren oder deaktivieren möchten. 17 Klicken Sie auf [OK] . Weiter n Fügen Sie einen IP-Pool hinzu. n Fügen Sie eine entsprechende Firewallregel hinzu, um den privaten Netzwerkdatenverkehr zuzulassen. Löschen eines privaten Netzwerks Sie können ein privates Netzwerk löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Edges] . 5 Doppelklicken Sie auf ein vShield Edge-Gateway. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Private Networks] . 9 Klicken Sie auf das Netzwerk, das Sie löschen möchten. 10 Klicken Sie auf das Symbol [Delete] ( ) Das ausgewählte Netzwerk wird gelöscht. Aktivieren eines privaten Netzwerks Wenn Sie ein privates Netzwerk aktivieren, kann der Remotebenutzer über SSL VPN-Plus darauf zugreifen. Vorgehensweise 134 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Edges] . 5 Doppelklicken Sie auf ein vShield Edge-Gateway. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Private Networks] . 9 Klicken Sie auf das Netzwerk, das Sie aktivieren möchten. VMware, Inc. Kapitel 9 vShield Edge-Management 10 Klicken Sie auf das Symbol [Enable] ( ). Das ausgewählte Netzwerk wird aktiviert. Deaktivieren eines privaten Netzwerks Wenn Sie ein privates Netzwerk deaktivieren, kann der Remotebenutzer nicht über SSL VPN-Plus darauf zugreifen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge] . 4 Doppelklicken Sie auf ein vShield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 7 Klicken Sie im Bereich [Configure] auf [Private Networks] . 8 Klicken Sie auf das Netzwerk, das Sie deaktivieren möchten. 9 Klicken Sie auf das Symbol [Disable] ( ). Das ausgewählte Netzwerk wird deaktiviert. Ändern der Reihenfolge eines privaten Netzwerks SSL VPN-Plus ermöglicht Remotebenutzern den Zugriff auf private Netzwerke in der Reihenfolge, in der sie im Bereich „Private Networks“ aufgeführt werden. Wenn Sie für ein privates Netzwerk die Option [Enable TCP Optimization] auswählen, funktionieren innerhalb dieses Subnetzes möglicherweise einige Anwendungen, z. B. FTP im aktiven Modus, nicht. Zum Hinzufügen eines FTP-Servers im aktiven Modus müssen Sie ein weiteres privates Netzwerk für diesen FTP-Server mit deaktivierter Option „TCP Optimization“ hinzufügen. Außerdem muss das aktive private TCP-Netzwerk aktiviert und über dem privaten Subnetz-Netzwerk platziert werden. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Doppelklicken Sie auf ein vShield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN] . 6 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 7 Klicken Sie im Bereich [Configure] auf [Private Networks] . 8 Klicken Sie auf das Symbol [Change Order] ( ) Das Dialogfeld „Change Order“ wird geöffnet. 9 10 VMware, Inc. Wählen Sie das Netzwerk aus, für das Sie die Reihenfolge ändern möchten. Klicken Sie auf das Symbol [Move Up] ( ) oder [Move Down] ( ). 135 vShield-Administratorhandbuch 11 Klicken Sie auf [OK] . Arbeiten mit Installationspaketen Sie können ein Installationspaket für den SSL-Client hinzufügen, löschen oder bearbeiten. Hinzufügen eines Installationspakets Erstellen Sie ein SSL VPN-Plus-Client-Installationspaket für den Remotebenutzer. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Installation Package] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add Installation Package“ wird geöffnet. 10 Geben Sie einen Profilnamen für das Installationspaket ein. 11 Geben Sie unter [Gateway] die IP-Adresse oder den FQDN der öffentlichen vShield Edge-Schnittstelle ein. Diese IP-Adresse bzw. der FQDN ist an den SSL-Client gebunden. Wenn der Client installiert wird, können Sie diese IP-Adresse bzw. diesen FQDN auf dem SSL-Client sehen. 12 Geben Sie die Portnummer ein, die Sie in den Servereinstellungen für SSL VPN-Plus angegeben haben. Siehe „Hinzufügen von SSL VPN-Plus-Servereinstellungen“, auf Seite 121. 13 (Optional) Um weitere vShield Edge-Uplink-Schnittstellen an den SSL-Client zu binden, führen Sie die folgenden Schritte aus: a 136 Klicken Sie auf das Symbol [Add] ( ). b Geben Sie die IP-Adresse und die Portnummer ein. c Klicken Sie auf [OK] . 14 Das Installationspaket wird standardmäßig für das Windows-Betriebssystem erstellt. Wählen Sie „Linux“ oder „Mac“, um auch ein Installationspaket für das Linux- bzw. Mac-Betriebssystem zu erstellen. 15 (Optional) Geben Sie eine Beschreibung für das Installationspaket ein. 16 Wählen Sie [Enable] , um das Installationspaket auf der Seite „Installation Package“ anzuzeigen. 17 Wählen Sie bei Bedarf die folgenden Optionen aus. Option Beschreibung Start client on logon Wenn sich der Remotebenutzer beim System anmeldet, wird der SSL VPNClient gestartet. Allow remember password Aktiviert die Option zum Speichern des Kennworts. VMware, Inc. Kapitel 9 vShield Edge-Management 18 Option Beschreibung Enable silent mode installation Blendet die Installationsbefehle des Remotebenutzers aus. Hide SSL client network adapter Blendet den VMware SSL VPN-Plus-Adapter aus, der zusammen mit dem SSL VPN-Installationspaket auf dem Computer des Remotebenutzers installiert ist. Hide client system tray icon Mit dieser Option können Sie das SSL VPN-Taskleistensymbol, das angibt, ob die VPN-Verbindung aktiv ist oder nicht, ausblenden. Create desktop icon Erstellt auf dem Desktop des Benutzers ein Symbol zum Starten des SSLClients. Enable silent mode operation Blendet das Popup, das angibt, dass die Installation abgeschlossen ist, aus. Server security certificate validation Der SSL VPN-Client prüft das SSL VPN-Serverzertifikat, bevor die sichere Verbindung hergestellt wird. Klicken Sie auf [OK.] Weiter Hinzufügen der Benutzeranmeldedaten des Remotebenutzers Bearbeiten eines Installationspakets Sie können ein Installationspaket bearbeiten. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Installation Package] . 9 Wählen Sie das zu bearbeitende Installationspaket aus. 10 Klicken Sie auf das Symbol „Edit“ ( ). Das Dialogfeld „Edit Installation Package“ wird geöffnet. 11 Nehmen Sie die erforderlichen Änderungen vor. 12 Klicken Sie auf [OK] . Löschen eines Installationspakets Sie können ein Installationspaket löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. VMware, Inc. 137 vShield-Administratorhandbuch 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Installation Package] . 9 Wählen Sie das zu löschende Installationspaket aus. 10 Klicken Sie auf das Symbol [Delete] ( ). Der ausgewählte IP-Pool wird gelöscht. Arbeiten mit Benutzern Sie können Benutzer zur lokalen Datenbank hinzufügen, sie bearbeiten oder löschen. Hinzufügen eines Benutzers Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Users] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Add User“ wird geöffnet. 10 Geben Sie die Benutzer-ID ein. 11 Geben Sie das Kennwort ein. 12 Geben Sie das Kennwort erneut ein. 13 (Optional) Geben Sie den Vornamen des Benutzers ein. 14 (Optional) Geben Sie den Nachnamen des Benutzers ein. 15 (Optional) Geben Sie eine Beschreibung für den Benutzer ein. 16 Wählen Sie unter „Password Details“ die Option [Password never expires] aus, sodass das Benutzerkennwort immer beibehalten wird. 17 Klicken Sie auf [OK] . Weiter Hinzufügen von SSL VPN-Servereinstellungen. 138 VMware, Inc. Kapitel 9 vShield Edge-Management Bearbeiten eines Benutzers Außer der Benutzer-ID können Sie alle Details für einen Benutzer bearbeiten. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Users] . 9 Klicken Sie auf das Symbol [Edit] ( ). Das Dialogfeld „Edit User“ wird geöffnet. 10 Nehmen Sie die erforderlichen Änderungen vor. 11 Klicken Sie auf [OK] . Löschen eines Benutzers Sie können einen Benutzer löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Users] . 9 Wählen Sie den Benutzer aus, den Sie löschen möchten. 10 Klicken Sie auf das Symbol [Delete] ( ). Der ausgewählte Benutzer wird gelöscht. Ändern des Kennworts eines Benutzers Sie können das Kennwort des Benutzers ändern. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . VMware, Inc. 139 vShield-Administratorhandbuch 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie im Bereich [Configure] auf [Users] . 9 Klicken Sie auf das Symbol [Change Password] . Das Dialogfeld „Change Password“ wird geöffnet. 10 Geben Sie das neue Kennwort ein. 11 Geben Sie das neue Kennwort erneut ein. 12 Klicken Sie auf „Change password on next login“, damit das geänderte Kennwort bei der nächsten Anmeldung des Benutzers verwendet wird. 13 Klicken Sie auf [OK] . Bearbeiten der Client-Konfiguration Sie können die Art und Weise ändern, wie der SSL VPN-Client-Tunnel reagiert, wenn sich der Remotebenutzer bei SSL VPN anmeldet. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Client Configuration] . Das Dialogfeld „Change Client Configuration“ wird geöffnet. 9 Wählen Sie die Option [Tunneling Mode] aus. Im Split-Tunnel-Modus fließt nur das VPN über das vShield Edge-Gateway. Im Full-Tunnel-Modus wird das vShield Edge-Gateway zum Standardgateway des Remotebenutzers und der gesamte Datenverkehr (VPN, lokal und Internet) fließt über dieses Gateway. 10 140 Wenn Sie den Full-Tunnel-Modus gewählt haben: a Wählen Sie [Exclude local subnets] , sodass der lokale Datenverkehr nicht über den VPN-Tunnel gesendet wird. b Geben Sie die IP-Adresse des Standard-Gateways des Remotebenutzersystems ein. 11 Wählen Sie [Enable auto reconnect] , wenn der Remotebenutzer automatisch wieder mit dem SSL VPN-Client verbunden werden soll, nachdem die Verbindung getrennt wurde. 12 Wählen Sie [Start on login] , falls der SSL Client-Anmeldebildschirm angezeigt werden soll, wenn sich der Remotebenutzer bei seinem Computer anmeldet. VMware, Inc. Kapitel 9 vShield Edge-Management 13 Wählen Sie [Client upgrade notification] , um den Remotebenutzer zu benachrichtigen, wenn ein Upgrade für den Client verfügbar ist. Der Remotebenutzer kann dann entscheiden, ob er das Upgrade installieren möchte. 14 Klicken Sie auf [OK] . Arbeiten mit Anmelde- und Abmeldeskripts Sie können ein Anmelde- bzw. Abmeldeskript an das vShield Edge-Gateway binden. Hinzufügen eines Skripts Sie können mehrere Anmelde- bzw. Abmeldeskripts hinzufügen. Beispielsweise können Sie ein Anmeldeskript zum Starten von Internet Explorer mit gmail.com binden. Wenn sich der Remotebenutzer beim SSLClient anmeldet, öffnet Internet Explorer gmail.com. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Login/Logoff Scripts] . 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld zum Hinzufügen von Anmelde- bzw. Abmeldeskripts wird geöffnet. 10 Klicken Sie unter [Script] auf [Browse] und wählen Sie das Skript aus, das Sie an das vShield EdgeGateway binden möchten. 11 Wählen Sie unter [Type] den Typ des Skripts aus. Option Beschreibung Anmelden Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN anmelden. Logoff Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN abmelden. Beide Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN anund abmelden. 12 Geben Sie eine Beschreibung für das Skript ein. 13 Wählen Sie [Enabled] , um das Skript zu aktivieren. 14 Klicken Sie auf [OK] . Bearbeiten eines Skripts Sie können den Typ, die Beschreibung und den Status eines an das vShield Edge-Gateway gebundenen Anmelde- oder Abmeldeskripts ändern. VMware, Inc. 141 vShield-Administratorhandbuch Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Login/Logoff Scripts] . 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol [Edit] ( ). Das Dialogfeld zum Bearbeiten von Anmelde- bzw. Abmeldeskripts wird geöffnet. 11 Nehmen Sie die entsprechenden Änderungen vor. 12 Klicken Sie auf [OK] . Löschen eines Skripts Sie können Anmelde- bzw. Abmeldeskripts löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Login/Logoff Scripts] . 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol [Delete] ( ). Aktivieren eines Skripts Zur ordnungsgemäßen Funktionsweise müssen Sie ein Skript aktivieren. Vorgehensweise 142 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. VMware, Inc. Kapitel 9 vShield Edge-Management 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Login/Logoff Scripts] . 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol [Enable] ( ). Deaktivieren eines Skripts Sie können Anmelde- bzw. Abmeldeskripts deaktivieren. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Login/Logoff Scripts] . 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol [Disable] ( ). Aktualisieren eines Skripts Nach dem Hinzufügen oder Löschen eines Skripts können Sie die Seite „Login/Logoff Scripts“ aktualisieren. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Login/Logoff Scripts] . 9 Wählen Sie ein Skript aus. 10 VMware, Inc. Klicken Sie auf das Symbol „Refresh“ ( ). 143 vShield-Administratorhandbuch Ändern der Reihenfolge eines Skripts Sie können die Reihenfolge eines Skripts ändern. Angenommen, Sie haben ein Anmeldeskript zum Öffnen von gmail.com in Internet Explorer vor ein Anmeldeskript zum Öffnen von yahoo.com gestellt. Wenn der Remotebenutzer sich bei SSL VPN anmeldet, wird gmail.com vor yahoo.com angezeigt. Falls Sie nun die Reihenfolge der Anmeldeskripts umkehren, wird zuerst yahoo.com und anschließend gmail.com geöffnet. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Login/Logoff Scripts] . 9 Klicken Sie auf das Symbol [Change Order] ( ) Das Dialogfeld „Change Order“ wird geöffnet. 10 11 12 Wählen Sie das Skript aus, für das Sie die Reihenfolge ändern möchten. Klicken Sie auf das Symbol [Move Up] ( ) oder [Move Down] ( ). Klicken Sie auf [OK] . SSL VPN-Plus-Protokolle SSL VPN-Plus-Gateway-Protokolle werden an den auf der vShield Edge-Appliance konfigurierten SyslogServer gesendet. SSL VPN-Plus-Client-Protokolle werden auf dem Computer des Remotebenutzers im folgenden Verzeichnis gespeichert: %PROGRAMFILES%/VMWARE/SSL VPN Client/. Bearbeiten der allgemeinen Einstellungen Sie können Standard-VPN-Einstellungen bearbeiten. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [General Settings] . Das Dialogfeld „Change General Settings“ wird geöffnet. 144 VMware, Inc. Kapitel 9 vShield Edge-Management 9 10 Nehmen Sie die gewünschten Änderungen vor. Auswählen An Prevent multiple logon using same username Der Remotebenutzer darf sich mit einem Benutzernamen nur einmal anmelden. Enable compression Aktiviert die intelligente TCP-basierte Datenkomprimierung und erhöht die Datenübertragungsgeschwindigkeit. Protokollierung aktivieren Protokolliert den Datenverkehr, der über das SSL VPN-Gateway fließt. Force virtual keyboard Die Remotebenutzer dürfen die Web- oder Client-Anmeldeinformationen nur über die virtuelle Tastatur eingeben. Randomize keys of virtual keyboard Zufällige Anordnung der Tasten der virtuellen Tastatur. Enable forced timeout Nach Ablauf des festgelegten Zeitlimits wird die Verbindung des Remotebenutzers getrennt. Geben Sie das Zeitlimit in Minuten ein. Sitzungszeitüberschreitung bei Leerlauf Falls in der angegebenen Zeitspanne keine Benutzeraktivität stattfindet, wird die Sitzung des Benutzers beendet. User notification Geben Sie die Meldung ein, die bei der Anmeldung des Remotebenutzers angezeigt werden soll. Enable public URL access Ermöglicht dem Remotebenutzer den Zugriff auf Sites, die nicht vom Administrator konfiguriert wurden (und nicht im Webportal aufgeführt sind). Klicken Sie auf [OK] . Bearbeiten der Webportal-Gestaltung Sie können das Client-Banner bearbeiten, das an den SSL VPN-Client gebunden ist. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN] . 7 Klicken Sie auf die Registerkarte [SSL VPN‐Plus] . 8 Klicken Sie auf [Portal Customization] . Das Dialogfeld „Change Web Portal Design“ wird geöffnet. 9 Geben Sie den Portaltitel ein. 10 Geben Sie den Firmennamen des Remotebenutzers ein. 11 Klicken Sie unter [Logo] auf [Change] und wählen Sie die Bilddatei für das Logo des Remotebenutzers aus. 12 Klicken Sie unter [Colors] auf das Farbfeld neben dem nummerierten Element, für das Sie die Farbe ändern möchten, und wählen Sie die gewünschte Farbe aus. 13 Klicken Sie auf [OK] . VMware, Inc. 145 vShield-Administratorhandbuch Verwalten des Lastverteilerdiensts vShield Edge bietet Lastausgleich für TCP-, HTTP- und HTTPS-Datenverkehr. Lastausgleich bis Layer 7 ermöglicht die automatische Skalierung von Webanwendungen. Für den Lastausgleich ordnen Sie eine externe oder öffentliche IP-Adresse einer Gruppe interner Server zu. Der Lastausgleichsdienst akzeptiert TCP-, HTTP- oder HTTPS-Anforderungen über die externe IP-Adresse und entscheidet, welcher interne Server verwendet werden soll. Port 8090 ist der überwachende StandardPort für TCP, Port 80 ist der Standard-Port für HTTP und Port 443 ist der Standard-Port für HTTPS. Konfigurieren des Lastausgleichsdiensts Sie können einen Pool von Backend-Servern erstellen und die Dienste angeben, die der Pool unterstützen soll. Sie können dann zwei oder mehrere virtuelle Maschinen hinter einem Serverpool für den Lastausgleichsdienst zuweisen. Vorgehensweise 1 Hinzufügen eines Serverpools auf Seite 146 Sie können einen Serverpool hinzufügen, um Backend-Server flexibel und effizient zu verwalten und freizugeben. Ein Pool verwaltet Systemstatusprüfungs-Monitore und Lastausgleichsmethoden. 2 Hinzufügen von virtuellen Servern auf Seite 149 Fügen Sie eine interne oder Uplink-vShield Edge-Schnittstelle als virtuellen Server hinzu. Hinzufügen eines Serverpools Sie können einen Serverpool hinzufügen, um Backend-Server flexibel und effizient zu verwalten und freizugeben. Ein Pool verwaltet Systemstatusprüfungs-Monitore und Lastausgleichsmethoden. Vorgehensweise 1 Öffnen des Assistenten zum Hinzufügen eines Pools auf Seite 147 Öffnen Sie den Assistenten „Add Pool“, um den Vorgang für das Hinzufügen eines Lastverteilerpools zu starten. 2 Benennen des Lastverteilerpools auf Seite 147 Geben Sie einen aussagekräftigen Namen und eine optionale Beschreibung für den Lastverteilerpool an. 3 Auswählen und Konfigurieren von Diensten für den Pool auf Seite 147 Sie können die Dienste auswählen und konfigurieren, die von diesem Pool unterstützt werden. 4 Definieren der Systemzustandsparameter auf Seite 148 Bei einer Systemzustandsprüfung wird geprüft, ob alle Server im Serverpool betriebsbereit sind und auf Anfragen reagieren. 5 Hinzufügen von Servern auf Seite 148 Fügen Sie Backend-Server zum Pool hinzu. 6 Überprüfen der Einstellungen und Hinzufügen eines Pools auf Seite 149 Überprüfen Sie Ihre eingegebenen Einstellungen, bevor Sie den Serverpool hinzufügen. 146 VMware, Inc. Kapitel 9 vShield Edge-Management Öffnen des Assistenten zum Hinzufügen eines Pools Öffnen Sie den Assistenten „Add Pool“, um den Vorgang für das Hinzufügen eines Lastverteilerpools zu starten. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer] . 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Pools] befinden. 8 Klicken Sie auf das Symbol [Add] ( ). Der Assistent „Add Pool“ wird geöffnet. Benennen des Lastverteilerpools Geben Sie einen aussagekräftigen Namen und eine optionale Beschreibung für den Lastverteilerpool an. Vorgehensweise 1 Geben Sie auf der Seite „Name and Description“ des „Add Pool“-Assistenten einen Namen für den Lastverteilerpool ein. 2 (Optional) Geben Sie eine Beschreibung für den Pool ein. 3 Klicken Sie auf [Weiter] . Auswählen und Konfigurieren von Diensten für den Pool Sie können die Dienste auswählen und konfigurieren, die von diesem Pool unterstützt werden. Vorgehensweise 1 Klicken Sie auf der Seite „Services“ des „Add Pool“-Assistenten für jeden Dienst, der unterstützt werden soll, auf [Enable] . 2 Wählen Sie für jeden aktivierten Dienst eine Ausgleichsmethode aus. 3 VMware, Inc. Option Beschreibung IP_HASH Wählt basierend auf einem Hash der Quell- und Ziel-IP-Adresse eines jeden Pakets einen Server aus. LEAST_CONN Verteilt basierend auf der Anzahl der bereits auf den Servern aktiven Verbindungen die Client-Anforderungen an mehrere Server. Neue Verbindungen werden an den Server mit den wenigsten Verbindungen gesendet. ROUND_ROBIN Dabei wird die jedem Server zugeordnete Gewichtung berücksichtigt. Dies ist der geeignetste Algorithmus bei gleichmäßig verteilter Prozessorzeit auf dem Server. URI Der linke Teil der URI (vor dem Fragezeichen) wird zerlegt und durch die Gesamtgewichtung der laufenden Server geteilt. Aus dem Ergebnis wird ersichtlich, welcher Server die Anforderung erhalten wird. Dies gewährleistet, dass eine URI immer auf denselben Server gerichtet ist, solange kein Server heruntergefahren oder gestartet wird. (Optional) Ändern Sie den Standardport für jeden aktivierten Dienst, falls erforderlich. 147 vShield-Administratorhandbuch 4 Wiederholen Sie Schritt 1 bis Schritt 3 für jeden weiteren Dienst, der für den Pool aktiviert werden soll. 5 Klicken Sie auf [Weiter] . Definieren der Systemzustandsparameter Bei einer Systemzustandsprüfung wird geprüft, ob alle Server im Serverpool betriebsbereit sind und auf Anfragen reagieren. vShield Edge unterstützt drei Prüfungsmodi für den Systemzustand. Option Beschreibung TCP TCP-Verbindungsprüfung. HTTP Die GET-/Standardmethode wird zum Ermitteln des Serverstatus verwendet. Nur die Antworten 2xx und 3xx sind gültig. Andere Antworten (einschließlich keiner Antwort) deuten auf einen Serverausfall hin. SSL Testet Server unter Verwendung von SSLv3-Client-Hello-Meldungen. Der Server wird als gültig betrachtet, wenn die Antwort Server-Hello-Meldungen enthält. Vorgehensweise 1 Falls erforderlich, ändern Sie auf der Seite „Health Check“ des Assistenten „Add Pool“ den Überwachungsport für jeden Dienst, der von diesem Pool unterstützt werden soll. Der Überwachungsport für den Systemzustand wird auch als Dienstport verwendet. 2 Wählen Sie den Prüfungsmodus für den Systemzustand für jeden Dienst aus. 3 Die Systemzustands-Prüfungsparameter werden in der nachfolgenden Tabelle aufgelistet. Sie können die Standardwerte bei Bedarf ändern. Parameter Beschreibung Interval Intervall, zu dem ein Server angepingt wird. Timeout Zeit, innerhalb der eine Antwort vom Server empfangen werden muss. Health Threshold Anzahl der aufeinanderfolgenden erfolgreichen Systemzustandsprüfungen, die durchzuführen sind, bevor ein Server als betriebsbereit betrachtet wird. Unhealth Threshold Anzahl der aufeinanderfolgenden fehlgeschlagenen Systemzustandsprüfungen, die durchzuführen sind, bevor ein Server als ausgefallen betrachtet wird. 4 Geben Sie für HTTP die URI ein, auf die in den HTTP-Ping-Anforderungen verwiesen wird. 5 Klicken Sie auf [Weiter] . Hinzufügen von Servern Fügen Sie Backend-Server zum Pool hinzu. Vorgehensweise 1 Klicken Sie auf der Seite „Members“ auf den Assistenten „Add Pool“. Klicken Sie anschließend auf das Symbol [Add] ( 148 ). 2 Geben Sie die IP-Adresse des Servers ein. 3 Geben Sie eine Gewichtung ein, um die Anzahl der Anforderungen festzulegen, die von diesem Backend-Server bedient werden sollen. 4 Ändern Sie bei Bedarf den Standardport und den Überwachungsport für den Server. 5 Klicken Sie auf [Hinzufügen] . 6 Wiederholen Sie die Schritte Schritt 1 bis Schritt 5, um weitere Server hinzuzufügen. VMware, Inc. Kapitel 9 vShield Edge-Management 7 Klicken Sie auf [Weiter] . Überprüfen der Einstellungen und Hinzufügen eines Pools Überprüfen Sie Ihre eingegebenen Einstellungen, bevor Sie den Serverpool hinzufügen. Vorgehensweise 1 Überprüfen Sie die Einstellungen für den Serverpool auf der Seite „Ready to Complete“ des Assistenten „Add Pool“. 2 Klicken Sie auf [Previous] , um die Einstellungen zu ändern. 3 Klicken Sie auf [Finish] , um die Einstellungen zu übernehmen und den Pool hinzuzufügen. 4 Klicken Sie auf [Publish Changes] , damit die Pool-Konfiguration wirksam wird. Hinzufügen von virtuellen Servern Fügen Sie eine interne oder Uplink-vShield Edge-Schnittstelle als virtuellen Server hinzu. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer] . 7 Klicken Sie auf die Registerkarte [Virtual Servers] . 8 Klicken Sie auf das Symbol [Add] ( ). 9 Geben Sie einen Namen für den virtuellen Server ein. 10 (Optional) Geben Sie eine Beschreibung für den virtuellen Server ein. 11 Geben Sie die IP-Adresse der vShield Edge-Schnittstelle ein. 12 Wählen Sie den Pool aus, der dem virtuellen Server zugewiesen werden soll. Die vom ausgewählten Pool unterstützten Dienste werden angezeigt. 13 Aktivieren Sie die Dienste, die unterstützt werden sollen, indem Sie im Bereich [Services] auf [Enable] klicken. 14 Ändern Sie nach Bedarf die Einstellungen für den Standardport, die Persistenzmethode, den CookieNamen und den Cookie-Modus. 15 Klicken Sie auf [Enabled] , um den virtuellen Server zu aktivieren. 16 Klicken Sie auf [Enable logging] . Bearbeiten eines Serverpools Sie können einen Serverpool bearbeiten. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. VMware, Inc. 149 vShield-Administratorhandbuch 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer] . 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „Pool“ befinden. 8 Wählen Sie den zu bearbeitenden Pool aus. 9 10 Klicken Sie auf das Symbol [Edit] ( ). Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [Finish] . Löschen eines Serverpools Sie können einen Serverpool löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer] . 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte „Pool“ befinden. 8 Wählen Sie den zu bearbeitenden Pool aus. 9 10 ). Klicken Sie auf das Symbol [Delete] ( Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [Finish] . Bearbeiten eines virtuellen Servers Sie können einen virtuellen Server bearbeiten. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer] . 7 Klicken Sie auf die Registerkarte [Virtual Servers] . 8 Wählen Sie den zu bearbeitenden virtuellen Server aus. 9 10 150 Klicken Sie auf das Symbol [Edit] ( ). Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [Finish] . VMware, Inc. Kapitel 9 vShield Edge-Management Löschen eines virtuellen Servers Sie können einen virtuellen Server löschen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer] . 7 Klicken Sie auf die Registerkarte [Virtual Servers] . 8 Wählen Sie den zu löschenden virtuellen Server aus. 9 Klicken Sie auf das Symbol [Delete] ( ). Grundlegendes zu High Availability High Availability (HA) stellt sicher, dass in Ihrem virtuellen Netzwerk immer eine vShield Edge-Appliance verfügbar ist. Sie können HA entweder bei der Installation von vShield Edge oder in einer installierten vShield Edge-Instanz aktivieren. Statusbehaftete High Availability Die primäre vShield Edge-Appliance befindet sich im aktiven und die sekundäre Appliance im Standby-Zustand. Alle vShield Edge-Dienste werden auf der aktiven Appliance ausgeführt. Die primäre Appliance hält ein Taktsignal mit der Standby-Appliance aufrecht und sendet Dienst-Updates über eine interne Schnittstelle. Wenn die Standby-Appliance im festgelegten Zeitintervall (der Standardwert ist 6 Sekunden) kein Taktsignal von der primären Appliance empfängt, gilt die primäre Appliance als ausgefallen. Die Standby-Appliance wechselt in den aktiven Zustand und übernimmt die Schnittstellenkonfiguration der primären Appliance. Sie startet die vShield Edge-Dienste, die auf der primären Appliance ausgeführt wurden. Bei der Durchführung des Wechsels wird auf der Registerkarte [System Events] ein Systemereignis unter „Settings & Reports“ angezeigt. Der Lastausgleichdienst und der VPN-Dienst müssen die TCP-Verbindung mit vShield Edge wiederherstellen, wodurch der Dienst kurz unterbrochen wird. Virtuelle Leitungsverbindungen und Firewall-Sitzungen zwischen der primären und der Standby-Appliance werden synchronisiert, sodass es während des Wechsels keine Dienstunterbrechung gibt. Wenn die vShield Edge-Appliance ausfällt und ein fehlerhafter Zustand gemeldet wird, erzwingt HA die Synchronisierung der ausgefallenen Appliance, um sie wiederherzustellen. Nach der Wiederherstellung der Appliance übernimmt diese die Konfiguration der derzeit aktiven Appliance und bleibt im Standby-Modus. Wenn die vShield Edge-Appliance ausgefallen ist, müssen Sie sie löschen und eine neue Appliance hinzufügen. vShield Edge repliziert die Konfiguration der primären Appliance für die Standby-Appliance. Sie können auch manuell zwei Appliances hinzufügen. Es wird empfohlen, die primäre und die sekundäre Appliance in getrennten Ressourcenpools und Datenspeichern anzulegen. Wenn Sie die primäre und sekundäre Appliance im selben Datenspeicher erstellen, muss der Datenspeicher von allen Hosts im Cluster gemeinsam genutzt werden, damit das HA-Appliance-Paar auf verschiedenen ESX-Hosts bereitgestellt wird. Wenn der Datenspeicher ein lokaler Speicher ist, werden beide virtuelle Maschinen auf demselben Host bereitgestellt. VMware, Inc. 151 vShield-Administratorhandbuch vShield Edge stellt sicher, dass sich die zwei virtuellen HA vShield Edge-Maschinen auch dann nicht auf demselben ESX-Host befinden, wenn Sie DRS und vMotion verwendet haben (es sei denn, Sie migrieren sie per vMotion manuell auf denselben Host). Zwei virtuelle Maschinen werden auf vCenter in demselben Ressourcenpool und Datenspeicher wie die von Ihnen konfigurierte Appliance bereitgestellt. Die IP-Adressen von lokalen Links werden virtuellen HA-Maschinen in der vShield Edge HA zugewiesen, damit sie untereinander kommunizieren können. Sie können Verwaltungs-IP-Adressen angeben, um die lokalen Links zu überschreiben. Wenn Syslog-Server konfiguriert sind, werden die Protokolle auf der aktiven Appliance an die Syslog-Server gesendet. vSphere High Availability vShield Edge HA ist mit vSphere HA kompatibel. Wenn der Host, auf dem die vShield Edge-Instanz ausgeführt wird, ausfällt, wird vShield Edge auf dem Standby-Host neu gestartet. Hierdurch wird sichergestellt, dass das vShield Edge HA-Paar ein weiteres Failover verarbeiten kann. Wenn vSphere HA nicht genutzt wird, übersteht das vShield Edge HA-Aktiv-Standby-Paar ein Failover. Falls jedoch ein weiteres Failover auftritt, bevor das zweite HA-Paar wiederhergestellt wurde, kann dies die Verfügbarkeit von vShield Edge beeinträchtigen. Weitere Informationen zu vSphere HA finden Sie unter vSphere-Verfügbarkeit. Ändern der HA-Konfiguration Sie können die HA-Konfiguration ändern, die Sie bei der Installation von vShield Edge festgelegt haben. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie die Syslog-Server angeben möchten. 6 Klicken Sie auf die Registerkarte [Configure] . 7 Klicken Sie auf den Link [Settings] . 8 Klicken Sie im Bereich [HA Configuration] auf [Change] . 9 Nehmen Sie im Dialogfeld „Change HA Configuration“ die entsprechenden Änderungen vor. 10 Klicken Sie auf [OK] . Konfigurieren von DNS-Servern Sie können externe DNS-Server konfigurieren, an die vShield Edge Namensauflösungsanforderungen von Clients weiterleiten können. vShield Edge leitet Clientanwendungsanforderungen an die DNS-Server weiter, um einen Netzwerknamen vollständig aufzulösen und die Antworten der Server zwischenzuspeichern. Vorgehensweise 152 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . VMware, Inc. Kapitel 9 vShield Edge-Management 5 Doppelklicken Sie auf eine vShield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Status] . 7 Klicken Sie im Bereich [DNS Configuration] auf [Change] . 8 Klicken Sie auf [Enable DNS Service] , um den DNS-Dienst zu aktivieren. 9 Geben Sie IP-Adressen für beide DNS-Server ein. 10 Ändern Sie bei Bedarf die Cachegröße. 11 Klicken Sie auf [Enable Logging] , um den DNS-Datenverkehr zu protokollieren. Generierte Protokolle werden an den Syslog-Server gesendet. 12 Wählen Sie die Protokollierungsebene aus. 13 Klicken Sie auf [OK] . Konfigurieren von Remote-Syslog-Servern Sie können einen oder zwei Remote-Syslog-Server konfigurieren. vShield Edge-Ereignisse und -Protokolle im Zusammenhang mit Firewallereignissen, die von vShield Edge-Appliances ausgehen, werden an die Syslog-Server gesendet. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Doppelklicken Sie auf die vShield Edge-Instanz, für die Sie die Syslog-Server angeben möchten. 6 Klicken Sie auf die Registerkarte [Status] . 7 Klicken Sie im Fenster [Details] neben den Syslog-Servern auf [Change] . 8 Geben Sie die IP-Adressen beider Remote-Syslog-Server ein. 9 Klicken Sie zum Speichern der Konfiguration auf [Add] . Ändern der CLI-Anmeldedaten Sie können die Anmeldedaten ändern, die zum Anmelden bei der Befehlszeilenschnittstelle (CLI) verwendet werden sollen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Wählen Sie eine vShield Edge-Instanz aus. 6 7 VMware, Inc. Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Change CLI Credentials] . Nehmen Sie die gewünschten Änderungen vor. 153 vShield-Administratorhandbuch 8 Klicken Sie auf [OK] . Durchführen eines Upgrades von vShield Edge auf Large oder XLarge Wenn Sie eine kompakte vShield Edge-Instanz installiert haben, können Sie ein Upgrade auf eine große (large) bzw. sehr große (x-large) vShield Edge-Instanz durchführen. Voraussetzungen n Eine kompakte vShield Edge-Instanz benötigt 256 MB Speicher und 200 MB Festplattenspeicher. n Eine große (large) vShield Edge-Instanz benötigt 1 GB Arbeitsspeicher und 256 MB Festplattenspeicher. n Eine sehr große (x-large) vShield Edge-Instanz benötigt 8 GB Arbeitsspeicher und 256 MB Festplattenspeicher. Ein sehr große vShield Edge-Instanz wird für eine Umgebung empfohlen, in der der Lastausgleichsdienst für Millionen gleichzeitiger Sitzungen verwendet wird. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Wählen Sie eine kompakte vShield Edge-Instanz. 6 Klicken Sie auf das Symbol [More Actions] ( X‐Large] . ) und wählen Sie [Upgrade to Large] oder [Upgrade to Das Upgrade der vShield Edge-Instanz wird durchgeführt. Herunterladen von Tech Support-Protokollen für vShield Edge Sie können Protokolle für den technischen Support für jede vShield Edge-Instanz herunterladen. Wenn High Availability für die vShield Edge-Instanz aktiviert ist, werden die Support-Protokolle von beiden virtuellen vShield Edge-Maschinen heruntergeladen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf die Registerkarte [Edges] . 5 Wählen Sie eine vShield Edge-Instanz aus. 6 154 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Download Tech Support Logs] . 7 Sobald die Protokolle für den technischen Support generiert wurden, klicken Sie auf [Download] . 8 Wählen Sie im Dialogfeld „Select Location for Download“ das Verzeichnis aus, in dem die Protokolldatei gespeichert werden soll. 9 Klicken Sie auf [Save] . 10 Klicken Sie auf [Schließen] . VMware, Inc. Kapitel 9 vShield Edge-Management Synchronisieren von vShield Edge mit vShield Manager Wenn ein vShield-Dienst nicht antwortet oder nicht mit den Angaben von vShield Manager synchron ist, können Sie eine Synchronisierungsanforderung von vShield Manager an vShield Edge senden. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Wählen Sie eine vShield Edge-Instanz aus. 6 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Force Sync] . Erneutes Bereitstellen von vShield Edge Wenn vShield-Dienste nach einer erzwungenen Synchronisierung nicht wie erwartet funktionieren, können Sie die vShield Edge-Instanz erneut bereitstellen. Vorgehensweise 1 Wählen Sie im vSphere-Client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization] . 4 Klicken Sie auf den Link [Edges] . 5 Wählen Sie eine vShield Edge-Instanz aus. 6 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Redeploy Edge] . Die virtuelle vShield Edge-Maschine wird durch eine neue virtuelle Maschine ersetzt und alle Dienste werden wiederhergestellt. Wenn das erneute Bereitstellen nicht funktioniert, schalten Sie die virtuelle vShield Edge-Maschine aus und wiederholen Sie den Vorgang. HINWEIS Das erneute Bereitstellen gelingt in den folgenden Fällen möglicherweise nicht. n Der Ressourcenpool, auf dem vShield Edge installiert wurde, befindet sich nicht mehr in der vCenterBestandsliste oder seine MOID (Bezeichner in vCenter Server) hat sich geändert. n Der Datenspeicher, auf dem vShield Edge installiert wurde, ist beschädigt, nicht gemountet oder unzugänglich. n Die dvportGroups, an die die vShield-Schnittstellen angeschlossen wurden, befinden sich nicht mehr in der vCenter-Bestandsliste oder ihre MOID (Bezeichner in vCenter Server) hat sich geändert. Wenn eine der Bedingungen zutrifft, müssen Sie die MOID des Ressourcen-Pools, des Datenspeichers oder der dvPortGroup mit dem Befehl „REST API“ aktualisieren. Weitere Informationen hierzu finden Sie im vShield API Programming Guide. VMware, Inc. 155 vShield-Administratorhandbuch 156 VMware, Inc. Verwalten des Einfügens von Diensten 10 VMware-Partner können NetX-Dienste in ihre virtuelle VMware-Umgebung integrieren. Nachdem Sie die Dienste, die Sie anbieten möchten, entworfen haben, können Sie Ihre virtuelle Dienstmaschine implementieren und Anbietervorlagen erstellen, die die Einstellungen und Konfigurationsparameter für die Ebenen eines angebotenen Diensts oder anderer Dienste enthalten, die Sie anbieten. Ihr Service-Administrator registriert Ihren Service Manager und den Dienst mit vShield Manager und überwacht den Systemzustand und die Leistung des Diensts. Dienstkonsumenten können zum Konfigurieren eines Diensts für einen Bereich des Netzwerks ein Dienstprofil erstellen und anbieterspezifische Attribute des Diensts bearbeiten. Anschließend können sie einen Dienst an eine virtuelle Leitung binden. Dieses Kapitel behandelt die folgenden Themen: n „Einfügen von Netzwerkdiensten“, auf Seite 157 n „Ändern der Prioritäten von Diensten“, auf Seite 160 n „Bearbeiten eines Service Manager“, auf Seite 160 n „Löschen eines Service Manager“, auf Seite 161 n „Bearbeiten eines Diensts“, auf Seite 161 n „Löschen eines Diensts“, auf Seite 161 n „Bearbeiten eines Dienstprofils“, auf Seite 161 n „Löschen eines Dienstprofils“, auf Seite 162 Einfügen von Netzwerkdiensten VMware Solution Partner (Anbieter) können ihre Lösungen in vShield Manager integrieren und die Bereitstellung und Verwendung dieser Lösungen automatisieren. Am Netzwerkrand können Netzwerkdienste eingesetzt werden, die mit vShield Edge-Diensten wie Lastausgleich und der vShield Edge-Firewall zusammenarbeiten. Vorgehensweise 1 Registrieren des Service Manager auf Seite 158 Sie müssen den Service Manager des Lösungsanbieters bei vShield Manager registrieren. Ihr Service Manager verwaltet Ihre Dienste in der vShield-Umgebung. 2 Registrieren des Diensts auf Seite 158 Registrieren Sie den Partnerdienst, den Sie bei vShield Manager registrieren möchten. VMware, Inc. 157 vShield-Administratorhandbuch 3 Erstellen von Dienstprofilen auf Seite 159 Verbraucher von Diensten können ein Dienstprofil erstellen, das eine kombinierte Einstellung der Konfiguration, die von der Virtualisierungs-Infrastruktur zum Ausführen des Diensts benötigt wird, und der anbieterspezifischen Konfiguration für den Dienst darstellt. Zu der anbieterspezifischen Konfiguration gehören „network-region-awareness“, Dienstqualität usw. Darüber hinaus können Sie anbieterspezifische Attribute des Diensts bearbeiten. 4 Bereitstellen des Diensts auf Seite 160 Sie können einen Dienst auf einer virtuellen Leitung bereitstellen. Registrieren des Service Manager Sie müssen den Service Manager des Lösungsanbieters bei vShield Manager registrieren. Ihr Service Manager verwaltet Ihre Dienste in der vShield-Umgebung. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf [Service Insertion] . 3 Klicken Sie auf die Registerkarte [Managers] . 4 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Create Service Manager“ wird geöffnet. 5 Geben Sie einen Namen für den Service Manager ein. 6 (Optional) Geben Sie eine Beschreibung für den Service Manager ein. 7 (Optional) Geben Sie unter [Administrative URL] die URL des Service Manager des Lösungsanbieters ein. 8 (Optional) Geben Sie unter [Base API URL] die URL der Website ein, auf der die REST APIs des Service Manager zur Verfügung stehen. Die Basis-API URL muss nur für Lösungen angegeben werden, die direkt in die virtuelle VMware-Umgebung integriert wurden. 9 (Optional) Geben Sie unter [Vendor Details] die ID und den Namen des Lösungsanbieters ein. 10 Geben Sie unter [Credentials] den Benutzernamen und das Kennwort zur Anmeldung beim Service Manager ein. 11 Klicken Sie auf [OK] . Der Service Manager, den Sie erstellt haben, wird zur Service Manager-Tabelle hinzugefügt. Registrieren des Diensts Registrieren Sie den Partnerdienst, den Sie bei vShield Manager registrieren möchten. Voraussetzungen Der VMware-Lösungsanbieter muss für Sie eine Dienstvorlage angegeben haben. Die Vorlage definiert möglicherweise die Dienstebene, die Sie hinzufügen, oder stellt weitere Informationen zu dem Dienst bereit. Vorgehensweise 158 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf [Service Insertion] . VMware, Inc. Kapitel 10 Verwalten des Einfügens von Diensten 3 4 Klicken Sie auf die Registerkarte [Services] . Klicken Sie auf das Symbol [Add] ( ). Der Service Wizard wird geöffnet. 5 Geben Sie einen Namen für den Dienst ein. 6 Wählen Sie eine Kategorie für den Dienst aus, den Sie hinzufügen. 7 Wählen Sie den Service Manager für den Dienst aus. 8 Geben Sie eine Beschreibung für den Dienst ein. 9 Klicken Sie auf [Weiter] . 10 Um eine Dienstkonfiguration oder andere Anbieterinformationen hinzuzufügen, klicken Sie auf [Add] ( ). Das Dialogfeld „Create Vendor Template“ wird geöffnet. 11 Geben Sie die ID und den Namen der Anbietervorlage ein. 12 Geben Sie eine Beschreibung für die Vorlage ein. 13 Klicken Sie auf [OK] . 14 Klicken Sie unter „Service Configuration“ auf „Next“. 15 Überprüfen Sie die Informationen zum Dienst und zur Konfiguration. 16 Klicken Sie auf [Beenden] . Der Dienst wird zur Diensttabelle hinzugefügt. Erstellen von Dienstprofilen Verbraucher von Diensten können ein Dienstprofil erstellen, das eine kombinierte Einstellung der Konfiguration, die von der Virtualisierungs-Infrastruktur zum Ausführen des Diensts benötigt wird, und der anbieterspezifischen Konfiguration für den Dienst darstellt. Zu der anbieterspezifischen Konfiguration gehören „network-region-awareness“, Dienstqualität usw. Darüber hinaus können Sie anbieterspezifische Attribute des Diensts bearbeiten. Ein Dienst kann mehrere Dienstprofile haben. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden. 3 Klicken Sie auf den Dienst, für den Sie ein Profil erstellen möchten. 4 Klicken Sie auf die Registerkarte [Service Profiles] . 5 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld „Create Service Profile“ wird geöffnet. 6 Geben Sie einen Namen und eine Beschreibung für das Profil ein. 7 Wählen Sie die Anbietervorlage aus, für die Sie die Attribute bearbeiten möchten. 8 Bearbeiten Sie die erforderlichen Attributwerte. 9 Klicken Sie auf [OK] . VMware, Inc. 159 vShield-Administratorhandbuch Bereitstellen des Diensts Sie können einen Dienst auf einer virtuellen Leitung bereitstellen. Vorgehensweise 1 Wählen Sie in der Bestandsliste von vShield Manager eine Datencenterressource aus. 2 Klicken Sie auf die Registerkarte [Network Virtualization] . 3 Klicken Sie auf die Registerkarte [Virtual Wires] . 4 Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, auf der Sie einen Dienst bereitstellen möchten. 5 Klicken Sie im Bereich [Available Services] auf [Enable Services] . 6 Wählen Sie im Dialogfeld „Apply Service Profile to this Network“ den Dienst und das Dienstprofil aus, die Sie anwenden möchten. 7 Klicken Sie auf [Übernehmen] . Ändern der Prioritäten von Diensten Dienste werden in der Reihenfolge, in der sie in der Diensttabelle aufgeführt sind, angewendet. Sie können einen Dienst in der Tabelle nach oben oder nach unten verschieben. Voraussetzungen Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf [Service Insertion] . 3 Klicken Sie auf die Registerkarte [Services] . 4 Wählen Sie den gewünschten Dienst aus. 5 6 7 Klicken Sie auf . Klicken Sie auf das Symbol [Move Up] ( wünschte Stelle zu verschieben. ) oder [Move Down] ( ), um den Dienst an die ge- Klicken Sie auf [OK] . Bearbeiten eines Service Manager Sie können einen Service Manager bearbeiten. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Managers] befinden. 3 Klicken Sie auf den Service Manager, den Sie bearbeiten möchten. 4 Klicken Sie auf [Bearbeiten] . Das Dialogfeld „Edit Service Manager“ wird geöffnet. 5 160 Nehmen Sie die erforderlichen Änderungen vor. VMware, Inc. Kapitel 10 Verwalten des Einfügens von Diensten 6 Klicken Sie auf [OK] . Löschen eines Service Manager Sie können einen Service Manager löschen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf [Service Insertion] . 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Managers] befinden. 4 Klicken Sie auf den Service Manager, den Sie löschen möchten. 5 Klicken Sie auf das Symbol [Delete] ( ). Bearbeiten eines Diensts Falls erforderlich, können Sie einen Dienst bearbeiten. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden. 3 Klicken Sie auf den Dienst, den Sie bearbeiten möchten. 4 Klicken Sie auf [Bearbeiten] . Das Dialogfeld „Edit Service“ wird geöffnet. 5 Nehmen Sie die erforderlichen Änderungen vor. 6 Klicken Sie auf [OK] . Löschen eines Diensts Sie können einen Dienst löschen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf [Service Insertion] . 3 Klicken Sie auf die Registerkarte [Services] . 4 Klicken Sie auf den Dienst, den Sie löschen möchten. 5 Klicken Sie auf das Symbol [Delete] ( ). Bearbeiten eines Dienstprofils Sie können die Beschreibung, die Vorlage oder die Attribute eines Dienstprofils bearbeiten. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf [Service Insertion] . VMware, Inc. 161 vShield-Administratorhandbuch 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden. 4 Klicken Sie auf den Dienst, für den Sie ein Profil erstellen möchten. 5 Klicken Sie auf die Registerkarte [Service Profiles] . 6 Klicken Sie auf das Profil, das Sie bearbeiten möchten. 7 Klicken Sie auf [Bearbeiten] . Das Dialogfeld „Edit Service Profile“ wird geöffnet. 8 Nehmen Sie die erforderlichen Änderungen vor. 9 Klicken Sie auf [OK] . Löschen eines Dienstprofils Sie können ein Dienstprofil löschen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf [Service Insertion] . 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden. 4 Klicken Sie auf den Dienst, für den Sie ein Profil löschen möchten. 5 Klicken Sie auf die Registerkarte [Service Profiles] . 6 Klicken Sie auf das Profil, das Sie löschen möchten. 7 162 Klicken Sie auf das Symbol [Delete] ( ). VMware, Inc. vShield App-Management 11 vShield App ist eine Hypervisor-basierte Firewall, die Anwendungen im virtuellen Datencenter vor netzwerkbasierten Angriffen schützt. Organisationen erhalten Sichtbarkeit und Kontrolle über die Netzwerkkommunikation zwischen virtuellen Maschinen. Sie können Zugriffssteuerungsrichtlinien anhand logischer Konstrukte, wie z. B. VMware vCenter™-Container und vShield-Sicherheitsgruppen, und nicht nur anhand physischer Konstrukte, wie z. B. IP-Adressen, erstellen. Außerdem bietet die flexible IP-Adressierung die Möglichkeit, dieselbe IP-Adresse in mehreren Tenant-Zonen zu verwenden, was die Bereitstellung vereinfacht. Sie sollten vShield App auf jedem ESX-Host innerhalb eines Clusters installieren, damit VMware vMotionVorgänge funktionieren und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert werden. Standardmäßig kann eine virtuelle vShield App-Appliance nicht mit vMotion verschoben werden. Dieses Kapitel behandelt die folgenden Themen: n „Senden von vShield App-Systemereignissen an einen Syslog-Server“, auf Seite 163 n „Anzeigen des aktuellen Systemstatus einer vShield App“, auf Seite 164 n „Neustarten einer vShield App-Instanz“, auf Seite 164 n „Erzwingen der Synchronisierung einer vShield App mit vShield Manager“, auf Seite 164 n „Anzeigen der Datenverkehrsstatistiken in der vShield App-Benutzeroberfläche“, auf Seite 165 n „Herunterladen der Protokolle des technischen Supports für vShield App“, auf Seite 165 n „Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vShield App Firewall“, auf Seite 165 n „Ausschließen virtueller Maschinen vom Schutz durch die vShield App“, auf Seite 166 Senden von vShield App-Systemereignissen an einen Syslog-Server Sie können vShield App-Systemmeldungen senden, die in Zusammenhang mit Firewallereignissen stehen, die von vShield App-Appliances an einen Syslog-Server übertragen werden. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie im Bereich [Service Virtual Machines] die vShield App-SVM. 5 Geben Sie im Bereich „Syslog Servers“ die IP-Adresse des Syslog-Servers ein. VMware, Inc. 163 vShield-Administratorhandbuch 6 Wählen Sie im Dropdown-Menü [Log Level] die Ereignisstufe aus, ab der vShield App-Ereignisse an den Syslog-Server gesendet werden sollen. Wenn Sie z.B. [Emergency] auswählen, werden lediglich Notfallereignisse an den Syslog-Server gesendet. Bei Auswahl von [Critical] werden kritische Ereignisse sowie Warn- und Notfallereignisse an den Syslog-Server gesendet. vShield App-Ereignisse werden an bis zu drei Syslog-Instanzen gesendet. 7 Klicken Sie auf [Save] , um die neuen Einstellungen zu speichern. Anzeigen des aktuellen Systemstatus einer vShield App Über die Option [System Status] können Sie den Integritätsstatus einer vShield App-Instanz anzeigen und beeinflussen. Die angezeigten Details umfassen Systemstatistiken, den Status von Schnittstellen, die Softwareversion sowie Umgebungsvariablen. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie im Bereich [Service Virtual Machines] die vShield App-SVM. Im Bereich „Resource Utilization“ werden die Systemdetails für die vShield App angezeigt. Neustarten einer vShield App-Instanz Sie können eine vShield App-Instanz neu starten, um ein Problem bei der Ausführung zu beheben. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie im Bereich [Service Virtual Machines] die vShield App-SVM. 5 Klicken Sie auf [Restart] . Erzwingen der Synchronisierung einer vShield App mit vShield Manager Über die Option [Force Sync] wird die erneute Synchronisierung einer vShield App-Instanz mit vShield Manager erzwungen. Dies kann nach einem Software-Upgrade erforderlich sein. Vorgehensweise 164 1 Navigieren Sie in vSphere Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie im Bereich [Service Virtual Machines] die vShield App-SVM. 5 Klicken Sie auf [Force Sync] . VMware, Inc. Kapitel 11 vShield App-Management Anzeigen der Datenverkehrsstatistiken in der vShield AppBenutzeroberfläche Sie können die Datenverkehrstatistiken für die einzelnen vShield-Instanzen anzeigen. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie im Bereich [Service Virtual Machines] die vShield App-SVM. Im Bereich „Management Port Interface“ wird die Datenverkehrsstatistik für die vShield App angezeigt. Herunterladen der Protokolle des technischen Supports für vShield App Sie können die Protokolle des technischen Supports für jeden Host herunterladen, auf dem Sie vShield App installiert haben. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie in „Service Virtual Machines“ auf [Download Support logs] . 4 Klicken Sie auf [Log file generated; click here to download] . 5 Öffnen oder speichern Sie die Protokolldatei. Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vShield App Firewall Standardmäßig ist der Datenverkehr blockiert, wenn die vShield App-Appliance ausfällt oder nicht verfügbar ist. Sie können den ausfallsicheren Modus ändern, damit der Datenverkehr durchgeleitet wird. Vorgehensweise 1 Melden Sie sich beim vShield Manager an. 2 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 3 Klicken Sie auf die Registerkarte [vShield App] . 4 Klicken Sie unter [Fail Safe] auf [Change] . 5 Klicken Sie bei „Change App Fail Policy“ auf [Yes] . VMware, Inc. 165 vShield-Administratorhandbuch Ausschließen virtueller Maschinen vom Schutz durch die vShield App Sie können virtuelle Maschinen vom Schutz durch die vShield App ausschließen. Diese Ausschlussliste gilt innerhalb des angegebenen vShield Manager über alle vShield App-Installationen hinweg. Wenn eine virtuelle Maschine über mehrere vNICs verfügt, werden alle vom Schutz ausgeschlossen. vShield Manager und virtuelle Dienstmaschinen werden automatisch vom Schutz der vShield App ausgeschlossen. Sie sollten vCenter Server und virtuelle Dienstmaschinen von Partnern ebenfalls ausschließen, damit der Datenverkehr frei fließen kann. Das Ausschließen von virtuellen Maschinen vom Schutz der vShield App ist für Fälle nützlich, bei denen sich vCenter Server in demselben Cluster befindet, in dem vShield App eingesetzt wird. Nach der Aktivierung dieser Funktion wird kein Datenverkehr von ausgeschlossen virtuellen Maschinen durch die vShield App-Appliance durchgeleitet. HINWEIS vCenter Server kann in einen Cluster verschoben werden, der von vShield App geschützt wird, er muss jedoch bereits in der Ausschlussliste vorhanden sein, um Verbindungsprobleme mit vCenter Server zu vermeiden. Vorgehensweise 1 Melden Sie sich beim vShield Manager an. 2 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 3 Klicken Sie auf die Registerkarte [App Global Configuration] . 4 Klicken Sie unter [ Virtual Machines Exclusion List] auf [Add.] Das Dialogfeld „Add Virtual Machines to Exclude“ wird geöffnet. 5 Klicken Sie auf das Feld neben „Select“ und klicken Sie dann auf die virtuelle Maschine, die Sie ausschließen möchten. 6 Klicken Sie auf [Select.] Die ausgewählte virtuelle Maschine wird zur Liste hinzugefügt. 7 166 Klicken Sie auf [OK] . VMware, Inc. vShield App Flow Monitoring 12 Flow Monitoring ist ein Tool zur Datenverkehrsanalyse, mit dem Sie detaillierte Informationen zum Datenverkehr in Ihrem virtuellen Netzwerk anzeigen können, der eine vShield App-Instanz durchläuft. Die Flow Monitoring-Ausgabe zeigt, welche Maschinen Daten über welche Anwendung austauschen. Diese Daten umfassen die Anzahl von Sitzungen und Paketen sowie die Bytes, die pro Sitzung übertragen werden. Die Sitzungsdetails umfassen die Quellen, Ziele, Sitzungsrichtungen und Anwendungen sowie die verwendeten Ports. Anhand der Sitzungsdetails können Firewallregeln für das Zulassen oder Blockieren von Datenverkehr erstellt werden. Sie können Flow Monitoring als forensisches Tool zum Ermitteln von nicht autorisierten Diensten sowie zum Untersuchen ausgehender Sitzungen nutzen. Dieses Kapitel behandelt die folgenden Themen: n „Anzeigen der Flow Monitoring-Daten“, auf Seite 168 n „Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow Monitoring-Bericht aus“, auf Seite 171 n „Ändern des Datumsbereichs der Flow Monitoring-Diagramme“, auf Seite 172 VMware, Inc. 167 vShield-Administratorhandbuch Anzeigen der Flow Monitoring-Daten Sie können Datenverkehrssitzungen anzeigen, die innerhalb der angegebenen Zeitspanne von einer vShield App überprüft wurden. Standardmäßig werden die Daten der letzten 24 Stunden angezeigt. Der Minimalwert für die Zeitspanne beträgt eine Stunde, der Maximalwert zwei Wochen. Vorgehensweise 1 168 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Maschine, eine Portgruppe, einen Netzwerkadapter oder eine virtuelle Leitung aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine a b c Wechseln Sie zu [Inventory] > [Hosts and Clusters] . Wählen Sie ein Datencenter oder eine virtuelle Maschine aus. Klicken Sie auf die Registerkarte [vShield] . Auswählen einer Portgruppe oder eines Netzwerkadapters a b c Wechseln Sie zu [Inventory] > [Networking] . Wählen Sie eine Portgruppe oder einen Netzwerkadapter aus. Klicken Sie auf die Registerkarte [vShield] . Auswählen einer virtuellen Leitung a Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. b Klicken Sie auf die Registerkarte „Networks“. c Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. HINWEIS Die Registerkarte „Flow Monitoring“ für virtuelle Leitungen ist nur verfügbar, wenn vShield App auf mindestens einem Host im Cluster installiert ist, von dem aus die virtuelle Leitung erstellt wurde. Flow Monitoring-Daten werden nur für den Datenverkehr angezeigt, der den Host passiert, auf dem vShield App installiert ist. VMware, Inc. Kapitel 12 vShield App Flow Monitoring 2 Klicken Sie auf [Flow Monitoring] . Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten 24 Stunden an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. Die Leiste am oberen Rand der Seite zeigt den Prozentsatz für den zulässigen Datenverkehr in Grün, für den blockierten Datenverkehr in Rot und für den durch SpoofGuard blockierten Datenverkehr in Orange an. Die Statistiken zum Datenverkehr werden auf drei Registerkarten angezeigt: n [Top Flows] zeigt den gesamten eingehenden und ausgehenden Datenverkehr pro Dienst über den angegebenen Zeitraum an. Es werden die fünf Top-Dienste angezeigt. n [Top Destinations] zeigt den eingehenden Datenverkehr pro Ziel über den angegebenen Zeitraum an. Es werden die fünf Top-Ziele angezeigt. n [Top Sources] zeigt den ausgehenden Datenverkehr pro Quelle über den angegebenen Zeitraum an. Es werden die fünf Top-Quellen angezeigt. Jede Registerkarte stellt die Datenverkehrsinformationen in einem Liniendiagramm dar. Wenn Sie die Maus über die Plot-Punkte auf dem Diagramm bewegen, werden folgende Informationen angezeigt: Anwendung/Protokoll:Port, Datenverkehsquelle oder -Ziel (abhängig von der ausgewählten Registerkarte), Datum und Uhrzeit, ob der Datenverkehr vShield App passiert hat sowie die Paketgröße. VMware, Inc. 169 vShield-Administratorhandbuch 3 Klicken Sie auf die Registerkarte [Details] . Es werden detaillierte Informationen zum gesamten Datenverkehr für den ausgewählten Dienst angezeigt. Klicken Sie auf [Load More Records] , um weitere Flows anzuzeigen. Die Registerkarte [Allowed Flows] enthält die zulässigen Datenverkehrssitzungen, die Registerkarte [Blocked Flows] den blockierten Datenverkehr. Sie können nach Dienstnamen suchen. 4 Klicken Sie auf ein Element in der Tabelle, um die Regeln anzuzeigen, die den Datenverkehr zugelassen oder blockiert haben. Die Spalte „Description“ gibt an, ob dieser Datenverkehr durch eine Regel oder durch SpoofGuard blockiert wurde. Klicken Sie auf [Load More Records] , um zusätzliche Datenströme anzuzeigen. 170 5 Wenn Sie Regeln gruppieren möchten, wählen Sie im Dropdown-Menü [Group By] die entsprechende Option aus. 6 Klicken Sie auf [Rule Id] , um die Regeldetails anzuzeigen. VMware, Inc. Kapitel 12 vShield App Flow Monitoring Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow Monitoring-Bericht aus Indem Sie einen Drilldown für die Datenverkehrsdaten durchführen, können Sie die Nutzung Ihrer Ressourcen auswerten und Sitzungsinformationen an die App Firewall senden, um auf jeder beliebigen Ebene eine neue Regel zum Zulassen oder Ablehnen von Datenverkehr zu erstellen. Vorgehensweise 1 2 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Maschine, eine Portgruppe, einen Netzwerkadapter oder eine virtuelle Leitung aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine a b c Wechseln Sie zu [Inventory] > [Hosts and Clusters] . Wählen Sie ein Datencenter oder eine virtuelle Maschine aus. Klicken Sie auf die Registerkarte [vShield] . Auswählen einer Portgruppe oder eines Netzwerkadapters a b c Wechseln Sie zu [Inventory] > [Networking] . Wählen Sie eine Portgruppe oder einen Netzwerkadapter aus. Klicken Sie auf die Registerkarte [vShield] . Auswählen einer virtuellen Leitung a Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. b Klicken Sie auf die Registerkarte „Networks“. c Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. HINWEIS Die Registerkarte „Flow Monitoring“ für virtuelle Leitungen ist nur verfügbar, wenn vShield App auf mindestens einem Host im Cluster installiert ist, von dem aus die virtuelle Leitung erstellt wurde. Flow Monitoring-Daten werden nur für den Datenverkehr angezeigt, der den Host passiert, auf dem vShield App installiert ist. Klicken Sie auf [Flow Monitoring] . Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten 24 Stunden an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 3 Klicken Sie auf die Registerkarte [Details] . Klicken Sie auf [Load More Records] , um weitere Flows anzuzeigen. 4 Klicken Sie auf einen Dienst, um den Datenfluss für diesen Dienst zu sehen. Es werden alle Regeln, die Datenverkehr für diesen Dienst zugelassen oder abgelehnt haben, angezeigt. 5 VMware, Inc. Klicken Sie auf eine Regel-ID, um die Regeldetails anzusehen. 171 vShield-Administratorhandbuch 6 Führen Sie einen der folgenden Schritte aus: n n So bearbeiten Sie eine Regel: 1 Klicken Sie auf [Edit Rule] in der Spalte [Actions] . 2 Ändern Sie den Namen, die Aktion oder die Kommentare für die Regel. 3 Klicken Sie auf OK. So fügen Sie eine Regel hinzu: 1 Klicken Sie auf [Add Rule] in der Spalte [Actions] . 2 Füllen Sie das Formular vollständig aus, um die Regel hinzuzufügen. Es ist nicht möglich, ein Protokoll, eine IP-Adresse oder eine MAC-Adresse als Quelle oder Ziel zu einer Firewallregel hinzuzufügen. Falls die Quelle oder das Ziel der Regel eine IP- oder MAC-Adresse ist, müssen Sie ein IPSet oder MACSet für diese Adresse anlegen. Falls die Quelle oder das Ziel der Regel ein Protokoll ist, müssen Sie für dieses Protokoll einen Dienst erstellen. Weitere Informationen zum Ausfüllen des Formulars für Firewallregeln finden Sie unter „Hinzufügen einer Firewallregel“, auf Seite 178. 3 Klicken Sie auf [OK] . Die Regel wird oben in die Firewallregeltabelle eingefügt. Ändern des Datumsbereichs der Flow Monitoring-Diagramme Sie können den Datumsbereich der Flow Monitoring-Daten ändern, um eine Verlaufsansicht der Datenverkehrsdaten anzuzeigen. Vorgehensweise 1 2 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Maschine, eine Portgruppe, einen Netzwerkadapter oder eine virtuelle Leitung aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine a b c Wechseln Sie zu [Inventory] > [Hosts and Clusters] . Wählen Sie ein Datencenter oder eine virtuelle Maschine aus. Klicken Sie auf die Registerkarte [vShield] . Auswählen einer Portgruppe oder eines Netzwerkadapters a b c Wechseln Sie zu [Inventory] > [Networking] . Wählen Sie eine Portgruppe oder einen Netzwerkadapter aus. Klicken Sie auf die Registerkarte [vShield] . Auswählen einer virtuellen Leitung a Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. b Klicken Sie auf die Registerkarte „Networks“. c Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. d Klicken Sie auf die Registerkarte [Sicherheit] . HINWEIS Die Registerkarte „Flow Monitoring“ für virtuelle Leitungen ist nur verfügbar, wenn vShield App auf mindestens einem Host im Cluster installiert ist, von dem aus die virtuelle Leitung erstellt wurde. Flow Monitoring-Daten werden nur für den Datenverkehr angezeigt, der den Host passiert, auf dem vShield App installiert ist. Klicken Sie auf [Flow Monitoring] . Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten 24 Stunden an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 172 VMware, Inc. Kapitel 12 vShield App Flow Monitoring 3 Klicken Sie neben [Time Period] auf [Change] . 4 Wählen Sie den Zeitraum aus oder geben Sie ein neues Start- und Enddatum ein. Die maximale Zeitspanne, für die Sie Verkehrsflussdaten anzeigen können, sind die letzten zwei Wochen. 5 VMware, Inc. Klicken Sie auf [Aktualisieren] . 173 vShield-Administratorhandbuch 174 VMware, Inc. vShield App Firewall-Management 13 vShield App bietet Firewall-Schutz, indem Zugriffsrichtlinien erzwungen werden. Die Registerkarte App Firewall enthält die Zugriffssteuerungsliste für die vShield App Firewall. Dieses Kapitel behandelt die folgenden Themen: n „Verwenden der App Firewall“, auf Seite 175 n „Arbeiten mit Firewallregeln“, auf Seite 178 n „Verwenden von SpoofGuard“, auf Seite 183 Verwenden der App Firewall Der App Firewall-Dienst stellt eine zentrale Firewall für ESX-Hosts dar. Die App Firewall ermöglicht das Erstellen von Regeln, die den Zugriff auf virtuelle Maschinen sowie den Zugriff durch virtuelle Maschinen zulassen oder blockieren. Jede installierte vShield App Instanz erzwingt die App Firewall-Regeln. Sie können App Firewall-Regeln auf der Namespace-Ebene verwalten, um mehreren vShield App-Instanzen unter diesen Containern einen einheitlichen Regelsatz bereitzustellen. Namespace-Ebenen umfassen Datencenter, virtuelle Leitungen und Portgruppen mit unabhängigem Namespace. Während sich die Zugehörigkeit zu diesen Containern dynamisch ändern kann, behält die App Firewall den Status vorhandener Sitzungen bei, ohne dass eine Neukonfiguration von Firewallregeln erforderlich ist. Auf diese Weise ist die App Firewall durchgängig und effektiv für alle ESX-Hosts unter den verwalteten Containern aktiviert. Namespaces in einer Multi-Tenant-Umgebung Mithilfe der Namespace-Funktion kann vShield App im Multi-Tenant-Modus ausgeführt werden. Jeder Tenant kann eigene Firewallregeln und Sicherheitsgruppen haben. Standardmäßig verwenden alle Portgruppen in einem Datencenter denselben IP-Adressbereich. Sie können einen unabhängigen Namespace zu einer Portgruppe zuweisen. Dann gelten die Firewallregeln auf Datencenterebene nicht mehr für diese Portgruppe. So weisen Sie einer Portgruppe eine unabhängige IP-Adresse zu 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie in der Ressourcenstruktur eine Portgruppe aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Klicken Sie auf [Namespace] . 5 Klicken Sie auf [Change to Independent namespace] . 6 Klicken Sie auf [Reload] , um die aktualisierten Informationen anzuzeigen. VMware, Inc. 175 vShield-Administratorhandbuch Grundlegendes zu Diensten und Dienstgruppen Bei einem Dienst handelt es sich um die Kombination aus Protokoll und Port und eine Dienstgruppe ist eine Kombination aus zwei oder mehreren Diensten. Sie können Firewallregeln für Dienste und Servicegruppen definieren Weitere Informationen zum Erstellen von Anwendungen finden Sie unter „Arbeiten mit Diensten und Dienstgruppen“, auf Seite 22. Entwerfen von Sicherheitsgruppen Beim Erstellen von App Firewall-Regeln können Sie Regeln basierend auf dem Datenverkehr zu oder von einem bestimmten Container definieren, die für alle Ressourcen in diesem Container gelten. Sie können beispielsweise eine Regel festlegen, die jeglichen Datenverkehr innerhalb eines Clusters blockiert, der ein bestimmtes Ziel außerhalb des Clusters hat. Sie können eine Regel erstellen, um den eingehenden Datenverkehr zu blockieren, der über keine VLAN-ID verfügt. Wenn Sie einen Container als Quelle oder Ziel angeben, berücksichtigt die Regel alle IP-Adressen innerhalb dieses Containers. Eine Sicherheitsgruppe ist eine vertrauenswürdige Zone, die Sie zum Zweck des App Firewall-Schutzes erstellen und der Sie Ressourcen zuweisen. Sicherheitsgruppen sind Container, wie eine vApp oder ein Cluster. Sicherheitsgruppen ermöglichen das Erstellen eines Containers, indem Ressourcen wie virtuelle Maschinen und Netzwerkadapter nach Wunsch zugewiesen werden. Nach der Erstellung einer Sicherheitsgruppe fügen Sie die Gruppe dem Quell- oder Zielfeld einer App Firewall-Regel als Container hinzu. Weitere Informationen finden Sie unter „Gruppieren von Objekten“, auf Seite 25. Der Geltungsbereich der Sicherheitsgruppe ist auf die Ressourcenebene beschränkt, auf der sie erstellt wurde. Wenn Sie beispielsweise eine Sicherheitsgruppe auf Datencenterebene erstellen, kann die Sicherheitsgruppe nur dann als Quelle oder Ziel hinzugefügt werden, wenn Sie eine Firewallregel auf Datencenterebene erstellen. Wenn Sie eine Regel für eine Portgruppe mit einem unabhängigen Namespace innerhalb dieses Datencenters erstellen, ist die Sicherheitsgruppe nicht verfügbar. Grundlegendes zu systemdefinierten Regeln in App Firewall Die standardmäßige App Firewall-Regel lässt die Durchleitung von Datenverkehr durch alle vShield AppInstanzen zu. Die Standardregel für L3-Datenverkehr wird in der Firewalltabelle auf der Registerkarte [Ge‐ neral] aufgeführt. Die Standardregel für L2-Datenverkehr können Sie in der Firewalltabelle auf der Registerkarte [Ethernet] sehen. Die Standardregel befindet sich immer am Ende der Regeltabelle und kann weder gelöscht noch hinzugefügt werden. Sie können jedoch für jede Regel das Element [Action] von [Allow] in [Block] ändern sowie die Anmerkungen zur Regel bearbeiten und festlegen, ob der Datenverkehr zu dieser Regel protokolliert werden soll. Grundlegendes zu allgemeinen Regeln und Ethernet-Regeln Die Registerkarte [App Firewall] bietet mehrere Sätze konfigurierbarer Regeln: Layer 3-Regeln (L3-Regeln) (Registerkarte [General] ) und Layer 2-Regeln (L2-Regeln) (Registerkarte [Ethernet] ). Standardmäßig darf der gesamte allgemeine und Ethernet-Datenverkehr durchgeleitet werden. Sie können Regeln auf Datencenterebene, auf der Ebene der virtuellen Leitungen sowie auf Portgruppenebene mit unabhängigen Namespaces konfigurieren. 176 VMware, Inc. Kapitel 13 vShield App Firewall-Management Prioritäten von Firewallregeln Jede vShield App-Instanz erzwingt App Firewall-Regeln in absteigender Reihenfolge. Eine vShield App-Instanz vergleicht jede Datenverkehrssitzung zunächst mit der obersten Regel in der App Firewalltabelle und anschließend mit den nachfolgenden Regeln in der Tabelle. Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen. Das Erzwingen von Ethernet-Regeln hat Vorrang vor allgemeinen Regeln. Planen der Erzwingung von App Firewall-Regeln Mithilfe der App Firewall können Sie basierend auf der geltenden Netzwerkrichtlinie Zulassungs- und Blockierungsregeln konfigurieren. In den folgenden Beispielen werden zwei gängige Firewall-Richtlinien beschrieben: Gesamten Datenverkehr standardmäßig zulassen Sie lassen standardmäßig den gesamten Datenverkehr zu und fügen Blockierungssregeln hinzu, die auf Flow Monitoring-Daten oder einer manuellen App Firewall-Regelkonfiguration basieren. Wenn in diesem Szenario eine Sitzung keiner der Blockierungsregeln entspricht, lässt die vShield App-Instanz die Durchleitung des Datenverkehrs zu. Gesamten Datenverkehr standardmäßig blockieren Sie können den [Action] -Status der Standardregeln von [Allow] in [Block] ändern und für bestimmte Systeme und Anwendungen explizit Zulassungsregeln hinzufügen. Wenn in diesem Szenario eine Sitzung keiner der Zulassungsregeln entspricht, unterbindet vShield App die Sitzung, bevor sie ihr Ziel erreicht. Wenn Sie die Standardregeln so ändern, dass der gesamte Datenverkehr unterbunden wird, blockiert vShield App sowohl den ein- als auch den ausgehenden Datenverkehr. VMware, Inc. 177 vShield-Administratorhandbuch Arbeiten mit Firewallregeln Sie können vor oder nach dem Installieren einer Anwendung L3- und L2-Firewallregeln konfigurieren und veröffentlichen. Sobald eine Anwendung installiert ist, werden die zuletzt veröffentlichten Firewallregeln angewendet. Hinzufügen einer Firewallregel Sie können auf verschiedenen Containerebenen (Datencenter, virtuelle Leitung, Portgruppe mit unabhängigem Namespace) Firewallregeln hinzufügen. Wenn Sie pro Regel mehrere Objekte als Quell- und Zielebene hinzufügen, können Sie die Gesamtzahl an zu erstellenden Firewallregeln verringern. Vorgehensweise 1 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Leitung oder eine Portgruppe mit unabhängigem Namespace aus. Firewallregelebene Methode Datencenter a b c Wechseln Sie zu [Inventory] > [Hosts and Clusters] . Wählen Sie ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . Virtuelle Leitung a d Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Klicken Sie auf die Registerkarte „Networks“. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. Klicken Sie auf die Registerkarte [Sicherheit] . a b c Wechseln Sie zu [Inventory] > [Networking] . Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. Klicken Sie auf die Registerkarte [vShield] . b c Portgruppe mit einem unabhängigen Namespace 178 VMware, Inc. Kapitel 13 vShield App Firewall-Management 2 Klicken Sie auf die Registerkarte [App Firewall] . Stellen Sie sicher, dass Sie für virtuelle Leitungen die Registerkarte [Firewall] auswählen. 3 Wählen Sie zum Hinzufügen einer L3-Regel die Registerkarte [General] aus. Klicken Sie auf die Registerkarte [Ethernet] , um eine L2-Regel hinzuzufügen. 4 Führen Sie einen der folgenden Schritte aus: n Wenn Sie eine Regel an einer bestimmten Position in die Firewalltabelle einfügen möchten, führen Sie die folgenden Schritte aus. a b n Klicken Sie in der Spalte „No.“ auf und wählen Sie [Add Above] oder [Add Below] aus. Um eine Regel durch Kopieren hinzuzufügen, führen Sie die folgenden Schritte aus. a b c d u Wählen Sie die gewünschte Regel aus. Wählen Sie die gewünschte Regel aus. Klicken Sie auf das Symbol „Copy“ ( ). Wählen Sie die gewünschte Regel aus. Klicken Sie in der Spalte „No.“ auf Klicken Sie auf das Symbol [Add] ( und wählen Sie [Paste Above] oder [Paste Below] aus. ). Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt. 5 6 VMware, Inc. Zeigen Sie auf die Zelle [Name] der neuen Regel und klicken Sie auf . Geben Sie einen Namen für die neue Regel ein. 179 vShield-Administratorhandbuch 7 Zeigen Sie auf die Zelle [Source] der neuen Regel und klicken Sie auf a . Wählen Sie unter [View] den Container des Ursprungs der Kommunikation aus. Die Objekte des ausgewählten Containers werden angezeigt. b Wählen Sie mindestens ein Objekt aus und klicken Sie auf . Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Source“ hinzugefügt. Weitere Informationen zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter „Gruppieren von Objekten“, auf Seite 25. c Um einen Quellport anzugeben, klicken Sie auf [Advance options] und geben Sie die Portnummer oder den Bereich ein. d Wählen Sie [Negate Source] , um den Quellport von der Regel auszuschließen. e 8 Option Ergebnis [Negate Source] ausgewählt Die Regel gilt für Datenverkehr, der von allen Quellen außer der Quelle, die Sie in Schritt 7c angegeben haben, ausgeht. [Negate Source] nicht ausgewählt Die Regel gilt für Datenverkehr, der von der in Schritt 7c angegebenen Quelle ausgeht. Klicken Sie auf [OK] . Zeigen Sie auf die Zelle [Destination] der neuen Regel und klicken Sie auf a . Wählen Sie unter [View] den Container des Ziels der Kommunikation aus. Die Objekte des ausgewählten Containers werden angezeigt. b Wählen Sie mindestens ein Objekt aus und klicken Sie auf . Sie können eine neue Sicherheitsgruppe oder ein neues IPSet erstellen. Nachdem Sie das neue Objekt erstellt haben, wird es standardmäßig zur Spalte „Ziel“ hinzugefügt. Weitere Informationen zum Erstellen neuer Sicherheitsgruppen oder IPSets finden Sie unter „Gruppieren von Objekten“, auf Seite 25. c Um einen Zielport anzugeben, klicken Sie auf [Advance options] und geben Sie die Portnummer oder den Bereich ein. d Wählen Sie [Negate Destination] , um den Zielport von der Regel auszuschließen. e 9 Option Regel gilt für [Negate Destination] ausgewählt Datenverkehr zu allen Zielen außer dem Ziel, das Sie in Schritt 8c festgelegt haben. [Negate Destination] nicht ausgewählt Datenverkehr an das Ziel, das Sie in Schritt 8c angegeben haben. Klicken Sie auf [OK] . Zeigen Sie auf die Zelle [Action] der neuen Regel und klicken Sie auf . a Klicken Sie auf [Block] , um den Datenverkehr zwischen der angegebenen Quelle und dem Ziel zu blockieren. b Klicken Sie auf [Log] , um alle Sitzungen, die unter diese Regel fallen, zu protokollieren. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen. 180 VMware, Inc. Kapitel 13 vShield App Firewall-Management 10 c Geben Sie bei Bedarf Kommentare ein. d Klicken Sie auf [OK] . Klicken Sie auf [Publish Changes] , um die neue Regel in allen vShield App-Instanzen zu veröffentlichen. Weiter n Deaktivieren Sie eine Regel durch Klicken auf oder aktivieren Sie eine Regel durch Klicken auf . n Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf Spalten auswählen. Name der Spalte Angezeigte Informationen Regel-ID Eindeutige ID, die das System für jede Regel generiert Protokoll Der Datenverkehr für diese Regel wird protokolliert bzw. nicht protokolliert Statistik Kommentare n klicken und die gewünschten Klicken Sie auf , um den Datenverkehr anzuzeigen, der unter diese Regel fällt (Anzahl der Sitzungen, Datenpakete und Größe) Kommentare zu dieser Regel Suchen Sie nach Regeln, indem Sie Text in das Feld „Search“ eingeben. Löschen einer Firewallregel Sie können von Ihnen erstellte Firewallregeln, aber nicht die Standardregel löschen. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Firewallregelebene Methode Datencenter a b c d a Virtuelle Leitung b c d e a b c d Portgruppe mit einem unabhängigen Namespace 2 3 VMware, Inc. Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . Wählen Sie ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . Klicken Sie auf die Registerkarte [App Firewall] . Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Klicken Sie auf die Registerkarte „Networks“. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. Klicken Sie auf die Registerkarte [Sicherheit] . Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Firewall] befinden. Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Netzwerk] . Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. Klicken Sie auf die Registerkarte [vShield] . Klicken Sie auf die Registerkarte [App Firewall] . Klicken Sie auf eine Regel. Klicken Sie auf [Delete Rule] ( ). 181 vShield-Administratorhandbuch Wiederherstellen einer früheren Firewallkonfiguration vShield Manager speichert die App Firewall-Einstellungen bei jedem Veröffentlichen einer neuen Regel. Beim Klicken auf [Publish Changes] speichert vShield Manager die vorherige Konfiguration mit einem Zeitstempel, bevor die neue Regel hinzugefügt wird. Diese Konfigurationen sind in der Dropdown-Liste [History] verfügbar. vShield Manager speichert die letzten zehn Konfigurationen. Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Firewallregelebene Methode Datencenter a Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . Wählen Sie ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . Klicken Sie auf die Registerkarte [App Firewall] . b c d Virtuelle Leitung a Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Klicken Sie auf die Registerkarte „Networks“. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. Klicken Sie auf die Registerkarte [Sicherheit] . Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Firewall] befinden. b c d e Portgruppe mit einem unabhängigen Namespace 2 Klicken Sie auf [History Options ] ( a b c d Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Netzwerk] . Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. Klicken Sie auf die Registerkarte [vShield] . Klicken Sie auf die Registerkarte [App Firewall] . ) und wählen Sie [Load History] . Im Dialogfeld „Load History“ werden die vorherigen Konfigurationen nach Zeitstempel aufgelistet, beginnend mit der neuesten Konfiguration. 3 Wählen Sie die Konfiguration aus, die Sie wiederherstellen möchten. 4 Klicken Sie auf [OK] . 5 Klicken Sie im Dialogfeld „Load Configuration“ auf [OK] . 6 Klicken Sie auf [Publish Changes] . Die ausgewählte Konfiguration wird geladen. Ändern der Reihenfolge einer Regel Firewallregeln werden in der Reihenfolge, in der sie in der Regeltabelle aufgeführt sind, angewendet. Sie können eine benutzerdefinierte Regel in der Tabelle nach oben oder nach unten verschieben. Die Standardregel befindet sich immer am Ende der Tabelle und kann nicht verschoben werden. 182 VMware, Inc. Kapitel 13 vShield App Firewall-Management Vorgehensweise 1 Führen Sie einen der folgenden Schritte aus: Firewallregelebene Methode Datencenter a b c d Virtuelle Leitung a b c d e Portgruppe mit einem unabhängigen Namespace 2 3 Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Klicken Sie auf die Registerkarte „Networks“. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. Klicken Sie auf die Registerkarte [Sicherheit] . Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Firewall] befinden. Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Netzwerk] . Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. Klicken Sie auf die Registerkarte [vShield] . Klicken Sie auf die Registerkarte [App Firewall] . Wählen Sie die Regel aus, die Sie verschieben möchten. Klicken Sie auf das Symbol [Regel nach oben verschieben] ( ( 4 a b c d Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . Wählen Sie ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . Klicken Sie auf die Registerkarte [App Firewall] . ) oder [Regel nach unten verschieben] ). Klicken Sie auf [Publish Changes] . Verwenden von SpoofGuard Nach der Synchronisierung mit vCenter Server erfasst vShield Manager auf allen virtuellen Maschinen die IP-Adressen aller virtuellen vCenter-Gastmaschinen aus den VMware Tools. Bis vShield 4.1 vertraute vShield den IP-Adressen, die von den VMware Tools auf einer virtuellen Maschine bereitgestellt wurden. Doch wenn die Sicherheit einer virtuellen Maschine gefährdet ist, kann die IP-Adresse manipuliert worden sein, und Übertragungen mit böswilligen Absichten können Firewall-Richtlinien umgehen. SpoofGuard ermöglicht die Autorisierung der von den VMware Tools gemeldeten IP-Adressen und bei Bedarf deren Änderung, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden. SpoofGuard wird getrennt von den App Firewall-Regeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde. VMware, Inc. 183 vShield-Administratorhandbuch Falls aktiviert, können Sie mit SpoofGuard die von Ihren virtuellen Maschinen gemeldeten IP-Adressen in einem der folgenden Modi überwachen und verwalten. Automatically Trust IP Assignments on Their First Use Dieser Modus erlaubt die Durchleitung des gesamten, von Ihren virtuellen Maschinen ausgehenden Datenverkehrs. Dabei wird eine Zuweisungstabelle zwischen vNic- und IP-Adressen erstellt. Sie können diese Tabelle überprüfen und IP-Adressenänderungen vornehmen. Manually Inspect and Approve All IP Assignments Before Use In diesem Modus wird der gesamte Datenverkehr so lange blockiert, bis Sie die jeweilige MAC-zu-IP-Adressenzuweisung genehmigen. HINWEIS SpoofGuard lässt standardmäßig DHCP-Anforderungen unabhängig vom aktivierten Modus zu. Im manuellen Prüfmodus wird der Datenverkehr allerdings erst durchgeleitet, nachdem die von DHCP zugewiesene IP-Adresse genehmigt wurde. SpoofGuard-Bildschirmoptionen Die SpoofGuard-Schnittstelle enthält die folgenden Optionen. Tabelle 13‑1. SpoofGuard-Bildschirmoptionen Option Beschreibung Active Virtual NICs Liste aller validierten IP-Adressen Active Virtual NICs Since Last Published Liste mit IP-Adressen, die seit dem letzten Update der Richtlinie validiert wurden. Virtual NICs IP Required Approval IP-Adressenänderung, die genehmigt werden muss, bevor Datenverkehr zu oder von diesen virtuellen Maschinen übertragen werden kann. Virtual NICs with Duplicate IP IP-Adressen, die im ausgewählten Datencenter Duplikate einer vorhandenen zugewiesenen IP-Adresse sind Inactive Virtual NICs Liste mit IP-Adressen, bei denen die aktuelle IP-Adresse nicht der veröffentlichten IP-Adresse entspricht. Unpublished Virtual NICs IP Liste virtueller Maschinen, deren IP-Adressenzuweisung Sie bearbeitet, aber noch nicht veröffentlicht haben. Aktivieren von SpoofGuard Sobald es aktiviert ist, können Sie SpoofGuard zum Verwalten von IP-Adresszuweisungen für Ihre komplette vCenter-Bestandsliste verwenden. WICHTIG Sie müssen für alle vShield App-Instanzen ein Upgrade auf vShield App 1.0.0 Update 1 oder höher durchführen, bevor Sie SpoofGuard aktivieren. 184 VMware, Inc. Kapitel 13 vShield App Firewall-Management Vorgehensweise 1 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Leitung oder eine Portgruppe mit unabhängigem Namespace aus. Geltungsbereich von SpoofGuard Methode Datencenter a b c Wechseln Sie zu [Inventory] > [Hosts and Clusters] . Wählen Sie ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . Virtuelle Leitung a d Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Klicken Sie auf die Registerkarte „Networks“. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. Klicken Sie auf die Registerkarte [Sicherheit] . a b c Wechseln Sie zu [Inventory] > [Networking] . Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. Klicken Sie auf die Registerkarte [vShield] . b c Portgruppe mit einem unabhängigen Namespace 2 Klicken Sie auf die Registerkarte [SpoofGuard] . 3 Klicken Sie rechts im SpoofGuard-Fenster auf [Edit] . 4 Klicken Sie für [SpoofGuard] auf [Enable] . 5 Wählen Sie für [Operation Mode] eine der folgenden Optionen aus: 6 Option Beschreibung Automatically Trust IP Assignments on Their First Use Wählen Sie diese Option, um allen IP-Zuweisungen bei der einleitenden Registrierung bei vShield Manager zu vertrauen. Manually Inspect and Approve All IP Assignments Before Use Wählen Sie diese Option, um eine manuelle Genehmigung aller IP-Adressen anzufordern. Sämtlicher Datenverkehr von und an nicht genehmigte IP-Adressen wird blockiert. Klicken Sie auf [Allow local address as valid address in this namespace] , um lokale IP-Adressen für Ihr Setup zuzulassen. Wenn Sie eine virtuelle Maschine einschalten, die keine Verbindung mit dem DHCP-Server herstellen kann, wird ihr eine lokale IP-Adresse zugewiesen. Diese lokale IP-Adresse wird nur dann als gültig angesehen, wenn der SpoofGuard-Modus auf [Allow local address as valid address in this namespace] festgelegt ist. Anderenfalls wird die lokale IP-Adresse ignoriert. 7 VMware, Inc. Klicken Sie auf [OK] . 185 vShield-Administratorhandbuch Genehmigen von IP-Adressen Wenn Sie SpoofGuard auf das Anfordern einer manuellen Genehmigung aller IP-Adressenzuweisungen festlegen, müssen Sie IP-Adressenzuweisungen genehmigen, damit die Durchleitung von Datenverkehr von diesen virtuellen Maschinen zugelassen wird. Vorgehensweise 1 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Leitung oder eine Portgruppe mit unabhängigem Namespace aus. Firewallregelebene Methode Datencenter a b c Wechseln Sie zu [Inventory] > [Hosts and Clusters] . Wählen Sie ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . Virtuelle Leitung a d Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Klicken Sie auf die Registerkarte „Networks“. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. Klicken Sie auf die Registerkarte [Sicherheit] . a b c Wechseln Sie zu [Inventory] > [Networking] . Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. Klicken Sie auf die Registerkarte [vShield] . b c Portgruppe mit einem unabhängigen Namespace 2 Klicken Sie auf die Registerkarte [SpoofGuard] . 3 Klicken Sie auf einen der Links für Optionen. 4 Wählen Sie die virtuelle Netzwerkkarte aus, für die Sie die IP-Adresse genehmigen möchten. 5 Klicken Sie auf [Approve Detected IP] . 6 Klicken Sie auf [Publish Now] . Bearbeiten einer IP-Adresse Sie können die einer MAC-Adresse zugewiesene IP-Adresse bearbeiten, um diese zu korrigieren. HINWEIS SpoofGuard lässt eine eindeutige IP-Adresse von virtuellen Maschinen zu. Sie können eine IP-Adresse jedoch nur einmal zuweisen. Eine genehmigte IP-Adresse ist im gesamten vShield-System eindeutig. Duplizierte genehmigte IP-Adressen sind nicht zulässig. 186 VMware, Inc. Kapitel 13 vShield App Firewall-Management Vorgehensweise 1 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Leitung oder eine Portgruppe mit unabhängigem Namespace aus. Firewallregelebene Methode Datencenter a b c Wechseln Sie zu [Inventory] > [Hosts and Clusters] . Wählen Sie ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . Virtuelle Leitung a d Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Klicken Sie auf die Registerkarte „Networks“. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. Klicken Sie auf die Registerkarte [Sicherheit] . a b c Wechseln Sie zu [Inventory] > [Networking] . Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. Klicken Sie auf die Registerkarte [vShield] . b c Portgruppe mit einem unabhängigen Namespace 2 Klicken Sie auf die Registerkarte [SpoofGuard] . 3 Klicken Sie auf den Link [Virtual NICs IP Required Approval] bzw. [Virtual NICs with Duplicate IP] . 4 Zeigen Sie auf die Zelle „Approved IP“ und klicken Sie auf das 5 Geben Sie die neue IP-Adresse ein. 6 Klicken Sie auf [OK] . 7 Klicken Sie auf [Publish Now] . . Löschen einer IP-Adresse Sie können eine MAC-zu-IP-Adressenzuweisung aus der SpoofGuard-Tabelle löschen, um eine nicht mehr aktive virtuelle Maschine aus der Tabelle zu entfernen. Gelöschte Instanzen können in der SpoofGuard-Tabelle basierend auf dem nachverfolgten Datenverkehr und dem aktuellen Aktivierungsstatus von SpoofGuard erneut angezeigt werden. Vorgehensweise 1 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Leitung oder eine Portgruppe mit unabhängigem Namespace aus. Firewallregelebene Methode Datencenter a b c Wechseln Sie zu [Inventory] > [Hosts and Clusters] . Wählen Sie ein Datencenter aus. Klicken Sie auf die Registerkarte [vShield] . Virtuelle Leitung a d Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Klicken Sie auf die Registerkarte „Networks“. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. Klicken Sie auf die Registerkarte [Sicherheit] . a b c Wechseln Sie zu [Inventory] > [Networking] . Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. Klicken Sie auf die Registerkarte [vShield] . b c Portgruppe mit einem unabhängigen Namespace VMware, Inc. 187 vShield-Administratorhandbuch 188 2 Klicken Sie auf die Registerkarte [SpoofGuard] . 3 Klicken Sie auf einen der Links für Optionen. 4 Klicken Sie auf [Clear Approved IP] . 5 Klicken Sie auf [Publish Now] . VMware, Inc. vShield Endpoint-Ereignisse und Alarme 14 vShield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance (im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien Schutz bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden. Der vShield Endpoint-Integritätsstatus wird mithilfe von Alarmen überwacht, die in der vCenter ServerKonsole mit roten Symbolen angezeigt werden. Zusätzlich können weitere Statusinformationen anhand der Ereignisprotokolle gesammelt werden. WICHTIG vCenter Server muss für die vShield Endpoint-Sicherheit ordnungsgemäß konfiguriert werden: n Nicht alle Gastbetriebssysteme werden von vShield Endpoint unterstützt. Virtuelle Maschinen mit nicht unterstützten Gastbetriebssystemen werden nicht von der Sicherheitslösung geschützt. Informationen zu unterstützten Betriebssystemen finden Sie im Abschnitt „Installieren von vShield Endpoint“ in der vShield-Kurzanleitung. n Alle Hosts in einem Ressourcenpool, die geschützte virtuelle Maschinen enthalten, müssen für vShield Endpoint vorbereitet sein, damit virtuelle Maschinen weiterhin geschützt bleiben, wenn Sie mit vMotion von einem auf einen anderen ESX-Host innerhalb des Ressourcenpools migriert werden. Dieses Kapitel behandelt die folgenden Themen: n „Anzeigen des vShield Endpoint-Status“, auf Seite 189 n „vShield Endpoint-Alarme“, auf Seite 190 n „vShield Endpoint-Ereignisse“, auf Seite 191 n „Überwachungsmeldungen für vShield Endpoint“, auf Seite 191 Anzeigen des vShield Endpoint-Status Die Überwachung einer vShield Endpoint-Instanz umfasst die Überprüfung von Statusinformationen von den vShield Endpoint-Komponenten: Sichere virtuelle Maschine (SVM), vShield Endpoint-Modul auf dem ESX-Host und Thin-Agent auf der geschützten virtuellen Maschine. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie in der Ressourcenstruktur eine Datencenter-, Cluster- oder ESX-Host-Ressource aus. 3 Klicken Sie auf die Registerkarte [vShield] . VMware, Inc. 189 vShield-Administratorhandbuch 4 Klicken Sie auf [Endpoint] . Die vShield Endpoint-Seite „Health and Alarms“ zeigt den Systemstatus der Objekte unter dem ausgewählten Datencenter, Cluster bzw. ESX-Host sowie die aktiven Alarme an. Systemzustandsänderungen werden innerhalb einer Minute nach dem tatsächlichen Eintreten des Ereignisses wiedergegeben, das die Änderung ausgelöst hat. vShield Endpoint-Alarme Alarme machen den vCenter Server-Administrator auf vShield Endpoint-Ereignisse aufmerksam, die ein Eingreifen erfordern. Alarme werden automatisch beendet, wenn der Alarmstatus nicht länger vorliegt. vCenter Server-Alarme können ohne ein benutzerdefiniertes vSphere-Plug-In angezeigt werden. Weitere Informationen zu Ereignissen und Alarmen finden Sie im vCenter Server-Administratorhandbuch. Bei der Registrierung als vCenter Server-Erweiterung definiert vShield Manager die Regeln zum Erstellen und Entfernen von Alarmen basierend auf Ereignissen von den drei vShield Endpoint-Komponenten: SVM, vShield Endpoint-Modul und Thin-Agent. Regeln können angepasst werden. Anweisungen zum Erstellen neuer benutzerdefinierter Regeln für Alarme finden Sie in der vCenter Server-Dokumentation. In einigen Fällen gibt es mehrere mögliche Ursachen für einen Alarm. In den folgenden Tabellen werden die möglichen Ursachen und die zugehörigen Aktionen aufgeführt, die zur Problembeseitigung ergriffen werden können. Hostalarme Hostalarme werden durch Ereignisse generiert, die den Integritätsstatus des vShield Endpoint-Moduls betreffen. Tabelle 14‑1. Fehler (Kennzeichnung in Rot) Mögliche Ursache Aktion Das vShield Endpoint-Modul wurde auf dem Host installiert, meldet aber keinen Status mehr an vShield Manager. 1 2 3 Stellen Sie sicher, dass vShield Endpoint ausgeführt wird, indem Sie sich beim Host anmelden und den Befehl /etc/init.d/vShield-Endpoint-Mux start eingeben. Stellen Sie sicher, dass das Netzwerk ordnungsgemäß konfiguriert ist, damit vShield Endpoint eine Verbindung zu vShield Manager herstellen kann. Starten Sie vShield Manager neu. SVM-Alarme SVM-Alarme werden durch Ereignisse generiert, die den Systemzustand der SVM betreffen. Tabelle 14‑2. Rote SVM-Alarme 190 Problem Aktion Die Protokollversion stimmt nicht mit der des vShield Endpoint-Moduls überein Stellen Sie sicher, dass das vShield Endpoint-Modul und die SVM über ein kompatibles Protokoll verfügen. vShield Endpoint konnte keine Verbindung zu der SVM herstellen Stellen Sie sicher, dass die SVM eingeschaltet ist und dass das Netzwerk ordnungsgemäß konfiguriert ist. Die SVM meldet ihren Status auch dann nicht, wenn Gäste verbunden sind. Interner Fehler. Kontaktieren Sie den für Sie zuständigen Vertreter des technischen Supports von VMware. VMware, Inc. Kapitel 14 vShield Endpoint-Ereignisse und -Alarme vShield Endpoint-Ereignisse Ereignisse dienen der Aufzeichnung und Überwachung von Bedingungen im vShield Endpoint-basierten Sicherheitssystem. Ereignisse können ohne ein benutzerdefiniertes vSphere-Plug-In angezeigt werden. Weitere Informationen zu Ereignissen und Alarmen finden Sie im vCenter Server-Administratorhandbuch. Ereignisse bilden die Grundlage zum Generieren von Alarmen. Nach der Registrierung als vCenter ServerErweiterung definiert vShield Manager die Regeln zum Erstellen und Entfernen von Alarmen. Häufig verwendete Argumente für alle Ereignisse sind der Zeitstempel des Ereignisses und die event_id von vShield Manager. Die folgende Tabelle enthält die vShield Endpoint-Ereignisse, die von der SVM und vShield Manager (VSM) gemeldet wurden. Tabelle 14‑3. vShield Endpoint-Ereignisse Beschreibung Schweregrad VC-Argumente vShield Endpoint-Lösung Name der Lösung aktiviert. Unterstützende Version Versionsnummer des VFile-Protokolls. Info Zeitstempel ESX-Modul aktiviert. Info Zeitstempel ESX-Modul deinstalliert. Info Zeitstempel vShield Manager hat die Verbindung zum ESX-Modul verloren. Info Zeitstempel vShield Endpoint-Lösung Name der Lösung wurde von einer nicht kompatiblen Version des ESX-Moduls kontaktiert. Fehler Zeitstempel, Version der Lösung, ESX-Modulversion Eine Verbindung zwischen dem ESX-Modul und Name der Lösung ist fehlgeschlagen. Fehler Zeitstempel, ESX-Modulversion, Version der Lösung vShield Endpoint konnte keine Verbindung zu der SVM herstellen. Fehler Zeitstempel Die Verbindung von vShield Endpoint mit der SVM wurde getrennt. Fehler Zeitstempel Überwachungsmeldungen für vShield Endpoint Überwachungsmeldungen umfassen schwerwiegende Fehler und andere wichtige Überwachungsinformationen. Überwachungsmeldungen werden in der Datei vmware.log protokolliert. Die folgenden Bedingungen werden als AUDIT-Meldungen protokolliert: n Erfolgreiche Thin-Agent-Initialisierung (und Versionsnummer) n Fehler bei der Thin-Agent-Initialisierung n Erste Einrichtung einer Kommunikation mit SVM n Fehler beim Einrichten der Kommunikation mit SVM (bei erstem Fehler) Generierte Protokollmeldungen weisen die folgenden Unterzeichenfolgen im Anfangsabschnitt jeder Protokollmeldung auf: vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG. VMware, Inc. 191 vShield-Administratorhandbuch 192 VMware, Inc. vShield Data Security Management 15 vShield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vShield Data Security gemeldeten Verstöße können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden Bestimmungen eingehalten werden. Wenn Sie anfangen, vShield Data Security zu verwenden, erstellen Sie eine Richtlinie mit geltenden Datensicherheitsbestimmungen für Ihre Organisation. Darin können Sie außerdem festlegen, welche Dateien und welche Bereiche Ihrer Umgebung geprüft werden sollen. Eine Bestimmung besteht aus Content Blades, die den zu erkennenden sensitiven Inhalt bezeichnen. vShield unterstützt nur PCI-, PHI- und PII-bezogene Bestimmungen. Wenn Sie eine Data Security-Prüfung starten, analysiert vShield die Daten auf den virtuellen Maschinen in Ihrer vSphere-Bestandsliste und meldet die Anzahl der erkannten Verstöße und die Dateien, die gegen Ihre Richtlinie verstoßen haben. Sie können alle Datensicherheitsaufgaben unter Verwendung von REST-APIs durchführen. Weitere Informationen finden Sie im vShield API-Programmierhandbuch. Dieses Kapitel behandelt die folgenden Themen: n „vShield Data Security-Benutzerrollen“, auf Seite 194 n „Definieren einer Datensicherheitsrichtlinie“, auf Seite 194 n „Bearbeiten einer Datensicherheitsrichtlinie“, auf Seite 196 n „Ausführen einer Datensicherheitsprüfung“, auf Seite 197 n „Anzeigen und Herunterladen von Berichten“, auf Seite 198 n „Erstellen von regulären Ausdrücken“, auf Seite 198 n „Verfügbare Bestimmungen“, auf Seite 199 n „Verfügbare Content Blades“, auf Seite 216 n „Unterstützte Dateiformate“, auf Seite 238 VMware, Inc. 193 vShield-Administratorhandbuch vShield Data Security-Benutzerrollen Die Rolle eines Benutzers legt die Aktionen fest, die der Benutzer durchführen kann. Rolle Zulässige Aktionen Security Administrator Erstellen und Veröffentlichen von Richtlinien und Anzeigen von Berichten zu Verstößen. Kann eine Datensicherheitsprüfung weder starten noch anhalten. vShield Administrator Starten und Anhalten von Datensicherheitsprüfungen. Auditor Anzeigen von konfigurierten Richtlinien und Berichten zu Verstößen. Definieren einer Datensicherheitsrichtlinie Um vertrauliche Daten in Ihrer Umgebung erkennen zu können, müssen Sie eine Datensicherheitsrichtlinie erstellen. Das Erstellen von Richtlinien ist Sicherheitsadministratoren vorbehalten. Zum Definieren einer Richtlinie müssen Sie Folgendes angeben: 1 Bestimmungen Eine Bestimmung ist ein Datensicherheitsgesetz zum Schutz von PCI (Payment Card Industry), PHI (Protected Health Information) und PII (Personally Identifiable Information). Sie können die Bestimmungen auswählen, die Ihr Unternehmen erfüllen muss. Wenn Sie eine Prüfung ausführen, identifiziert vShield Data Security die Daten, die gegen die Bestimmungen der Richtlinie verstoßen und die für Ihr Unternehmen vertraulich sind. 2 Berücksichtigte Bereiche Standardmäßig prüft vShield Data Security Ihre gesamte vSphere-Infrastruktur. Um eine Untermenge der Bestandsliste zu prüfen, können Sie Sicherheitsgruppen aus- bzw. einschließen. Wenn eine Ressource (Cluster, Datencenter oder Host) sowohl Teil einer ausgeschlossenen als auch einer eingeschlossenen Sicherheitsgruppe ist, hat die Ausschlussliste Vorrang und die Ressource wird nicht geprüft. 3 Dateifilter Sie können Filter erstellen, um die zu prüfende Datenmenge einzuschränken und um Dateitypen auszuschließen, die wahrscheinlich keine vertraulichen Daten von der Prüfung enthalten. Auswählen von Bestimmungen Sobald Sie die Bestimmungen ausgewählt haben, mit denen Ihre Unternehmensdaten übereinstimmen sollen, kann vShield Dateien identifizieren, die Informationen enthalten, die gegen diese Bestimmungen verstoßen. Voraussetzungen Ihnen muss die Rolle des Sicherheitsadministrators zugewiesen sein. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie ein Datencenter aus. HINWEIS Selbst wenn Sie ein Datencenter auswählen, gilt die Richtlinie, die Sie konfigurieren, für die gesamte vSphere-Bestandsliste. 194 3 Klicken Sie auf die Registerkarte [vShield] und anschließend auf [Data Security] . 4 Klicken Sie auf die Registerkarte [Policy] und erweitern Sie [Regulations and standards to detect] . VMware, Inc. Kapitel 15 vShield Data Security Management 5 Klicken Sie auf [Edit] und klicken Sie dann auf [All] , um alle verfügbaren Bestimmungen anzuzeigen. 6 Wählen Sie die Bestimmungen aus, die auf Übereinstimmung geprüft werden sollen. HINWEIS Weitere Informationen zu verfügbaren Bestimmungen finden Sie unter „Verfügbare Bestimmungen“, auf Seite 199. 7 Klicken Sie auf [Next] . 8 Für bestimmte Bestimmungen sind zusätzliche Informationen für vShield Data Security erforderlich, damit vertrauliche Daten erkannt werden. Wenn Sie eine Bestimmung ausgewählt haben, die die Group Insurance Numbers, Patient Identification Numbers, Medical Record Numbers, Health Plan Beneficiary Numbers, US Bank Account Numbers, Custom Accounts oder Student Identification Numbers überwacht, geben Sie zum Identifizieren dieser Daten ein Muster für den regulären Ausdruck an. HINWEIS Überprüfen Sie die Genauigkeit des regulären Ausdrucks. Die Angabe falscher regulärer Ausdrücke kann den Erkennungsvorgang verlangsamen. Weitere Informationen zu regulären Ausdrücken finden Sie unter „Erstellen von regulären Ausdrücken“, auf Seite 198. 9 Klicken Sie auf [Finish.] 10 Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird. Festlegen der Bereiche, die bei der Richtlinienprüfung berücksichtigt werden Standardmäßig prüft vShield Data Security Ihre gesamte vSphere-Infrastruktur. Um eine Untermenge der Bestandsliste zu prüfen, können Sie Sicherheitsgruppen aus- bzw. einschließen. Wenn eine Ressource (Cluster, Datencenter oder virtuelle Maschine) sowohl Teil einer ausgeschlossenen als auch einer eingeschlossenen Sicherheitsgruppe ist, hat die Ausschlussliste Vorrang und die Ressource wird nicht geprüft. Spezielle vShield-Appliances (z. B. vShield Endpoint- und Shield App-Appliances sowie Partner-Appliances, die vShield Endpoint nutzen) werden von vShield Data Security nicht geprüft Voraussetzungen Ihnen muss die Rolle des Sicherheitsadministrators zugewiesen sein. Vorgehensweise 1 Erweitern Sie auf der Registerkarte „Policy“ des Bereichs „Data Security“ die Option [Participating Areas] . 2 Damit eine Sicherheitsgruppe in der Datensicherheitsprüfung berücksichtigt wird, klicken Sie auf [ Change] neben [Scan the following infrastructure] . 3 VMware, Inc. a Geben Sie im Dialogfeld „Include Security Groups“ den Namen der in der Prüfung zu berücksichtigenden Sicherheitsgruppe ein. b Klicken Sie auf [Add] . c Klicken Sie auf [Save] . Um eine vorhandene Sicherheitsgruppe von der Datensicherheitsprüfung auszuschließen, klicken Sie auf [Change] neben [Except for the following areas] . a Geben Sie im Dialogfeld „Exclude Security Groups“ den Namen der von der Prüfung auszuschließenden Sicherheitsgruppe ein. b Klicken Sie auf [Add] . c Klicken Sie auf [Save] . 195 vShield-Administratorhandbuch 4 Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird. Angeben von Dateifiltern Sie können die Anzahl der Dateien, die Sie überwachen möchten, auf Basis der Größe, des Datums der letzten Änderung oder der Dateierweiterungen einschränken. Voraussetzungen Ihnen muss die Rolle des Sicherheitsadministrators zugewiesen sein. Vorgehensweise 1 Erweitern Sie auf der Registerkarte [Policy] des Bereichs „Data Security“ die Option [Files to scan] . 2 Klicken Sie auf [Bearbeiten] . 3 Sie können entweder alle Dateien auf den virtuellen Maschinen Ihrer Bestandsliste überwachen oder die Einschränkungen auswählen, die Sie anwenden möchten. Option Beschreibung Alle Dateien auf den virtuellen Gastmaschinen überwachen vShield Data Security prüft alle Dateien. Nur die Dateien überwachen, die die folgenden Bedingungen erfüllen Wählen Sie bei Bedarf die folgenden Optionen aus. n [Size] gibt an, dass vShield Data Security nur die Dateien überprüfen soll, die kleiner sind als die angegebene Größe. n [Last Modified Date] gibt an, dass vShield Data Security nur die Dateien überprüfen soll, die innerhalb des angegebenen Zeitraums geändert wurden. n [Types:] Wählen Sie [Only files with the following extensions ] , um die zu prüfenden Dateitypen einzugeben. Wählen Sie [All files, except those with extensions] , um die Dateitypen einzugeben, die von der Prüfung ausgeschlossen werden sollen. Weitere Informationen zu Dateiformaten, die vShield Data Security erkennen kann, finden Sie unter „Unterstützte Dateiformate“, auf Seite 238. 4 Klicken Sie auf [Save] . 5 Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird. Bearbeiten einer Datensicherheitsrichtlinie Nachdem Sie eine Datensicherheitsrichtlinie definiert haben, können Sie sie bearbeiten, indem Sie die ausgewählten Bestimmungen, die von der Prüfung berücksichtigten Bereiche oder die Dateifilter ändern. Damit die bearbeitete Richtlinie wirksam wird, müssen Sie sie veröffentlichen. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators zugewiesen wurde. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie ein Datencenter aus. HINWEIS Selbst wenn Sie ein Datencenter auswählen, gilt die bearbeitete Richtlinie für die gesamte vSphere-Bestandsliste. 196 VMware, Inc. Kapitel 15 vShield Data Security Management 3 Klicken Sie auf die Registerkarte [vShield] und anschließend auf [Data Security] . 4 Klicken Sie auf die Registerkarte [Policy] und erweitern Sie die Bereiche, die Sie bearbeiten möchten. 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [Save] . 7 Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird. HINWEIS Wenn Sie während einer laufenden Prüfung eine Richtlinie veröffentlichen, wird die Prüfung neu gestartet. Durch diese erneute Prüfung wird sichergestellt, dass alle virtuellen Maschinen mit der bearbeiteten Richtlinie übereinstimmen. Ausführen einer Datensicherheitsprüfung Beim Ausführen einer Datensicherheitsprüfung werden Daten in Ihrer virtuellen Umgebung identifiziert, die gegen Ihre Richtlinie verstoßen. Voraussetzungen Sie müssen vShield-Administrator sein, um eine Datensicherheitsprüfung starten, anhalten oder beenden zu können. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Klicken Sie auf die Registerkarte [vShield] und anschließend auf [Data Security] . 3 Klicken Sie auf [Start] . HINWEIS Wenn eine virtuelle Maschine ausgeschaltet ist, wird sie erst dann geprüft, wenn sie eingeschaltet wird. Wenn eine Prüfung ausgeführt wird, lauten die verfügbaren Optionen [Pause] und [Stop] . Alle virtuellen Maschinen Ihres Datencenters werden während einer Prüfung einmal geprüft. Wenn bei Ausführung einer Prüfung damit begonnen wird, eine Richtlinie zu bearbeiten und zu veröffentlichen, wird die Prüfung neu gestartet. Durch diese erneute Prüfung wird sichergestellt, dass alle virtuellen Maschinen mit der bearbeiteten Richtlinie übereinstimmen. Eine erneute Prüfung wird durch das Veröffentlichen einer bearbeiteten Richtlinie, nicht durch Daten-Updates auf Ihren virtuellen Maschinen, ausgelöst. Wenn eine virtuelle Maschine während einer laufenden Datensicherheitsprüfung in einen von der Prüfung ausgeschlossenen Cluster oder Ressourcenpool verschoben wird, werden die Dateien dieser virtuellen Maschine nicht geprüft. Für den Fall, dass eine virtuelle Maschine via vMotion auf einen anderen Host verschoben wird, wird die Prüfung auf dem zweiten Host fortgesetzt (Dateien, die geprüft wurden, während sich die virtuelle Maschine auf dem ersten Host befand, werden nicht erneut geprüft). Wenn die Data Security-Engine damit beginnt, eine virtuelle Maschine zu prüfen, wird die Startzeit der Prüfung aufgezeichnet. Mit dem Ende der Prüfung wird das Ende der Prüfungszeit aufgezeichnet. Sie können die Start- und Endzeit für einen Cluster, einen Host oder eine virtuelle Maschine auf der Registerkarte [Tasks and Events] anzeigen. vShield Data Security drosselt die Anzahl an virtuellen Maschinen, die gleichzeitig auf einem Host geprüft werden, damit die Leistung nur minimal beeinträchtigt wird. Es wird empfohlen, dass Sie die Prüfung nicht während der normalen Geschäftszeiten ausführen, um Leistungseinbußen zu vermeiden. VMware, Inc. 197 vShield-Administratorhandbuch Anzeigen und Herunterladen von Berichten Wenn Sie eine Sicherheitsprüfung starten, zeigt vShield die Start- und Endzeit jeder Prüfung, die Anzahl an geprüften virtuellen Maschinen und die Anzahl an erkannten Verstößen an. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators oder Auditors zugewiesen wurde. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Inventory] > [Hosts and Clusters] . 2 Wählen Sie das Datencenter, den Cluster, den Ressourcenpool oder die virtuelle Maschine aus, um den jeweils passenden Bericht anzuzeigen. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Klicken Sie auf die Registerkarte [Data Security] . 5 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Reports] befinden. Tabelle 15‑1. Auf der Registerkarte „Reports“ angezeigte Informationen Abschnitt Angezeigte Informationen Current Scan Status Status der aktuellen Prüfung. Scan Statistics Das Tortendiagramm zeigt die Anzahl an virtuellen Maschinen an, die geprüft wurden, gerade geprüft werden und noch nicht geprüft wurden. Violation Information Wichtige Bestimmungen, gegen die verstoßen wurde, und die virtuellen Maschinen, auf denen die meisten Verstöße gemeldet wurden. Scan History Start- und Endzeit jeder Prüfung, die Anzahl an geprüften virtuellen Maschinen und die Anzahl an erkannten Verstößen. Sie können auf [Download Complete Report] in der Spalte [Action] klicken, um den vollständigen Bericht für jede Prüfung herunterzuladen. Erstellen von regulären Ausdrücken Ein regulärer Ausdruck ist ein Muster, das eine bestimmte Textzeichenfolge beschreibt, die auch als String bezeichnet wird. Sie verwenden reguläre Ausdrücke zum Suchen nach bestimmten Zeichenfolgen oder Zeichenfolgenklassen in einem Text. Die Verwendung eines regulären Ausdrucks ähnelt einer Suche mit Platzhalterzeichen, aber reguläre Ausdrücke sind leistungsstärker. Reguläre Ausdrücke können sehr einfach, aber auch sehr komplex sein. Ein Beispiel für einen einfachen regulären Ausdruck ist cat. Mit diesem Ausdruck wird in einem Text die erste Instanz der Zeichenfolge „cat“ gefunden. Wenn Sie sicherstellen möchten, dass nur das Wort cat gefunden wird und nicht andere Zeichenfolgen wie cats oder hepcat, können Sie einen etwas komplexeren Ausdruck verwenden: \cat\b. In diesem Ausdruck werden Sonderzeichen verwendet, die sicherstellen, dass nur dann eine Übereinstimmung gefunden wird, wenn das Wort cat nicht Teil einer längeren Zeichenfolge ist, sondern alleine steht. Um beispielsweise eine ähnliche Suche wie bei der Platzhaltersuche c+t durchzuführen, verwenden Sie diesen regulären Ausdruck: \bc\w+t\b. Dies bedeutet, dass ein Wortbegrenzer (\b) gefolgt von einem c, gefolgt von einem oder mehreren Zeichen, die keine Whitespace- oder Interpunktionszeichen sein dürfen (\w+), gefolgt von einem t, gefolgt von einem Wortbegrenzer (\b), gefunden wird. Dieser Ausdruck findet cot, cat, croat, aber nicht crate. Ausdrücke können sehr komplex werden. Mit den folgenden Ausdrücken wird eine gültige E-Mail-Adresse gesucht. 198 VMware, Inc. Kapitel 15 vShield Data Security Management \b[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}\b Weitere Informationen zum Erstellen regulärer Ausdrücke finden Sie unter http://userguide.icu-project.org/strings/regexp. Verfügbare Bestimmungen Nachfolgend finden Sie Beschreibungen für jede in vShield Data Security verfügbare Bestimmung. Arizona SB-1338 Arizona SB-1338 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Arizona SB-1338 wurde am 26. April 2006 unterzeichnet und trat am 31. Dezember 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen, die in Arizona Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer ABA Routing-Nummern Eine Routing Transit Number (RTN) oder ABA-Nummer ist ein in den USA verwendeter neunstelliger Bankcode, der z. B. auf Schecks aufgedruckt ist und das Finanzinstitut angibt, von dem er ausgegeben wurde. Dieser Code wird auch vom Automated Clearing House zum Verarbeiten von Direktüberweisungen und anderen automatisierten Transfers verwendet. Dieses System ist nach der American Bankers Association benannt, die dieses Verfahren 1910 entwickelte. Zurzeit sind ungefähr 24.000 aktive Routing- und Transit-Nummern in Gebrauch. Jedes Finanzinstitut hat eine solche Nummer; sie ist eine 9-stellige Nummer in MICR-Schrift am unteren Rand von Schecks, die das Finanzinstitut eindeutig identifiziert, und unterliegt dem Routing Number Administrative Board, das von der ABA gesponsert wird. Die primären Gründe zur Verwendung von Routing-Nummern sind folgende: n Zum Identifizieren der Bank, die zum Auszahlen bzw. Vergeben von Krediten verantwortlich ist oder berechtigt ist, Zahlungen bzw. Kredite für finanzielle Transaktionen zu erhalten. n Zum Bereitstellen einer Referenz auf eine designierte Stelle der Bank, an die die Transaktion zugestellt bzw. an der sie vorgelegt werden kann. Weitere Informationen finden Sie unter „Content Blade für ABA Routing-Nummern“, auf Seite 216. VMware, Inc. 199 vShield-Administratorhandbuch Australische Bankkontonummern Eine australische Bankkontonummer identifiziert zusammen mit einer BSB-Nummer (Bank State BranchNummer) das Bankkonto einer Person oder Organisation. Australische Geschäfts- und Firmennummern Die australischen Geschäftsnummern (ABN, Australian Business Number) und die australischen Firmennummern (ACN, Australian Company Number) dienen der eindeutigen Identifizierung der Unternehmen innerhalb des Landes. Die ABN ist eine eindeutige, 11-stellige Identifikationsnummer, die Unternehmen im Umgang mit anderen Unternehmen verwenden. Die letzten 9 Stellen der ABN eines Unternehmens sind häufig mit dessen ACN identisch. Die ABN zeigt an, dass eine Person, ein Konzern oder ein Unternehmen im Australian Business Register (ABR) registriert ist. Eine australische Firmennummer (ACN, Australian Company Number) ist eine eindeutige 9-stellige Identifikationsnummer, die von der Australian Securities and Investments Commission (ASIC) für jedes Unternehmen ausgestellt wird, das im Rahmen des Commonwealth Corporations Act 2001 registriert ist. Die Nummer wird in der Regel in drei Gruppen mit jeweils drei Ziffern angegeben. Die Unternehmen sind verpflichtet, ihre ACN an folgenden Stellen anzugeben: n auf dem Firmensiegel (sofern vorhanden) n auf jedem öffentlichen Dokument, das vom Unternehmen oder in seinem Auftrag ausgestellt, unterzeichnet oder veröffentlicht wird n auf jedem diskontfähigen Wertpapier, das vom Unternehmen oder in seinem Auftrag ausgestellt, unterzeichnet oder veröffentlicht wird n auf allen Unterlagen, die bei der ASIC (Australian Securities and Investments Commission) eingereicht werden müssen Diese Regelung verwendet die Content Blades mit dem Titel „Australia Business Number“ oder „Australia Company Number“. Weitere Informationen finden Sie unter . Australische Medicare-Kartennummern Alle australischen Bürger sowie Personen mit ständigem Wohnsitz in Australien und ihre Familien haben Anspruch auf eine Medicare-Karte, mit Ausnahme der Einwohner von Norfolk Island. Auf der Karte sind eine Person sowie die von ihr ausgewählten Mitglieder ihrer Familie (maximal fünf Namen) aufgeführt, die ebenfalls ihren ständigen Wohnsitz in Australien haben und auf die die Medicare-Definition eines Familienangehörigen zutrifft. Die Medicare-Nummer muss angegeben werden, um Medicare-Rabatte nutzen zu können oder im staatlichen Krankenhaussystem kostenfrei behandelt zu werden. Medicare wird von Medicare Australia (bis 2005 Health Insurance Commission) verwaltet, das auch für die Ausgabe von Medicare-Karten und -Nummern zuständig ist. Nahezu alle berechtigten Personen verfügen über eine Karte: Im Juni 2002 wurden 20,4 Millionen Inhaber von Medicare-Karten gezählt, während die Einwohnerzahl zur selben Zeit weniger als 20 Millionen betrug. (Zu den Karteninhabern gehören auch Australier, die sich im Ausland aufhalten und noch eine Karte besitzen.) Die Medicare-Karte wird ausschließlich für Zwecke des Gesundheitswesens verwendet. Ihre Daten können nicht in einer Datenbank verfolgt werden. Sie enthält einen Namen und eine Nummer, jedoch kein sichtbares Foto (mit Ausnahme der tasmanischen Smartcard-Version, die über einen eingebetteten Chip mit dem elektronischen Bild des Karteninhabers verfügt). 200 VMware, Inc. Kapitel 15 vShield Data Security Management Vorrangig dient die Medicare-Karte dem Nachweis der Medicare-Berechtigung, wenn eine von Medicare subventionierte Behandlung durch einen Arzt oder ein Krankenhaus in Anspruch genommen wird. Rein rechtlich gesehen müsste die Karte nicht ausgestellt werden, da die Medicare-Nummer allein ausreicht. In der Praxis jedoch haben die meisten Medicare-Anbieter Richtlinien, die verlangen, dass die Karte präsentiert wird, um Missbrauch zu verhindern. Australische Steuernummern Eine Steuernummer (TFN, Tax File Number) wird einer Person durch den Commissioner of Taxation ausgestellt. Sie wird verwendet, um die Identität des Klienten zu überprüfen und das Einkommensniveau festzustellen. Diese Richtlinie verwendet das Content Blade mit dem Namen „Australia Tax File Number“. Die Beschreibung des Content Blades enthält Informationen darüber, welcher Inhalt erkannt wird. California AB-1298 California AB-1298 ist ein Datenschutzgesetz des kalifornischen Staates zum Schutz persönlicher Daten. California AB-1298 wurde am 14. Oktober 2007 unterzeichnet und trat am 1. Januar 2008 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Kalifornien Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Dieses Gesetz ist ein Zusatz zu California SB-1386, das medizinische Daten und Gesundheitsdaten in die Definition persönlicher Informationen aufnimmt. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht, wie in den folgenden Content Blades definiert: n Aufnahme- und Entlassungsdatum n Kreditkartennummern n Daten des Kreditkartenmagnetstreifens n Gruppenversicherungsnummern n Nummern für Anspruchsberechtigte von Krankenkassenleistungen n Wörterbücher für die Gesundheitsvorsorge n Krankengeschichte n Patienten-IDs n US-Führerscheinnummern n US National Provider Identifiers (NPI) n US-Sozialversicherungsnummern California SB-1386 California SB-1386 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. California SB-1386 wurde am 25. September 2002 unterzeichnet und trat am 1. Juli 2003 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Kalifornien Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Dieses Gesetz wurde geändert und auf medizinische Informationen und Gesundheitsdaten ausgeweitet. Es wird jetzt unter der Bezeichnung California AB-1298 geführt und steht im SDK als erweiterte Regelung bereit. Wenn California AB-1298 aktiviert ist, müssen Sie diese Bestimmung nicht zusätzlich verwenden, da dieselben Informationen im Rahmen von AB-1298 erkannt werden. VMware, Inc. 201 vShield-Administratorhandbuch Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Kanadische Sozialversicherungsnummern Die Social Insurance Number (SIN) ist eine in Kanada ausgestellte Nummer, auf die verschiedene staatliche Programme zurückgreifen. Die SIN wurde 1964 als benutzerdefinierte Kontonummer zur Administration des Canada Pension Plan und von Kanadas verschiedenen Arbeitsversicherungsprogrammen eingeführt. 1967 begann Revenue Canada (heute die Canada Revenue Agency), die SIN für Steuererklärungen zu verwenden. Kanadische Führerscheinnummern In Kanada werden Führerscheine von der Regierung der Provinz ausgestellt, in der der Fahrer seinen Wohnsitz hat. Daher unterscheiden sich die Vorschriften für Führerscheine der Provinzen in einzelnen Punkten, obwohl sie insgesamt sehr ähnlich sind. In allen Provinzen gelten Vorschriften, nach denen Nichtansässige eine von anderen Provinzen ausgestellte Fahrerlaubnis oder einen internationalen Führerschein verwenden dürfen. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung mit einem der folgenden Content Blades gesucht: n Führerschein von Alberta n Führerschein von British Columbia n Führerschein von Manitoba n Führerschein von New Brunswick n Führerschein von Neufundland und Labrador n Führerschein von Nova Scotia Regeln für Lizenzmuster: 5 Buchstaben gefolgt von 9 Ziffern n Führerschein von Ontario n Führerschein von Prince Edward Island n Führerschein von Quebec n Führerschein von Saskatchewan Colorado HB-1119 Colorado HB-1119 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Colorado HB-1119 wurde am 24. April 2006 unterzeichnet und trat am 1. September 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen, die in Colorado Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n 202 Kreditkartennummer VMware, Inc. Kapitel 15 vShield Data Security Management n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Connecticut SB-650 Connecticut SB-650 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Connecticut SB-650 wurde am 8. Juni 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Connecticut Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht, wie in den folgenden Content Blades definiert: n Aufnahme- und Entlassungsdatum n Geburts- und Sterbeurkunden n Kreditkartennummern n Daten des Kreditkartenmagnetstreifens n Gruppenversicherungsnummern n Nummern für Anspruchsberechtigte von Krankenkassenleistungen n Wörterbücher für die Gesundheitsvorsorge n Krankengeschichte n Patienten-IDs n US-Führerscheinnummern n US National Provider Identifiers (NPI) n US-Sozialversicherungsnummern Kreditkartennummern Benutzerdefinierte Kontonummern Wenn Sie die spezifischen Kontonummern einer Organisation schützen müssen, passen Sie das Content Blade an, das für die benutzerdefinierten Kontonummern zuständig ist, indem Sie das Muster der Nummern über einen regulären Ausdruck angeben. VMware, Inc. 203 vShield-Administratorhandbuch EU-Debitkartennummern Die Richtlinie sucht nach Debitkartennummern, die von den großen Debitkartenunternehmen in der Europäischen Union wie Maestro, Visa und Laser ausgestellt wurden. FERPA (Family Educational Rights and Privacy Act) FERPA schützt Daten von Schülern bzw. Studenten in Bildungseinrichtungen, die durch das US Department of Education gefördert werden. Es verlangt, dass sich die Bildungseinrichtung die schriftliche Genehmigung eines Elternteils oder des Schülers bzw. Stundenden einholt, bevor Informationen aus den Schulakten des Schülers bzw. des Studenten freigegeben werden. Unter bestimmten Umständen können Informationen wie Name, Adresse, Telefonnummer, Ehrungen und Auszeichnungen sowie das Datum der Teilnahme auch ohne Genehmigung freigegeben oder veröffentlicht werden. Für Informationen, die eine Person mit Noten oder disziplinarischen Maßnahmen in Verbindung bringen können, wird immer eine Erlaubnis benötigt. Die Richtlinie muss mit beiden folgenden Content Blades übereinstimmen, damit ein Dokument einen Verstoß auslöst: n Studentenidentifikationsnummern n Studentendaten Florida HB-481 Florida HB-481 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Florida HB-481 wurde am 14. Juni 2005 unterzeichnet und trat am 1. Juli 2005 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Interessenverbände, Joint Ventures, Partnerschaften, Syndikate, Großunternehmen sowie alle anderen Gruppen oder Kombinationen davon, die in Florida Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Französische IBAN-Nummern Bei einer französischen IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von französischen Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt. Die Richtlinie greift auf das Content Blade für französische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen. 204 VMware, Inc. Kapitel 15 vShield Data Security Management Richtlinie für französische Personalausweisnummern Diese Richtlinie identifiziert Dokumente und Übertragungen, die Personalausweisnummern enthalten (auch als INSEE-Nummern und Sozialversicherungsnummern bezeichnet), die Personen vom Institut National de la Statistique et des Etudes Economiques (INSEE) in Frankreich bei der Geburt ausgestellt werden. Die Richtlinie greift auf das Content Blade für französische Personalausweisnummern zurück, um nach einer Übereinstimmung zu suchen. Georgia SB-230-Richtlinie Georgia SB-230 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Georgia SB-230 wurde am 5. Mai 2005 unterzeichnet und trat am 5. Mai 2005 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen, die zum Erheben von Gebühren und Abgaben Informationen über Personen sammeln, zusammenstellen, auswerten, zusammentragen, berichten, übertragen, transferieren oder kommunizieren mit dem Hauptzweck, persönliche Daten an nicht angegliederte Dritte zur Verfügung zu stellen, die computerisierte Daten, einschließlich persönlicher Daten, verwalten. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Richtlinie für deutsche BIC-Nummern Ein Bank Identifier Code (BIC) bzw. eine Bankleitzahl dient der eindeutigen Identifizierung einer bestimmten Bank und wird in Deutschland und weltweit für den Austausch von Geld und Nachrichten zwischen Banken verwendet. Die Richtlinie erkennt Dokumente und Übertragungen, die BIC-Codes (auch bekannt als SWIFT-Codes) enthalten, die von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgegeben werden. Die Richtlinie greift auf das Content Blade für deutsche BIC-Nummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für deutsche Führerscheinnummern Eine deutsche Führerscheinnummer ist eine Identifikationsnummer auf einem deutschen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten. Die Richtlinie greift auf das Content Blade für deutsche Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für deutsche IBAN-Nummern Bei der IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt. Die Richtlinie greift auf das Content Blade für deutsche IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen. VMware, Inc. 205 vShield-Administratorhandbuch Richtlinie für deutsche Personalausweisnummern Die Richtlinie erkennt Dokumente und Übertragungen, die persönliche Identifikationsnummern oder das Wort „Personalausweis“ enthalten und für Personen in Deutschland ausgestellt wurden. Die Richtlinie greift auf das Content Blade für deutsche Personalausweisnummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für deutsche Umsatzsteuernummern Ansässiges Unternehmen oder juristische Person für die Zwecke der Mehrwertsteuererhebung (bzw. der Erhebung von Steuern auf Waren und Dienstleistungen). Die Richtlinie greift auf das Content Blade für deutsche Umsatzsteuernummern zurück, um nach einer Übereinstimmung zu suchen. Hawaii SB-2290-Richtlinie Hawaii SB-2290 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Hawaii SB-2290 wurde am 25. Mai 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Das Gesetz gilt für alle Einzelunternehmen, Personengesellschaften, Unternehmen, Verbände bzw. anderen juristischen Personen, ungeachtet der Organisationsform, ob sie gewinnorientiert organisiert sind oder nicht, einschließlich Finanzinstituten, die gemäß der Gesetze des Bundesstaats Hawaii, eines anderen Bundesstaats, der Vereinigten Staaten oder eines anderen Lands organisiert sind, kraft eines Charters handeln oder im Besitz einer Lizenz oder eines Autorisierungszertifikats sind, oder der Muttergesellschaft oder Tochtergesellschaft eines Finanzinstituts, sowie jeder juristischen Person, deren Geschäft das Vernichten von Aufzeichnungen ist, oder jeder Behörde, die persönliche Informationen zu bestimmten behördlichen Zwecken sammelt. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer HIPAA-Richtlinie (Healthcare Insurance Portability and Accountability Act) Der Health Insurance Portability and Accountability Act (HIPAA) wurde vom Kongress der Vereinigten Staaten von Amerika erlassen. HIPAA enthält eine Datenschutzrichtlinie, die die Verwendung und Veröffentlichung von geschützten Gesundheitsinformationen (PHI, Protected Health Information) regelt, eine Sicherheitsrichtlinie, die Sicherheitsvorkehrungen für elektronisch geschützte Gesundheitsinformationen (ePHI, Electronic Protected Health Information) festlegt, und eine Durchsetzungsrichtlinie, die Prozeduren für Ermittlungen bei Verstößen sowie Strafen für bestätigte Verstöße definiert. Unter PHI versteht man persönliche Gesundheitsinformationen, die in irgendeiner Form oder mit irgendeinem Medium (elektronisch, mündlich oder auf Papier) durch eine abgedeckte juristische Person oder deren Geschäftspartner übermittelt werden (mit Ausnahme bestimmter Schulungs- und Beschäftigungsunterlagen). Persönliche Informationen ermöglichen Rückschlüsse auf die Identität der betroffenen Person durch den Ermittler. 206 VMware, Inc. Kapitel 15 vShield Data Security Management Diese Richtlinie soll elektronisch geschützte Gesundheitsinformationen (ePHI) erkennen, die außer gesundheitsbezogener Terminologie eine persönliche Gesundheitsnummer enthalten. Es können Übereinstimmungen zurückgegeben werden, die falsch negativ sind, da Kombinationen von persönlichen Informationen, z. B. Name und Adresse, von dieser Richtlinie nicht als ePHI ausgelegt werden. Interne Untersuchungen haben ergeben, dass die meisten Datenübertragungen im Gesundheitswesen neben gesundheitsbezogenen Terminologien auch eine persönliche Gesundheitsnummer enthalten. Idaho SB-1374-Richtlinie Idaho SB-1374 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Idaho SB-1374 wurde am 30. März 2006 unterzeichnet und trat am 1. Juli 2006 in Kraft. Dem Gesetz unterliegen alle Behörden, natürlichen und juristischen Personen, die in Idaho Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten von Bürgern von Idaho, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Illinois SB-1633 Illinois SB-1633 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Illinois SB-1633 wurde am 16. Juni 2005 unterzeichnet und trat am 27. Juni 2006 in Kraft. Das Gesetz gilt für alle Datensammler. Dazu gehören, jedoch nicht ausschließlich, Behörden, öffentliche und private Universitäten, Privatunternehmen und Aktiengesellschaften, Finanzinstitute, Einzelhändler und andere juristische Personen, die nicht öffentliche, persönliche Daten zu jedwedem Zweck verarbeiten, erfassen, verbreiten oder auf andere Art damit handeln bzw. die persönliche Daten zu Bürgern von Illinois besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Indiana HB-1101-Richtlinie Indiana HB-1101 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Indiana HB-1101 wurde am 26. April 2005 unterzeichnet und trat am 1. Juli 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Business Trusts, Vermögensverwalter, treuhänderisch tätige Einrichtungen, Interessenverbände, Nonprofit-Unternehmen oder -Organisationen, Kooperativen und alle anderen juristischen Personen, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens VMware, Inc. 207 vShield-Administratorhandbuch n US-Führerscheinnummer n US-Sozialversicherungsnummer Richtlinie für italienische Führerscheinnummern Eine italienische Führerscheinnummer ist eine Identifikationsnummer auf einem italienischen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten. Die Richtlinie greift auf das Content Blade für italienische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für italienische IBAN-Nummern. Bei der IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wurde von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt. Die Richtlinie greift auf das Content Blade für italienische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für italienische Personalausweisnummern Die Richtlinie erkennt Dokumente und Übertragungen, die persönliche Identifikationsnummern oder das Wort „Codice Fiscale“ enthalten und an Personen in Italien ausgestellt wurden. Die Richtlinie greift auf das Content Blade für italienische Personalausweisnummern zurück, um nach einer Übereinstimmung zu suchen. Kansas SB-196-Richtlinie Kansas SB-196 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Kansas SB-196 wurde am 19. April 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Personengesellschaften, Unternehmen, Trusts, Vermögensverwalter, Kooperativen, Interessenverbände, staatliche Behörden und alle anderen juristischen Personen, die in Kansas Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: 208 n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer VMware, Inc. Kapitel 15 vShield Data Security Management Louisiana SB-205-Richtlinie Louisiana SB-205 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Louisiana SB-205 wurde am 12. Juli 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Personengesellschaften, Einzelunternehmen, Aktiengesellschaften, Joint Ventures und alle anderen juristischen Personen, die in Louisiana Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Maine LD-1671-Richtlinie Maine LD-1671 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Maine LD-1671 wurde am 10. Juni 2005 unterzeichnet und trat am 31. Januar 2006 in Kraft. Das Gesetz gilt für alle natürlichen Personen, treuhänderisch tätige Einrichtungen, Unternehmen, Gesellschaften mit beschränkter Haftung, Trusts, Vermögensverwalter, Kooperativen, Verbände oder anderen juristischen Personen, einschließlich staatlicher Behörden, der University of Maine, des Maine Community Colleges, der Maine Maritime Academy und privater Colleges und Universitäten, sowie für juristische Personen, die geschäftlich ganz oder teilweise Informationen über Personen erfassen, zusammenstellen, auswerten, zusammentragen, berichten, übertragen, transferieren oder kommunizieren mit dem Hauptzweck, persönliche Daten an nicht angegliederte Dritte zur Verfügung zu stellen, die computerisierte Daten, einschließlich persönlicher Daten, verwalten. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Massachusetts CMR-201 Massachusetts CMR-201 ist eine Datenschutzbestimmung dieses Staates zum Schutz persönlicher Daten. Massachusetts CMR-201 wurde am 19. September 2008 unterzeichnet und trat am 1. Mai 2009 in Kraft. Der Bestimmung unterliegen alle Unternehmen und andere juristische Personen, die persönliche Daten über einen Bürger des Commonwealth of Massachusetts besitzen, lizenzieren, erfassen, speichern oder verwalten. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n ABA Routing-Nummern n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Bankkontonummern n US-Führerscheinnummer VMware, Inc. 209 vShield-Administratorhandbuch n US-Sozialversicherungsnummer Minnesota HF-2121 Minnesota HF-2121 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Minnesota HF-2121 wurde am 2. Juni 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz unterliegen alle Personen bzw. Unternehmen, die in Minnesota Geschäfte tätigen und Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Montana HB-732 Montana HB-732 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Montana HB-732 wurde am 28. April 2005 unterzeichnet und trat am 1. März 2006 in Kraft. Dem Gesetz unterliegen alle Personen bzw. Unternehmen, die in Montana Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Niederländische Führerscheinnummern Eine niederländische Führerscheinnummer ist eine Identifikationsnummer auf einem niederländischen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten. Die Richtlinie greift auf das Content Blade für niederländische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen. Nevada SB-347 Nevada SB-347 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Nevada SB-347 wurde am 17. Juni 2005 unterzeichnet und trat am 1. Oktober 2005 in Kraft. Dem Gesetz unterliegen alle Behörden, Universitäten, Unternehmen, Finanzinstitute und Einzelhändler sowie alle anderen Arten von geschäftlichen Unternehmen bzw. Verbänden, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: 210 n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer VMware, Inc. Kapitel 15 vShield Data Security Management n US-Sozialversicherungsnummer New Hampshire HB-1660 New Hampshire HB-1660 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New Hampshire HB-1660 wurde am 2. Juni 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle Personen, Unternehmen, Trusts, Personengesellschaften, eingetragene und nicht eingetragene Vereine, Gesellschaften mit beschränkter Haftung bzw. andere juristische Personen, Behörden, Gremien, Gerichte, Gerichte, Abteilungen, Dezernate, Kommissionen, Institutionen, Ämter und andere staatliche Stellen sowie alle politischen Gliederungen des Bundesstaats, die in New Hampshire Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer New Jersey A-4001 New Jersey A-4001 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New Jersey A-4001 wurde am 22. September 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Das Gesetz gilt für New Jersey sowie für jedes County, jede Stadt, jeden Bezirk, jede Behörde, jede staatliche Agentur und jede andere politische Gliederung bzw. öffentliche Körperschaft in New Jersey, für alle Einzelunternehmen, Personengesellschaften, Unternehmen, Verbände bzw. andere juristische Personen, ungeachtet der Organisationsform, ob sie gewinnorientiert organisiert sind oder nicht, einschließlich Finanzinstituten, die gemäß der Gesetze des Bundesstaats New Jersey, eines anderen Bundesstaats, der Vereinigten Staaten oder eines anderen Lands organisiert sind, kraft eines Charters handeln oder im Besitz einer Lizenz oder eines Autorisierungszertifikats sind, oder die Muttergesellschaft oder die Tochtergesellschaft eines Finanzinstituts, das in New Jersey tätig ist, die Computerdaten zusammenstellen oder verwalten, die persönliche Informationen enthalten. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer New York AB-4254 New York AB-4254 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New York AB-4254 wurde am 10. August 2005 unterzeichnet und trat am 8. Dezember 2005 in Kraft. Dem Gesetz unterliegen alle Personen bzw. Unternehmen, die in New York Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n VMware, Inc. Kreditkartennummer 211 vShield-Administratorhandbuch n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Neuseeländische Steuernummern Die Richtlinie erkennt Dokumente und Übertragungen, die neuseeländische Steuernummern enthalten, die vom Inland Revenue Department (IRD) an jeden Steuerzahler und jede Organisation ausgegeben werden. Die Nummer muss bei den Steuerbehörden (Inland Revenue), Arbeitgebern, Banken oder anderen Finanzinstituten, KiwiSaver Scheme-Anbietern, StudyLink und Steuerberatern angegeben werden. Die Richtlinie greift auf das Content Blade für neuseeländische Steuernummern zurück, um nach einer Übereinstimmung zu suchen. Nummern des neuseeländischen Gesundheitsministeriums Die Richtlinie erkennt Dokumente und Übertragungen, die Nummern des New Zealand Health Practitioner Index (HPI) oder National Health Index (NHI) enthalten. Das neuseeländische Ministerium für Gesundheit (Manatu Hauora in Maori) leitet das neuseeländische Gesundheitssystem und ist der wichtigste Berater der Regierung in allen gesundheitlichen Belangen. Das Ministerium verwendet zwei Systeme, um die Korrektheit der Daten unter Beibehaltung der Privatsphäre des Einzelnen sicherstellen zu können: das NHI-Nummernsystem für die Registrierung von Patienten und das HPI-System für die Registrierung von Ärzten. Diese Richtlinie erkennt die 6-stellige alphanumerische HPICPN (New Zealand Health Practitioner Index Common Person Number), über die ein Arzt oder eine medizinische Fachkraft eindeutig identifiziert werden kann. Darüber hinaus erkennt diese Richtlinie die 7-stelligen NHI-Nummern zur eindeutigen Identifizierung eines Patienten innerhalb des neuseeländischen Gesundheitssystems. Die Richtlinie greift auf einen der folgenden Content Blades zurück, um nach einer Übereinstimmung zu suchen: n Neuseeländische HPI-Nummer (Health Practitioner Index-Nummer) n Neuseeländische NHI-Nummer (National Health Index-Nummer) Ohio HB-104 Ohio HB-104 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Ohio HB-104 wurde am 17. November 2005 unterzeichnet und trat am 29. Dezember 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Business Trusts, Vermögensverwalter, treuhänderisch tätige Einrichtungen und Interessenverbände, die in Ohio Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: 212 n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer VMware, Inc. Kapitel 15 vShield Data Security Management Oklahoma HB-2357 Oklahoma HB-2357 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Oklahoma HB-2357 wurde am 8. Juni 2006 unterzeichnet und trat am 1. November 2008 in Kraft. Dem Gesetz unterliegen alle Unternehmen, Business Trusts, Vermögensverwalter, Personengesellschaften, Kommanditgesellschaften, Personengesellschaften mit beschränkter Haftung, Gesellschaften mit beschränkter Haftung, Verbände, Organisationen, Joint Ventures, Behörden, Behördenabteilungen sowie alle anderen juristischen Personen, kommerzieller oder nicht kommerzieller Art, die in Oklahoma Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Patienten-IDs Die persönlich identifizierbaren Informationen (PII), die häufig von Krankenhäusern sowie Organisationen und Unternehmen des Gesundheistswesens in den Vereinigten Staaten von Amerika verwendet werden. Diese Richtlinie sollte angepasst werden, um das Format der Patientenidentifikationsnummer zu definieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Patienten-IDs n US National Provider Identifier n US-Sozialversicherungsnummer Payment Card Industry Data Security Standard (PCI-DSS) Der PCI DSS, eine Reihe von umfassenden Anforderungen zur Verbesserung der Sicherheit von Zahlungskontendaten, wurde von den Gründungsorganisationen des PCI Security Standards Council entwickelt, darunter American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. International, um die globale Einführung einheitlicher Datensicherheitsmaßnahmen zu unterstützen. Der PCI DSS ist ein vielseitiger Sicherheitsstandard, der Anforderungen an das Sicherheitsmanagement, an Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere kritische Schutzmaßnahmen beinhaltet. Mithilfe dieses umfassenden Standards sollen Organisationen Kundenkontendaten proaktiv schützen können. Die Richtlinie greift auf einen der folgenden Content Blades zurück, um nach mindestens einer Übereinstimmung zu suchen: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens VMware, Inc. 213 vShield-Administratorhandbuch Texas SB-122 Texas SB-122 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Texas SB-122 wurde am 17. Juni 2005 unterzeichnet und trat am 1. September 2005 in Kraft. Dem Gesetz unterliegen alle Personen, die in Texas Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Britische BIC-Nummern Eine Bank Identifier Code (BIC) dient der eindeutigen Identifizierung einer bestimmten Bank und wird in Großbritannien und weltweit für den Austausch von Geld und Nachrichten zwischen Banken verwendet. Die Richtlinie erkennt Dokumente und Übertragungen, die BIC-Codes (auch bekannt als SWIFT-Codes) enthalten, die von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgegeben werden. Die Richtlinie greift auf das Content Blade für britische BIC-Nummern zurück, um nach einer Übereinstimmung zu suchen. Britische Führerscheinnummern Eine britische Führerscheinnummer ist eine Identifikationsnummer auf einem britischen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten. Die Richtlinie greift auf das Content Blade für britische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen. Britische IBAN-Nummern Bei der IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt. Die Richtlinie greift auf das Content Blade für britische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen. Britische National Health Service-Nummer Eine britische National Health Service-Nummer ist eine Identifikationsnummer, die der britische National Health Service ausstellt und die den Inhaber der besagten Nummer auf medizinischen Unterlagen identifiziert. Die Richtlinie greift auf das Content Blade für britische National Health Service-Nummern zurück, um nach einer Übereinstimmung zu suchen. 214 VMware, Inc. Kapitel 15 vShield Data Security Management Britische Sozialversicherungsnummer (NINO, UK National Insurance Number) Die britische Sozialversicherung ist ein System von Zahlungen, die Arbeitnehmer, Arbeitgeber und Selbstständige an die Regierung tätigen, und das sie berechtigt, eine staatliche Rente und andere Leistungen in Anspruch zu nehmen. Britische Sozialversicherungsnummern (NINO, National Insurance Number) sind Identifikationsnummern, die jeder in Großbritannien geborenen Person und jedem Einwohner in Großbritannien zugewiesen wird, der einer legalen Arbeit nachgeht, studiert, Sozialhilfe oder Rente empfängt usw. Die Richtlinie greift auf das Content Blade für britische NINO-Nummern mit formalem Muster oder das Content Blade für britische NINO-Nummern mit nicht formalem Muster zurück, um nach einer Übereinstimmung zu suchen. Britische Reisepassnummern Die Richtlinie erkennt Dokumente und Übertragungen, die in Großbritannien ausgestellte Reisepassnummern enthalten. Die Richtlinie greift auf das Content Blade für britische Reisepassnummern zurück, um nach einer Übereinstimmung zu suchen. US-Führerscheinnummern In den Vereinigten Staaten vom Department of Motor Vehicles (oder einer vergleichbaren Behörde) ausgestellte Führerscheine enthalten einen numerischen oder alphanumerischen Code, in der Regel ein Foto des Inhabers sowie eine Kopie seiner Unterschrift, die Adresse seines Hauptwohnsitzes, den Typ oder die Kategorie des Führerscheins, ggf. Einschränkungen und/oder Vermerke, physische Merkmale des Trägers (wie Größe, Gewicht, Haarfarbe, Augenfarbe, manchmal auch die Hautfarbe) und das Geburtsdatum. Innerhalb eines Staates sind ausgegebene Führerscheinnummern immer eindeutig. Wegen der Gefahr des Identitätsdiebstahls werden Sozialversicherungsnummern nur noch selten auf Führerscheinen angegeben. Die Richtlinie greift auf das Content Blade für US-Führerscheine zurück, um nach einer Übereinstimmung zu suchen. US-Sozialversicherungsnummern Gemäß Paragraf 205 (c) (2) des Social Security Act, kodifiziert als 42 USC 405(c)(2), wird die US-Sozialversicherungsnummer US-Bürgern, Personen mit ständigem Wohnsitz in den Vereinigten Staaten und Personen mit befristeter Arbeits- bzw. Aufenthaltsgenehmigung ausgestellt. Die Social Security Administration, eine unabhängige Agentur der Regierung der Vereinigten Staaten, vergibt die Sozialversicherungsnummern an die Bürger. In erster Linie wird mithilfe der Sozialversicherungsnummer das Einkommen von Personen für steuerliche Zwecke verfolgt. Utah SB-69 Utah SB-69 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Utah SB-69 wurde am 20. März 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle Personen, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, zu Bürgern von Utah besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens VMware, Inc. 215 vShield-Administratorhandbuch n US-Führerscheinnummer n US-Sozialversicherungsnummer Vermont SB-284 Vermont SB-284 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Vermont SB-284 wurde am 18. Mai 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle Personen, die Daten sammeln und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, zu Bürgern von Vermont besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Washington SB-6043 Washington SB-6043 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Washington SB-6043 wurde am 10. Mai 2005 unterzeichnet und trat am 24. Juli 2005 in Kraft. Dem Gesetz unterliegen alle lokalen und staatlichen Behörden sowie jeder Person bzw. jedes Unternehmen, die in Washington Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Verfügbare Content Blades In diesen Abschnitten sind die verfügbaren Content Blades für vShield-Bestimmungen aufgeführt. Content Blade für ABA Routing-Nummern Das Content Blade sucht nach Übereinstimmungen bei 3 Informationsbestandteilen, die sich nah beieinander befinden. Das Content Blade sucht nach: n ABA Routing-Nummern n Wörtern und Phrasen aus dem Bankwesen (z. B. „ABA“, „routing number“, „checking“, „savings“) n Persönlichen Daten (z. B. Name, Adresse, Telefonnummer) Wörter und Phrasen aus dem Bankwesen sind implementiert, um die Genauigkeit zu erhöhen. Eine Routing-Nummer besteht aus 9 Ziffern und kann mit vielen verschiedenen Datentypen verwechselt werden, beispielsweise mit einer gültigen US-Sozialversicherungsnummer, einer gültigen kanadischen Sozialversicherungsnummer oder einer internationalen Telefonnummer. Da Routing-Nummern selbst keine vertraulichen Daten sind, kann es nur bei persönlichen Daten zu einem Verstoß kommen. 216 VMware, Inc. Kapitel 15 vShield Data Security Management Content Blade für Aufnahme- und Entlassungsdatum Das Content Blade sucht nach Übereinstimmungen mit dem US-Datumsformat sowie nach Wörtern und Phrasen wie z. B. „admit date“, „admittance date“, „date of discharge“, „discharge date“, die sich nah beieinander befinden. Content Blade für Führerscheine aus Alabama Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alabama sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AL oder Alabama. Führerscheinmuster 7 oder 8 Ziffern Content Blade für Führerscheine aus Alaska Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder Alaska. Führerscheinmuster: 7 Ziffern Content Blade für Führerscheine aus Alberta Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder Alaska. Führerscheinmuster 7 Ziffern Content Blade für Führerscheine aus Alaska Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder Alaska. Führerscheinmuster: 7 Ziffern Content Blade für Führerscheine aus Alberta Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder Alaska. Führerscheinmuster 7 Ziffern VMware, Inc. 217 vShield-Administratorhandbuch Content Blade für American Express Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen. n Mehr als eine American Express-Kreditkartennummer n Eine einzelne Kreditkartennummer plus Wörtern und Phrasen wie z. B. „ccn“, „credit card“, „expiration date“ n Eine einzelne Kreditkartennummer plus einem Ablaufdatum Content Blade für Führerscheine aus Arizona Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Arizona sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AZ oder Arizona. Das Führerscheinmuster lautet: 1 Buchstabe, 8 Ziffern oder 9 Ziffern (SSN) bzw. 9 Ziffern (unformatierte SSN). Content Blade für Führerscheine aus Arkansas Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Arkansas sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AR oder Arkansas. Das Führerscheinmuster kann 8 oder 9 Ziffern sein. Content Blade für Bankkontonummern aus Australien Die australische Bankkontonummer selbst ist nicht vertraulich, identifiziert aber ein Bankkonto, ohne die Zweigstelle der Bank zu identifizieren. Deshalb müssen die Bankkontonummer und die Zweigstellendaten verfügbar sein, damit das Dokument als vertraulich betrachtet wird. Das Content Blade sucht nach Übereinstimmungen für beide Informationen: n Einer australischen Bankkontonummer n Wörtern und Phrasen hinsichtlich der Zweigstelle oder BSB (Bank State Branch). Zudem wird auch ein regulärer Ausdruck verwendet, um Telefonnummern mit derselben Länge unterscheiden zu können. Eine australische Bankkontonummer ist 6 bis 10 Ziffern lang, wobei die Ziffern keine nähere Bedeutung haben. Es gibt keine Routine zum Überprüfen der Ziffern. Content Blade für australische Geschäftsnummern (ABN) Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich nah beieinander befinden. n Australia Business Number n Begriffe und Phrasen im Zusammenhang mit der ABN (z. B. ABN, Australian Business Number) Content Blade für australische Firmennummer (ACN) Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich nah beieinander befinden. n 218 Australia Company Number VMware, Inc. Kapitel 15 vShield Data Security Management n Wörter und Phrasen im Zusammenhang mit der ACN (z. B. ACN, Australian Company Number) Content Blade für australische Medicare-Kartennummer Das Content Blade findet Übereinstimmungen, wenn ein Dokument folgende Informationen enthält. n Mehr als eine australische Medicare-Kartennummer n Eine Medicare-Kartennummer sowie weitere Begriffe im Zusammenhang mit Medicare oder der Patientenidentifizierung (z. B. Patientenkennung, Patientennummer) n Eine Medicare-Kartennummer sowie zwei weitere der folgenden Informationen: Name, Ablaufdatum oder Ablaufbestimmungen Content Blade für australische Steuernummern Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich sehr nah beieinander befinden. n Australische Steuernummer (siehe Objektbeschreibung) n Steuernummerbegriffe und -Phrasen (z. B. „TFN“, „Tax File Number“) Content Blade für Führerscheinnummern aus Kalifornien Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kalifornien sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CA oder California. Das Führerscheinmuster lautet: 1 Buchstabe, 7 Ziffern. Content Blade für Führerscheinnummern aus Kanada Das Content Blade ist lediglich eine Containerdatei für untergeordnete Content Blades. Die ihm zugeordneten Content Blades suchen separat in den einzelnen Provinzen und Territorien nach Führerscheinen. Content Blade für Sozialversicherungsnummern aus Kanada Das Content Blade ist lediglich eine Containerdatei für untergeordnete Content Blades. Die ihm zugeordneten Content Blades suchen separat nach der formatierten und der unformatierten Version der kanadischen Sozialversicherungsnummern sowie nach persönlichen Informationen, sodass ihnen unterschiedliche Regeln zugeordnet werden können. Die formatierte Version der Sozialversicherungsnummer hat ein spezifischeres Muster. Daher sind die Regeln für die Rückgabe einer Übereinstimmung weniger streng. Die unformatierte Version ist jedoch sehr allgemein und stimmt mit vielen anderen Nummern überein. Content Blade für Führerscheinnummern aus Colorado Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Colorado sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CO oder Colorado. Das Führerscheinmuster besteht aus 9 Ziffern. VMware, Inc. 219 vShield-Administratorhandbuch Content Blade für Führerscheinnummern aus Connecticut Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Connecticut sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CT oder Connecticut. Führerscheinmuster: 9 Ziffern, die ersten zwei Stellen sind der Geburtsmonat in geraden bzw. ungeraden Jahreszahlen. 01-12 für Jan-Dez in ungeraden Jahren, 13-24 Jan-Dez in geraden Jahren, 99 für unbekannt. Content Blade für Kreditkartennummern Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen. n Mehr als eine Kreditkartennummer n Eine einzelne Kreditkartennummer plus Wörtern und Phrasen wie z. B. „ccn“, „credit card“, „expiration date“ n Eine einzelne Kreditkartennummer plus einem Ablaufdatum Content Blade für Daten des Kreditkartenmagnetstreifens Bei den Magnetstreifendaten handelt es sich um verschlüsselte Informationen, die auf zwei Spuren des Magnetstreifens auf der Rückseite einer Kreditkarte (Bankkarte, Geschenkkarte usw.) gespeichert sind. Der Magnetstreifen auf der Rückseite einer Kreditkarte enthält drei Spuren. Jede Spur hat eine Breite von 2,8 mm (0,11 Zoll). In der von den Banken verwendeten ISO/IEC-Norm 7811 ist Folgendes definiert: n Spur 1 hat 210 bpi (bits per inch) und umfasst 79 7-Bit-Zeichen (6 Bit und 1 Paritätsbit). Sie kann nicht beschrieben werden. n Spur 2 hat 75 bpi (bits per inch) und umfasst 40 5-Bit-Zeichen (4 Bit und 1 Paritätsbit). n Spur 3 hat 210 bpi (bits per inch) und umfasst 107 5-Bit-Zeichen (4 Bit und 1 Paritätsbit). Ihre Kreditkarte verwendet in der Regel nur die Spuren 1 und 2. Bei der dritten Spur handelt sich um eine Lese-/Schreib-Spur (die eine verschlüsselte PIN, einen Landescode, Währungseinheiten und den genehmigten Betrag enthält), jedoch ist ihre Nutzung durch die Banken nicht standardisiert. Dieses Content Blade erfordert eine Übereinstimmung mit der Entität „Credit Card Track Data". Content Blade für benutzerdefinierte Kontonummern Das Content Blade für benutzerdefinierte Kontonummern kann bearbeitet werden. Es sollte einen regulären Ausdruck für das benutzerdefinierte Kontomuster einer Organisation enthalten. Content Blade für Führerscheinnummern aus Delaware Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Delaware sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie DE oder Delaware. Content Blade für europäische Debitkartennummern Das Content Blade sucht nach Mustern der wichtigsten Debitkarten in der europäischen Union. Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in unmittelbarer Nachbarschaft zueinander enthält. n 220 Mehr als eine Übereinstimmung mit einer EU-Debitkartennummer VMware, Inc. Kapitel 15 vShield Data Security Management n Eine einzelne Übereinstimmung mit einer EU-Debitkartennummer sowie zwei weitere der folgenden Informationen: ein Wort oder eine Phrase für Kreditkarte (z. B. „Kartennummer“ oder „CC #“), für Kreditkartensicherheit, ein Verfallsdatum oder ein Name n Eine einzelne Übereinstimmung mit einer EU-Debitkartennummer mit einem Ablaufdatum Content Blade für Führerscheinnummern aus Florida Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Florida sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie FL oder Florida. Führerscheinmuster: 1 Buchstabe, 12 Ziffern. Content Blade für Führerscheinnummern aus Frankreich Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen französischen Führerschein zu erkennen. n Muster für französischen Führerschein n Entweder Wörter oder Phrasen für einen Führerschein (z. B. „permis de conduire“) oder das EU-Datumsformat Content Blade für französische BIC-Nummern Bei der Suche nach französischen BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen. n Europäisches BIC-Nummerformat n Französisches Format der BIC-Nummer Content Blade für französische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine französische IBAN-Nummer zu erkennen. n Europäisches IBAN-Nummerformat n Muster einer französischen IBAN-Nummer Content Blade für die französische Personalausweisnummer Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine französische Personalausweisnummer zu erkennen. n Mehr als eine Übereinstimmung mit dem Muster für die französische Personalausweisnummer n Eine Übereinstimmung mit dem Muster für die französische Personalausweisnummer sowie entweder Wörter oder Phrasen für eine Sozialversicherungsnummer VMware, Inc. 221 vShield-Administratorhandbuch Content Blade für französische Umsatzsteuernummern Das Content Blade erfordert eine Übereinstimmung mit dem Muster für eine französische Umsatzsteuernummer, die sich in der Nähe der Abkürzung FR befindet. Content Blade für Führerscheinnummern aus Georgia Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Georgia sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie GA oder Georgia. Führerscheinmuster: 7-9 Ziffern oder formatierte SSN. Content Blade für deutsche BIC-Nummern Bei der Suche nach deutschen BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen. n Europäisches BIC-Nummerformat n Deutsches Format der BIC-Nummer Content Blade für Führerscheinnummern aus Deutschland Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen deutschen Führerschein zu erkennen. n Muster für deutschen Führerschein\ n Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „Führerschein“, „Ausstellungsdatum“) Content Blade für deutsche IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche IBAN-Nummer zu erkennen. n Europäisches IBAN-Nummerformat n Muster einer deutschen IBAN-Nummer Die Regel für eine deutsche IBAN: Ländercode „DE“, gefolgt von 22 Ziffern. Content Blade für deutsche Personalausweisnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche Personalausweisnummer zu erkennen. n Entweder eine deutsche Personalausweisnummer oder eine maschinenlesbare Version der Nummer n Wörter oder Phrasen für eine deutsche Personalausweisnummer (z. B. „Personalausweis“, „Personalausweisnummer“) Content Blade für deutsche Reisepassnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche Reisepassnummer zu erkennen. 222 n Entweder eine deutsche Reisepassnummer oder eine maschinenlesbare Version der Nummer n Wörter oder Phrasen für eine deutsche Reisepassnummer (z. B. „Reisepass“, „Ausstellungsdatum“) VMware, Inc. Kapitel 15 vShield Data Security Management Content Blade für deutsche Umsatzsteuernummern Das Content Blade erfordert eine Übereinstimmung mit dem Muster für eine deutsche Umsatzsteuernummer, die sich in direkter Nachbarschaft zu der Abkürzung „DE“ befindet. Content Blade für Gruppenversicherungsnummern Dies ist ein Content Blade, das angepasst werden muss. Um dieses Content Blade verwenden zu können, müssen Sie einen regulären Ausdruck hinzufügen, der dem Nummernmuster für die Gruppenversicherungsnummer einer Organisation entspricht. Das Content Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. „group insurance“ oder einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat. Content Blade für Führerscheinnummern aus Hawaii Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Hawaii sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie HI oder Hawaii. Führerscheinmuster: Buchstabe H und 8 Ziffern, oder SSN. Content Blade für italienische Personalausweisnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine italienische Personalausweisnummer zu erkennen. 1 Muster einer italienischen nationalen Identifikationsnummer 2 Wörter oder Phrasen für eine italienische Personalausweisnummer (z. B. „codice fiscale“, „national identification“) Regel für Personalausweisnummern: 16 Zeichen alphanumerischer Zeichencode, wobei Folgendes gilt: n SSS sind die ersten drei Konsonanten im Familiennamen (der erste Vokal und dann ein X werden verwendet, wenn nicht genügend Konsonanten zur Verfügung stehen). n NNN ist der Vorname, von dem der erste, dritte und vierte Konsonant verwendet werden. Ausnahmen werden wie in Familiennamen behandelt. n JJ steht für die letzten beiden Ziffern des Geburtsjahrs. n M steht für den Anfangsbuchstaben des Geburtsmonats. Die Buchstaben werden in alphabetischer Reihenfolge verwendet. Dabei kommen nur die Buchstaben A bis E, H, L, M, P sowie R bis T zum Einsatz (demzufolge steht A für Januar und R für Oktober). n TT steht für den Tag des Geburtsdatums. Um Geschlechter unterscheiden zu können, wird dem Tag des Geburtsdatums 40 hinzuaddiert. (Eine Frau, die an einem 3. Mai geboren wurde, hat ...E43...) n ZZZZ ist ein für den Geburtsort spezifischer Bereichscode. Für das Ausland werden landesweite Codes verwendet: ein Buchstabe, gefolgt von drei Ziffern. n X ist eine Paritätszeichen, das berechnet wird, indem Zeichen an geraden und ungeraden Positionen addiert und durch 26 geteilt werden. Dazu werden für Buchstaben an geraden Positionen numerische Werte verwendet, die der Stellung der Buchstaben im Alphabet entsprechen. Zeichen an ungeraden Positionen haben andere Werte. Dann wird der Buchstabe verwendet, der an der Stelle im Alphabet steht, die sich aus dem Rest der Division ergibt. Muster: n LLLLLLDDLDDLDDDL n LLL LLL DDLDD LDDDL VMware, Inc. 223 vShield-Administratorhandbuch Nummern für Anspruchsberechtigte von Krankenkassenleistungen Dies ist ein Content Blade, das angepasst werden muss. Fügen Sie zum Einsetzen dieses Content Blades einen regulären Ausdruck hinzu, um Empfänger von Krankenkassenleistungen zu identifizieren. Das Content Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. nach Anspruchsberechtigten oder einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat. Content Blade für Führerscheinnummern aus Idaho Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Idaho sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ID oder Idaho. Führerscheinmuster: 2 Buchstaben, 6 Ziffern, 1 Buchstabe. Content Blade für Führerscheinnummern aus Illinois Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Illinois sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IL oder Illinois. Führerscheinmuster: 1 Buchstabe, 11 Ziffern. Content Blade für Führerscheinnummern aus Indiana Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Indiana sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IN oder Indiana. Führerscheinmuster: 10 Ziffern. Content Blade für Führerscheinnummern aus Iowa Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Iowa sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IA oder Iowa. Das Führerscheinmuster besteht aus 3 Ziffern, 2 Buchstaben und 3 Ziffern oder der Sozialversicherungsnummer. Content Blade für das Verfahrensverzeichnis Das Content Blade sucht nach Wörtern und Phrasen, die sich auf medizinische Verfahren beziehen, die auf der International Classification of Diseases (ICD) basieren. Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen enthält: 224 n Mehr als eine Übereinstimmung im Verfahrensverzeichnis-Wörterbuch n Eine einzelne Übereinstimmung im Verfahrensverzeichnis-Wörterbuch plus zwei Übereinstimmungen bei Name, US-Adresse oder US-Datum n Eine einzelne Übereinstimmung im Verfahrensverzeichnis-Wörterbuch mit einem Wort oder einer Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes) VMware, Inc. Kapitel 15 vShield Data Security Management Content Blade für Führerscheinnummern aus Italien Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen italienischen Führerschein zu erkennen. n Muster für italienischen Führerschein n Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „patente di guida“, „driving license“) Führerscheinregel: 10 alphanumerische Zeichen - 2 Buchstaben, 7 Ziffern und als letztes Zeichen ein Buchstabe. Das erste Zeichen darf nur aus den Buchstaben A - V bestehen. Führerscheinmuster: n LLDDDDDDDL n LL DDDDDDD L n LL-DDDDDDD-L n LL-DDDDDDD-L Content Blade für italienische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine italienische IBAN-Nummer zu erkennen. 1 Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. „International Bank Account Number“, „IBAN“) 2 Muster einer italienischen IBAN-Nummer IBAN-Regel: Ländercode IT gefolgt von 25 alphanumerischen Zeichen. Muster: n ITDDLDDDDDDDDDDAAAAAAAAAAAA n IT DDL DDDDD DDDDD AAAAAAAAAAAA n IT DD LDDDDD DDDDD AAAAAAAAAAAA n IT DD L DDDDD DDDDD AAAAAAAAAAAA n IT DD LDDDDDDDDDDAAAAAAAAAAAA n IT DD L DDDDDDDDDDAAAAAAAAAAAA n ITDD LDDD DDDD DDDA AAAA AAAA AAA n IT DDL DDDDD DDDDD AAAAAA AAAAAA n IT DDL DDD DDD DDD DAAA AAA AAAAAA n IT DDL DDDDDDDDDD AAAAAA AAAAAA Leerzeichen können durch Bindestriche, Schrägstriche oder Doppelpunkte ersetzt werden. VMware, Inc. 225 vShield-Administratorhandbuch Content Blade für unformatierte ITIN Das Content Blade sucht unformatierte Muster der US-Steuernummer (ITIN). Das Content Blade findet eine Übereinstimmung, wenn eine unformatierte ITIN in direkter Nachbarschaft eines Worts oder einer Phrase für eine ITIN-Nummer (z. B. tax identification, ITIN) gefunden wird. ITIN-Regel: 9-stellige Nummer, die immer mit der Zahl 9 beginnt und deren vierte und fünfte Stelle innerhalb eines Bereiches von 70 bis 88 liegt. Muster: DDDDDDDDD Content Blade für Führerscheinnummern aus Kansas Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kansas sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie KS oder Kansas. Führerscheinmuster: 1 Buchstabe (K), 8 Ziffern; oder US-Sozialversicherungsnummer. Content Blade für Führerscheinnummern aus Kentucky Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kentucky sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie KY oder Kentucky. Führerscheinmuster: 1 Buchstabe, 8 Ziffern oder US-Sozialversicherungsnummer. Content Blade für Führerscheinnummern aus Louisiana Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Louisiana sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie LA oder Louisiana. Führerscheinmuster: 2 Nullen, 7 Ziffern. Content Blade für Führerscheinnummern aus Maine Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Maine sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ME oder Maine. Führerscheinmuster: 7 Ziffern, optionaler Buchstabe X. Content Blade für Führerscheine aus Manitoba Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Manitoba sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie MB oder Manitoba in näherer Umgebung. Regeln für Lizenzmuster: 12 alphanumerische Zeichen, die durch Bindestriche getrennt sein können, wobei Folgendes gilt: 226 n Das erste Zeichen ist ein Buchstabe n Das 2. bis 5. Zeichen sind Buchstaben oder Sternchen n Das 6. Zeichen ist ein Buchstabe n Das 7. bis 10. Zeichen sind Ziffern n Das 11. Zeichen ist ein Buchstabe VMware, Inc. Kapitel 15 vShield Data Security Management n Das 12. Zeichen ist ein Buchstabe oder eine Ziffer oder n Das erste Zeichen ist ein Buchstabe n Das 2. bis 4. Zeichen sind Buchstaben oder Sternchen n Das 5. bis 6. Zeichen sind Ziffern n Das 7. bis 12. Zeichen sind Buchstaben oder Ziffern Führerscheinmuster: n LLLLLLDDDDLA n LLLLLDDAAAAAA Content Blade für Führerscheinnummern aus Maryland Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Maryland sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MD oder Maryland. Führerscheinmuster: 1 Buchstabe, 12 Ziffern Content Blade für Führerscheinnummern aus Massachusetts Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Massachusetts sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MA oder Massachusetts. Führerscheinmuster: 1 Buchstabe (S), 8 Ziffern oder US-Sozialversicherungsnummer Content Blade für Führerscheinnummern aus Michigan Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Michigan sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MI oder Michigan. Führerscheinmuster: 1 Buchstabe, 12 Ziffern Content Blade für Führerscheinnummern aus Minnesota Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Minnesota sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MN oder Minnesota. Führerscheinmuster: 1 Buchstabe, 12 Ziffern Content Blade für Führerscheinnummern aus Mississippi Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Mississippi sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MS oder Mississippi. Führerscheinmuster: 9 Ziffern oder formatierte Sozialversicherungsnummer VMware, Inc. 227 vShield-Administratorhandbuch Content Blade für Führerscheinnummern aus Missouri Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Missouri sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MO oder Missouri. Führerscheinmuster: 1 Buchstabe, 6-9 Ziffern; 9 Ziffern oder formatierte Sozialversicherungsnummer Content Blade für Führerscheinnummern aus Montana Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Montana sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MT oder Montana. Führerscheinmuster: 9 Ziffern (SSN); oder 1 Buchstabe, 1 Ziffer, 1 alphanumerisches Zeichen, 2 Ziffern, 3 Buchstaben und 1 Ziffer; oder 13 Ziffern Content Blade für das NDC Formulas-Wörterbuch Das Content Blade sucht nach Wörtern und Phrasen, die sich auf Formeln beziehen, die auf den National Drug Codes (NDC) basieren. Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen enthält: 1 Mehr als eine Übereinstimmung im NDC Formulas-Wörterbuch 2 Eine einzelne Übereinstimmung im NDC Formulas-Wörterbuch plus zwei Übereinstimmungen bei Name, US-Adresse oder US-Datum 3 Eine einzelne Übereinstimmung im NDC Formulas-Wörterbuch mit einem Wort oder einer Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes) Content Blade für Führerscheinnummern aus Nebraska Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nebraska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NE oder Nebraska. Führerscheinmuster: 1 Buchstabe, 8 Ziffern Content Blade für Führerscheinnummern aus den Niederlanden Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen niederländischen Führerschein zu erkennen. 1 Muster eines niederländischen Führerscheins (siehe Ojektbeschreibung) 2 Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „rijbewijs“) Content Blade für niederländische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische IBAN-Nummer zu erkennen. 1 Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. „International Bank Account Number“, „IBAN“) 2 Muster einer niederländischen IBAN-Nummer IBAN-Regel: Ländercode NL gefolgt von 16 alphanumerischen Zeichen. 228 VMware, Inc. Kapitel 15 vShield Data Security Management Muster: n NLDDLLLLDDDDDDDDDD n NL DDLLLLDDDDDDDDDD n NL DD LLLL DDDDDDDDDD n NL DD LLLL DDDD DDDD DD n NL DD LLLL DDDD DDDD DD n NLDDLLLL DDDD DDDDDD n NL DD LLLL DDDDDDDDDD n NL DD LLLL D DD DD DD DDD n NL DD LLLL DD DD DD DDDD n NL DD LLLL DDD DDDDDDD n NL DD LLLL DDDD DD DD DD Leerzeichen können durch Schrägstriche ersetzt werden Content Blade für niederländische Personalausweisnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische Personalausweisnummer zu erkennen. 1 Niederländische Personalausweisnummer (siehe Objektbeschreibung) 2 Wörter oder Phrasen für eine niederländische Personalausweisnummer (z. B. „sofinummer“, „burgerservicenummer“) Content Blade für niederländische Reisepassnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische Reisepassnummer zu erkennen. 1 Niederländische Reisepassnummer (siehe Ojektbeschreibung) 2 Wörter oder Phrasen für eine niederländische Reisepassnummer (z. B. „paspoort“, „Noodpaspoort“) Content Blade für Führerscheinnummern aus Nevada Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nevada sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NV oder Nevada. Führerscheinmuster: 9 Ziffern (SSN), 12 Ziffern (die letzten beiden sind das Geburtsjahr) oder 10 Ziffern [Content Blade für Führerscheine aus New Brunswick] Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Brunswick sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NB oder New Brunswick in näherer Umgebung. Regeln für Lizenzmuster: 5 - 7 Ziffern Führerscheinmuster: n DDDDD n DDDDDD VMware, Inc. 229 vShield-Administratorhandbuch n DDDDDDD Content Blade für Führerscheinnummern aus New Hampshire Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Hampshire sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NH oder New Hampshire. Führerscheinmuster: 2 Ziffern, 3 Buchstaben, 5 Ziffern Content Blade für Führerscheinnummern aus New Jersey Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Jersey sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NJ oder New Jersey. Führerscheinmuster: 1 Buchstabe, 14 Ziffern Content Blade für Führerscheinnummern aus New Mexico Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Mexico sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NM oder New Mexico. Führerscheinmuster: 9 Ziffern Content Blade für Führerscheinnummern aus New York Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New York sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NY oder New York. Führerscheinmuster: 9 Ziffern Content Blade für Indexnummern von in Neuseeland niedergelassenen Fachkräften im Gesundheitswesen Das Content Blade sucht nach Übereinstimmungen mit der Indexentität für neuseeländische Fachkräfte im Gesundheitswesen und unterstützende Begriffe, wie z. B. „hpi-cpn“ oder „health practitioner index“. Neuseeländische Steuernummer Das Content Blade sucht nach Übereinstimmungen mit der neuseeländischen Steuernummerentität und Wörtern und Phrasen, wie z. B. „IRD Number“ oder „Inland Revenue Department Number“. Content Blade für neuseeländische NHI-Nummern (National Health Index) Das Content Blade sucht nach Übereinstimmungen mit der neuseeländischen NHI-Entität sowie unterstützenden Begriffen, wie z. B. „nhi“ oder „National Health Index“. 230 VMware, Inc. Kapitel 15 vShield Data Security Management Content Blade für Führerscheine aus Neufundland und Labrador Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Neufundland und Labrador sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NL oder Labrador in näherer Umgebung. Regeln für Lizenzmuster: 1 Buchstabe gefolgt von 9 Ziffern Führerscheinmuster: LDDDDDDDDD Content Blade für Führerscheinnummern aus North Carolina Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von North Carolina sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NC oder North Carolina. Führerscheinmuster: 6 - 8 Ziffern Content Blade für Führerscheinnummern aus North Dakota Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von North Dakota sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ND oder North Dakota. Führerscheinmuster: 9 Ziffern oder 3 Buchstaben, 6 Ziffern Content Blade für Führerscheine aus Nova Scotia Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nova Scotia sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NS oder Nova Scotia in näherer Umgebung. Regeln für Lizenzmuster: 5 Buchstaben gefolgt von 9 Ziffern Führerscheinmuster: LLLLDDDDDDDDD Content Blade für Führerscheinnummern aus Ohio Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Ohio sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OH oder Ohio. Führerscheinmuster: 2 Buchstabe, 6 Ziffern Content Blade für Führerscheinnummern aus Oklahoma Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Oklahoma sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OK oder Oklahoma. Führerscheinmuster: 1 Buchstabe, 8 Ziffern; 9 Ziffern oder formatierte Sozialversicherungsnummer VMware, Inc. 231 vShield-Administratorhandbuch Content Blade für Führerscheine aus Ontario Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Ontario sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie ON oder Ontario in näherer Umgebung. Regeln für Lizenzmuster: 1 Buchstabe gefolgt von 14 Ziffern Führerscheinmuster: LDDDDDDDDDDDDDD Content Blade für Führerscheinnummern aus Oregon Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Oregon sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OR oder Oregon. Führerscheinmuster: 6 -7 Ziffern Content Blade für Patientenidentifikationsnummern Dies ist ein Content Blade, das angepasst werden muss. Um dieses Content Blade verwenden zu können, müssen Sie einen regulären Ausdruck hinzufügen, der dem Nummernmuster für eine firmenspezifische Patientenidentifikationsnummer entspricht. Das Content Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. einer Patienten-ID, einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat. Content Blade für Führerscheinnummern aus Pennsylvania Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Pennsylvania sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie PA oder Pennsylvania. Führerscheinmuster: 8 Ziffern Content Blade für Führerscheine aus Prince Edward Island Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Prince Edward Island sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie PE oder Prince Edward Island in näherer Umgebung. Regeln für Lizenzmuster: 5 - 6 Ziffern Führerscheinmuster: n DDDD n DDDDDD Content Blade für Begriffe im Zusammenhang mit geschützten Gesundheitsdaten Das Content Blade sucht nach Wörtern und Phrasen im Zusammenhang mit persönlichen Gesundheitsakten und Krankenversicherungsansprüchen. Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen enthält: 1 232 Mehr als eine Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten. VMware, Inc. Kapitel 15 vShield Data Security Management 2 Eine einzelne Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten sowie zwei der folgenden Informationen: Name, US-Adresse oder US-Datum 3 Eine einzelne Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten und ein Wort oder eine Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes) Content Blade für Führerscheine aus Quebec Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Quebec sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie QC oder Quebec in näherer Umgebung. Regeln für Lizenzmuster: 1 Buchstabe gefolgt von 12 Ziffern Führerscheinmuster: LDDDDDDDDDDDD Content Blade für Führerscheinnummern aus Rhode Island Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Rhode Island sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie RI oder Rhode Island. Führerscheinmuster: 7 Ziffern Content Blade für Führerscheine aus Saskatchewan Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Saskatchewan sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie SK oder Saskatchewan in näherer Umgebung. Regeln für Lizenzmuster: 8 Ziffern Lizenzmuster: DDDDDDDD Content Blade für formatierte SIN Das Content Blade sucht formatierte Muster der kanadischen Sozialversicherungsnummer (SIN). Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in mittelbarer Nachbarschaft zueinander enthält: 1 Mehr als eine Übereinstimmung mit einer formatierten SIN 2 Eine einzelne Übereinstimmung mit einer formatierten SIN sowie ein Wort oder eine Phrase im Zusammenhang mit dem Führerschein oder dem Geburtsdatum 3 Eine einzelne Übereinstimmung mit einer formatierten SIN mit einem Wort oder einer Phrase Content Blade für unformatierte SIN Das Content Blade sucht unformatierte Muster der kanadischen Sozialversicherungsnummer (SIN). Das Content Blade findet eine Übereinstimmung, wenn eine unformatierte SIN in direkter Nachbarschaft eines Worts oder einer Phrase für eine Sozialversicherungsnummer (z. B. Social Insurance, SIN), für einen Führerschein oder das Geburtsdatum gefunden wird. VMware, Inc. 233 vShield-Administratorhandbuch Content Blade für formatierte SSN Content Blade für formatierte SSN Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in mittelbarer Nachbarschaft zueinander enthält: n Mehr als eine Übereinstimmung mit einer formatierten SSN n Eine einzelne Übereinstimmung mit einer formatierten SSN sowie zwei weitere der folgenden Informationen: Name, US-Adresse oder US-Datum n Ein Übereinstimmung mit einer formatierten SSN sowie ein Wort oder eine Phrase für eine Sozialversicherungsnummer (z. B. Social Security, SSN) Content Blade für unformatierte SSN Das Content Blade sucht unformatierte Muster der US-Sozialversicherungsnummer (SSN). Das Content Blade findet eine Übereinstimmung, wenn eine unformatierte SSN in direkter Nachbarschaft eines Worts oder einer Phrase für eine Sozialversicherungsnummer (z. B. Social Security, SSN) gefunden wird. Content Blade für Führerscheinnummern aus South Carolina Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von South Carolina sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie SC oder South Carolina. Führerscheinmuster: 9 Ziffern Content Blade für Führerscheinnummern aus South Dakota Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von South Dakota sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie SD oder South Dakota. Führerscheinmuster: 8 Ziffern oder Sozialversicherungsnummer Content Blade für die spanische Personalausweisnummer Das Content Blade sucht nach Übereinstimmungen mit der spanischen nationalen Identifikationsnummer und Wörtern und Phrasen, wie z. B. „Documento Nacional de Identidad“ und „Número de Identificación de Extranjeros“. Darüber hinaus verwendet es reguläre Ausdrücke, um Telefonnummern zu unterscheiden und um die Doppelzählung von DNIs und NIEs ohne Prüfzeichen zu verhindern. Content Blade für spanische Reisepassnummern Das Content Blade sucht nach Übereinstimmungen mit spanischen Reisepassnummern und nach Wörtern und Phrasen, wie „pasaporte“ oder „passport“. Reisepassregel: 8 alphanumerische Zeichen - 2 Buchstaben gefolgt von 6 Ziffern. Muster: LLDDDDDD LL-DDDDDD LL DDDDDD 234 VMware, Inc. Kapitel 15 vShield Data Security Management Content Blade für Sozialversicherungsnummern aus Spanien Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine spanische Sozialversicherungsnummer zu erkennen. 1 Spanische Sozialversicherungsnummer 2 Wörter oder Phrasen für eine Sozialversicherungsnummer (z. B. „número de la seguridad social“, die Sozialversicherungsnummer) Content Blade für schwedische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine schwedische IBAN-Nummer zu erkennen. 1 Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. International Bank Account Number, IBAN) 2 Muster einer schwedischen IBAN-Nummer IBAN-Regel: Ländercode „SE“, gefolgt von 22 Ziffern. Muster: SE DDDDDDDDDDDDDDDDDDDDDD Content Blade für schwedische Reisepassnummern Das Content Blade sucht nach Übereinstimmungen mit dem regulären Ausdruck für schwedische Reisepassnummern mit den folgenden möglichen Kombinationen von Belegen. 1 Wörter und Ausdrücke im Zusammenhang mit Reisepässen, z. B. „Passnummer“ 2 Wörter und Phrasen für das Land Schweden, Nationalität und Ablaufdaten Reisepassregel: 8 Ziffern Muster: DDDDDDDD DD-DDDDDD LL-DDDDDD Content Blade für Führerscheinnummern aus Tennessee Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Tennessee sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie TN oder Tennessee. Führerscheinmuster: 8 Ziffern Content Blade für britische BIC-Nummern Beim Prüfen auf britische BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen. 1 Europäisches BIC-Nummerformat 2 Britisches Format der BIC-Nummer BIC-Regel: 8 oder 11 alphanumerische Zeichen. An 5. und 6. Stelle stehen immer die Buchstaben „GB“ für den Ländercode gemäß ISO 3166-1 alpha-2. VMware, Inc. 235 vShield-Administratorhandbuch Muster: LLLLLLAAA LLLLLLAAAAA LLLLLLAA-AAA LLLLLLAA AAA LLLLLL AA AAA LLLL LL AA AAA LLLL LL AA-AAA Content Blade für Führerscheinnummern aus Großbritannien Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen britischen Führerschein zu erkennen. 1 Muster für britischen Führerschein 2 Entweder Wörter oder Phrasen für einen Führerschein (z. B. „driving license“) oder eine Angabe zur persönlichen Identifikation (z. B. Geburtsdatum, Adresse, Telefonnummer) Führerscheinregel: 16 bis 18 alphanumerische Zeichen, die mit einem Buchstaben beginnen. Muster: LAAAADDDDDDLLDLLDD An einigen Stellen sind die akzeptierten Werte begrenzt. Content Blade für britische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine britische IBAN-Nummer zu erkennen. 1 Europäisches IBAN-Nummerformat 2 Muster einer britischen IBAN-Nummer IBAN-Regel: Ländercode „GB“, gefolgt von 20 Zeichen. GB, ISO-Ländercode 2 Ziffern (nur numerische Zeichen von 0 bis 9), Prüfziffern (IBAN) 4 Großbuchstaben (nur A - Z), Bankleitzahl 6 Ziffern (nur numerische Zeichen von 0 bis 9), Bankfilialcode 8 Ziffern (nur numerische Zeichen von 0 bis 9), Kontonummer Muster: GBDDLLLLDDDDDDDDDDDDDD GB DD LLLL DDDD DDDD DDDD DD GB DD LLLL DDDDDD DDDDDDDD Content Blade für die britische National Health Service-Nummer Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine britische National Health Service-Nummer zu erkennen. 1 236 Format der britischen National Health Service-Nummer VMware, Inc. Kapitel 15 vShield Data Security Management 2 Wörter und Phrasen im Zusammenhang mit dem nationalen Gesundheitsdienst Großbritanniens oder der Patientenkennung bzw. dem Geburtsdatum des Patienten Content Blade für das formale Muster britischer NINO-Nummern Das Content Blade sucht nach dem formalen Muster der britischen Sozialversicherungsnummer (NINO). Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in unmittelbarer Nachbarschaft zueinander enthält: 1 Mehr als eine Übereinstimmung mit dem formalen NINO-Muster 2 Eine einzelne Übereinstimmung mit einer formalen NINO sowie ein Wort oder eine Phrase für eine Sozialversicherungsnummer (z. B. „NINO“, „taxpayer number“) Content Blade für britische Reisepassnummern Das Content Blade sucht nach Übereinstimmungen mit einer der britischen Reisepassnummern und folgenden Belegen. 1 Wörter und Phrasen für Reisepass, wie das Wort „passport“ oder ein Nationalitätencode, dem eine Reisepassnummer vorangestellt ist 2 Wörter und Phrasen für das Land (UK) oder das Austellungsdatum (optional) Content Blade für Führerscheinnummern aus Utah Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Utah sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie UT oder Utah. Führerscheinmuster: 6 - 10 Ziffern Content Blade für Führerscheinnummern aus Virginia Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Virginia sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie VA oder Virginia. Führerscheinmuster: 1 Buchstabe, 8 Ziffern Content Blade für Visa-Kartennummer Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen: 1 Mehr als eine JCB-Kreditkartennummer 2 Eine einzelne Kreditkartennummer plus Wörtern und Phrasen wie z. B. „ccn“, „credit card“, „expiration date“ 3 Eine einzelne Kreditkartennummer plus einem Ablaufdatum Content Blade für Führerscheinnummern aus Washington Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Washington sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WA oder Washington. Führerscheinmuster: 5 Buchstaben (Nachname), 1 Buchstabe (Initiale des Vornamens), 1 Buchstabe (Initiale des 2. Vornamens), 3 Ziffern, 2 alphanumerische Zeichen. Falls der Nachname kürzer ist oder es keinen zweiten Vornamen gibt, werden die Stellen mit „*“ aufgefüllt. VMware, Inc. 237 vShield-Administratorhandbuch Content Blade für Führerscheinnummern aus Wisconsin Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Wisconsin sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WI oder Wisconsin. Führerscheinmuster: 1 Buchstabe, 13 Ziffern Content Blade für Führerscheinnummern aus Wyoming Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Wyoming sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WY oder Wyoming. Führerscheinmuster: 9 - 10 Ziffern Unterstützte Dateiformate vShield Data Security erkennt die folgenden Dateiformate. Tabelle 15‑2. Archivformate Anwendungsformat Erweiterungen 7-Zip 4.57 7Z BinHex HQX BZIP2 BZ2 Expert Witness (EnCase)Compression-Format E0, E101 usw. GZIP 2 GZ ISO-9660 CD Disc Image-Format ISO Java-Archiv JAR Legato EMailXtender Archive EMX MacBinary BIN Mac Disk copy Disk Image DMG Microsoft Backup File BKF Microsoft Cabinet Format 1.3 CAB Microsoft Compressed Folder LZH LHA Microsoft Entourage 238 Microsoft Outlook Express DBX Microsoft Outlook Offline Store 2007 OST Microsoft Outlook Personal Store 2007 PST OASIS Open Document Format ODC SXC STC ODT SXW STW Open eBook Publication Structure EPUB PKZIP ZIP VMware, Inc. Kapitel 15 vShield Data Security Management Tabelle 15‑2. Archivformate (Fortsetzung) Anwendungsformat Erweiterungen RAR-Archiv RAR Selbstextrahierende Archive SEA Shell Scrap-Objektdatei SHS Bandarchiv TAR UNIX Compress Z UUEncoding UUE WinZip ZIP Tabelle 15‑3. CAD-Formate Anwendungsformat Erweiterungen CATIA-Formate 5 CAT Microsoft Visio 5, 2000, 2002, 2003, 2007 VSD MicroStation 7, 8 DGN Omni Graffle GRAFFLE Tabelle 15‑4. Datenbankformate Anwendungsformat Erweiterungen Microsoft Access 95, 97, 2000, 2002, 2003, 2007 MDB Tabelle 15‑5. Anzeigeformate Anwendungsformat Erweiterungen Adobe PDF 1.1 bis 1.7 PDF Tabelle 15‑6. Mail-Formate Anwendungsformat Erweiterungen Domino XML Language DXL Legato Extender ONM Lotus Notes-Datenbank 4, 5, 6.0, 6.5, 7.0 und 8.0 NSF Mailbox Thunderbird 1.0 und Eudora 6.2 MBX Microsoft Outlook 97, 2000, 2002, 2003 und 2007 MSG Microsoft Outlook Express Windows 6 und MacIntosh 5 EML Microsoft Outlook Personal Folder 97, 2000, 2002 und 2003 PST Text-Mail (MIME) Verschiedene Tabelle 15‑7. Multimedia-Formate Anwendungsformat Erweiterungen Advanced Streaming Format 1.2 DXL VMware, Inc. 239 vShield-Administratorhandbuch Tabelle 15‑8. Präsentationsformate Anwendungsformat Erweiterungen Apple iWork Keynote 2, 3, ‘08 und ‘09 GZ Applix Presents 4.0, 4.2, 4.3, 4.4 AG Corel Presentations 6, 7, 8, 9, 10, 11, 12 und X3 SHW Lotus Freelance Graphics 2 PRE Lotus Freelance Graphics 96, 97, 98, R9 und 9.8 PRZ Macromedia Flash bis 8.0 SWF Microsoft PowerPoint PC 4 PPT Microsoft PowerPoint Windows 95, 97, 2000, 2002 und 2003 PPT, PPS, POT Microsoft PowerPoint Windows XML 2007 PPTX, PPTM, POTX, POTM, PPSX und PPSM Microsoft PowerPoint Macintosh 98, 2001, v.X und 2004 PPT OpenOffice Impress 1 und 1.1 SXP StarOffice Impress 6 und 7 SXP Tabelle 15‑9. Tabellenformate Anwendungsformat Erweiterungen Apple iWork Numbers '08 und 2009 GZ Applix Spreadsheets 4.2, 4.3 und 4.4 AS Kommagetrennte Werte CSV Corel Quattro Pro 5, 6, 7, 8, X4 WB2. WB3, QPW Data Interchange Format DIF Lotus 1-2-3 96, 97, R9, 9.8, 2, 3, 4, 5 123, WK4 Lotus 1-2-3 Charts 2, 3, 4, 5 123 Microsoft Excel Windows 2.2 bis 2003 XLS, XLW, XLT, XLA Microsoft Excel Windows XML 2007 XLSX, XLTX, XLSM, XLTM, XLAM Microsoft Excel-Diagramme 2, 3, 4, 5, 6, 7 XLS Microsoft Excel Macintosh 98, 2001, v.X, 2004 XLS Microsoft Office Excel Binary Format 2007 XLSB Microsoft Works Spreadsheet 2, 3, 4 S30 S40 Oasis Open Document Format 1, 2 ODS, SXC, STC OpenOffice Calc 1, 1.1 SXC, ODS, OTS StarOffice Calc 6, 7 Tabelle 15‑10. Text- und Markup-Formate 240 Anwendungsformat Erweiterungen ANSI TXT ASCII TXT Extensible Forms Description Language XFDL, XFD HTML 3, 4 HTM, HTML VMware, Inc. Kapitel 15 vShield Data Security Management Tabelle 15‑10. Text- und Markup-Formate (Fortsetzung) Anwendungsformat Erweiterungen Microsoft Excel Windows XML 2003 XML Microsoft Word Windows XML 2003 XML Microsoft Visio XML 2003 vdx MIME HTML MHT Rich Text Format 1 bis 1.7 RTF Unicode Text 3, 4 TXT XHTML 1.0 HTM, HTML XML (generisch) XML Tabelle 15‑11. Textverarbeitungsformate Anwendungsformat Erweiterungen Adobe FrameMaker InterchangeFormat 5, 5.5, 6, 7 MIF Apple iChat Log AV, AV 2, AV 2.1,AV 3 LOG Apple iWork Pages ‘08, 2009 GZ Applix Words 3.11, 4, 4.1, 4.2, 4.3, 4.4 AW Corel WordPerfect Linux 6.0, 8.1 WPS Corel WordPerfect Macintosh 1.02, 2, 2.1, 2.2, 3, 3.1 WPS Corel WordPerfect Windows 5, 5.1, 6, 7, 8, 9, 10, 11, 12, X3 WO, WPD DisplayWrite 4 IP Folio Flat File 3.1 FFF Founder Chinese E-paper Basic 3.2.1 CEB Fujitsu Oasys 7 OA2 Haansoft Hangul 97, 2002, 2005, 2007 HWP IBM DCA/RFT (Revisable Form Text) SC23-0758 -1 DC JustSystems Ichitaro 8 bis 2009 JTD Lotus AMI Pro 2, 3 SAM Lotus AMI Professional Write Plus 2.1 AMI Lotus Word Pro 96, 97, R9 Lotus SmartMaster 96, 97 MWP Microsoft Word PC 4, 5, 5.5, 6 DOC Microsoft Word Windows 1.0 und 2.0, 6, 7, 8, 95, 97, 2000, 2002, 2003 DOC Microsoft Word Windows XML 2007 DOCX, DOTX, DOTM Microsoft Word Macintosh 4, 5, 6, 98, 2001, v.X, 2004 DOC Microsoft Works 2, 3, 4, 6, 2000 WPS Microsoft Windows Write 1, 2, 3 WRI Oasis Open Document Format 1, 2 ODT, SXW, STW OpenOffice Writer 1, 1.1 SXW, ODT Omni Outliner 3 OPML, OO3, OPML, OOUTLINE VMware, Inc. 241 vShield-Administratorhandbuch Tabelle 15‑11. Textverarbeitungsformate (Fortsetzung) 242 Anwendungsformat Erweiterungen Skype-Protokolldatei DBB StarOffice Writer 6, 7 SXW, ODT WordPad bis 2003 RTF XML Paper Specification XPS XyWrite 4.12 XY4 VMware, Inc. Fehlerbehebung 16 In diesem Abschnitt finden Sie Informationen zum Beheben gängiger vShield-Probleme. Dieses Kapitel behandelt die folgenden Themen: n „Fehlerbehebung für die vShield Manager-Installation“, auf Seite 243 n „Fehlerbehebung für Probleme bei der Ausführung“, auf Seite 244 n „Beheben von vShield Edge-Problemen“, auf Seite 246 n „Fehlerbehebung für vShield Endpoint“, auf Seite 247 n „Fehlerbehebung für vShield Data Security“, auf Seite 249 Fehlerbehebung für die vShield Manager-Installation Dieser Abschnitt bietet detaillierte Informationen zur Behebung von Problemen bei der vShield ManagerInstallation. Die vShield OVA-Datei kann nicht in vSphere Client installiert werden Sie können die vShield OVA-Datei nicht installieren. Problem Wenn ich versuche, die vShield OVA-Datei zu installieren, schlägt die Installation fehl. Lösung Wenn eine vShield OVA-Datei nicht installiert werden kann, wird in einer Fehlermeldung in vSphere Client die Zeile angegeben, in der der Fehler aufgetreten ist. Senden Sie diese Fehlerinformationen zusammen mit den Informationen zum Build von vSphere Client an den technischen Support von VMware. Nach dem Start der virtuellen vShield Manager-Maschine ist keine Anmeldung bei der Befehlszeilenschnittstelle möglich Problem Nach der OVF-Installation ist keine Anmeldung bei der Befehlszeilenschnittstelle von vShield Manager möglich. Lösung Warten Sie nach Abschluss der vShield Manager-Installation einige Minuten, bevor Sie sich bei der Befehlszeilenschnittstelle von vShield Manager anmelden. Drücken Sie in der Ansicht der Registerkarte Console die Eingabetaste, um zu prüfen, ob eine Eingabeaufforderung vorhanden ist, wenn der Bildschirm leer ist. VMware, Inc. 243 vShield-Administratorhandbuch Anmelden bei der vShield Manager-Benutzeroberfläche nicht möglich Problem Wenn ich versuche, mich im Webbrowser bei der vShield Manager-Benutzeroberfläche anzumelden, tritt der Ausnahmefehler „Page Not Found“ auf. Lösung Die IP-Adresse von vShield Manager befindet sich in einem Subnetz, auf das der Webbrowser nicht zugreifen kann. Auf die IP-Adresse der Management-Oberfläche von vShield Manager muss der Webbrowser zugreifen können, damit vShield genutzt werden kann. Fehlerbehebung für Probleme bei der Ausführung Probleme bei der Ausführung sind Probleme, die möglicherweise nach der Installation auftreten. vShield Manager kann nicht mit einer vShield App-Instanz kommunizieren Problem Ich kann in vShield Manager keine vShield App-Instanz konfigurieren. Lösung Wenn Sie die vShield App-Instanz nicht im vShield Manager konfigurieren können, wurde die Verbindung zwischen den beiden virtuellen Maschinen unterbrochen. Die Management-Oberfläche von vShield kann nicht mit der Management-Oberfläche von vShield Manager kommunizieren. Vergewissern Sie sich, dass sich die Management-Oberflächen im selben Subnetz befinden. Vergewissern Sie sich bei Verwenden von VLANs, dass sich die Management-Oberflächen im selben VLAN befinden. Eine weitere Ursache kann sein, dass die virtuelle Maschine von vShield App oder vShield Manager ausgeschaltet ist. vShield App-Instanz kann nicht konfiguriert werden Problem Eine vShield App-Instanz kann nicht konfiguriert werden. Lösung Dieses Problem kann die Folge einer der folgenden Bedingungen sein. n Die virtuelle Maschine der vShield App-Instanz ist beschädigt. Deinstallieren Sie die fehlerhafte vShield App-Instanz auf der vShield Manager-Benutzeroberfläche. Installieren Sie eine neue vShield App-Instanz zum Schutz des ESX-Hosts. n vShield Manager kann nicht mit der vShield App-Instanz kommunizieren. n Der Speicher bzw. die LUN, der/die die vShield-Konfigurationsdatei hostet, ist fehlerhaft. Wenn dies geschieht, können Sie keine Konfigurationsänderungen vornehmen. Die Firewall ist aber weiter aktiv. Sie können virtuelle vShield-Maschinen in lokalem Speicher speichern, wenn kein Remote-Speicher verfügbar ist. Erstellen Sie mit vSphere Client einen Snapshot oder eine TAR-Datei der betroffenen vShield App-Instanz. Übermitteln Sie diese Informationen an den technischen Support von VMware. 244 VMware, Inc. Kapitel 16 Fehlerbehebung Eine Firewall-Blockierungsregel blockiert nicht den vorgesehenen Datenverkehr Problem Ich habe eine App Firewall-Regel konfiguriert, die bestimmten Datenverkehr blockieren soll. Ich habe den Datenverkehr mit Flow Monitoring überwacht und festgestellt, dass der zu blockierende Datenverkehr zugelassen wird. Lösung Überprüfen Sie Reihenfolge und Gültigkeitsbereich der Regel. Dies schließt die Containerebene ein, auf der die Regel durchgesetzt werden soll. Probleme können auftreten, wenn eine auf einer IP-Adresse basierende Regel unter dem falschen Container konfiguriert ist. Prüfen Sie, wo sich die betreffende virtuelle Maschine befindet. Befindet sie sich hinter einer vShield AppInstanz? Falls nicht, gibt es keinen Agenten zum Durchsetzen der Regel. Wählen Sie in der Ressourcenstruktur die virtuelle Maschine aus. Die Registerkarte App Firewall dieser virtuellen Maschine enthält alle Regeln, die für diese virtuelle Maschine gelten. Platzieren Sie nicht geschützte virtuelle Maschinen auf einem mit vShield geschützten Switch oder schützen Sie den vSwitch, auf dem sich die virtuelle Maschine befindet, indem Sie eine vShield-Instanz installieren. Aktivieren Sie die Protokollierung für die betreffende App Firewall-Regel. Dadurch kann sich der durch die vShield App-Instanz geleitete Netzwerkverkehr verlangsamen. Überprüfen Sie die vShield App-Verbindungen. Prüfen Sie den Synchronisierungsstatus der vShield AppInstanz auf der Seite System Status. Klicken Sie bei fehlender Synchronität auf [Force Sync] . Sollte weiter keine Synchronität vorliegen, ermitteln Sie mithilfe des Systemereignisprotokolls die Ursache. In Flow Monitoring werden keine Flow-Daten angezeigt Problem Ich habe vShield Manager und eine vShield App-Instanz installiert. Wenn ich die Registerkarte Flow Monitoring öffne, werden keine Daten angezeigt. Lösung Dieses Problem kann die Folge einer oder mehrerer der folgenden Bedingungen sein. n Sie haben der vShield App-Instanz nicht genügend Zeit für die Überwachung von Datenverkehrssitzungen eingeräumt. Warten Sie nach der Installation der vShield App-Instanz einige Minuten lang die Erfassung von Datenverkehr ab. Sie können die Datenerfassung anfordern, indem Sie auf der Registerkarte Flow Monitoring auf [Get Latest] klicken. n Datenverkehr hat virtuelle Maschinen zum Ziel, die nicht durch eine vShield App-Instanz geschützt sind. Stellen Sie sicher, dass Ihre virtuellen Maschinen durch eine vShield App-Instanz geschützt sind. Virtuelle Maschinen müssen in derselben Portgruppe wie der geschützte Port (p0) der vShieldApp-Instanz enthalten sein. n Datenverkehr hat keine virtuellen Maschinen zum Ziel, die durch eine vShield App-Instanz geschützt sind. n Überprüfen Sie die Seite System Status auf Synchronisierungsfehler der einzelnen vShield App-Instanzen. VMware, Inc. 245 vShield-Administratorhandbuch Beheben von vShield Edge-Problemen Dieser Abschnitt bietet detaillierte Informationen zur Behebung von vShield Edge-Problemen bei der Ausführung. Virtuelle Maschinen erhalten keine IP-Adressen vom DHCP-Server Vorgehensweise 1 Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob die DHCPKonfiguration für vShield Edge erfolgreich war: show configuration dhcp. 2 Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob der DHCPDienst für vShield Edge ausgeführt wird: show service dhcp 3 Vergewissern Sie sich, dass die Netzwerkkarte der virtuellen Maschine und vShield Edge-Instanz verbunden sind ( [vCenter] > [Virtual Machine] > [Edit Settings] > [Network Adapter] > [Connected/Con‐ nect at Power On] [Kontrollkästchen]). Wenn sowohl eine vShield App- als auch eine vShield Edge-Instanz auf demselben ESX-Host installiert sind, können Netzwerkkarten getrennt werden, wenn eine vShield App- nach einer vShield Edge-Instanz installiert wird. Lastausgleich funktioniert nicht Vorgehensweise 1 Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob der Lastausgleich ausgeführt wird: show service lb. Der Lastausgleich kann durch Aufrufen des Befehls start gestartet werden. 2 Mit dem folgenden Befehl können Sie die Konfiguration des Lastausgleichs überprüfen: show configuration lb. Dieser Befehl zeigt auch, an welchen externen Schnittstellen die Listener ausgeführt werden. Der Lastausgleich löst Fehler 502 „Bad Gateway for HTTP Requests“ aus Dieser Fehler tritt auf, wenn die Back-End- oder internen Server nicht auf Anforderungen reagieren. Vorgehensweise 1 Prüfen Sie, ob die IP-Adressen der internen Server ordnungsgemäß sind. Die aktuelle Konfiguration kann in vShield Manager oder über den Befehl show configuration lb an der Befehlszeilenschnittstelle angezeigt werden. 2 Prüfen Sie, ob die IP-Adressen der internen Server von der internen vShield Edge-Schnittstelle erreicht werden. 3 Prüfen Sie, ob die internen Server die Kombination aus IP-Adresse/Port überwachen, die zum Zeitpunkt der Konfiguration des Lastausgleichs angegeben wurde. Ist kein Port angegeben, muss IP:80 überprüft werden. Der interne Server darf nicht nur 127.0.0.1:80 überwachen. Entweder 0.0.0.0:80 oder <Interne IP-Adresse>:80 muss geöffnet sein. 246 VMware, Inc. Kapitel 16 Fehlerbehebung VPN funktioniert nicht Vorgehensweise 1 Prüfen Sie, ob der andere Endpunkt des Tunnels ordnungsgemäß konfiguriert ist. Rufen Sie an der Befehlszeilenschnittstelle diesen Befehl auf: show configuration ipsec 2 Prüfen Sie, ob der IPSec-Dienst für die vShield Edge-Instanz ausgeführt wird. Rufen Sie dazu an der Befehlszeilenschnittstelle diesen Befehl auf: show service ipsec. Der IPSecDienst kann durch Aufrufen des Befehls start gestartet werden. Wenn IPSec ausgeführt wird und zum Zeitpunkt der Tunneleinrichtung Fehler aufgetreten sind, enthält die Ausgabe von show service ipsec relevante Informationen. 3 Überprüfen Sie die Konfiguration an beiden Enden (vShield Edge und Remote-Ende), insbesondere die gemeinsamen Schlüssel. 4 Beheben Sie MTU- oder fragmentierungsbezogene Probleme mithilfe des PING-Befehls mit kleinen und großen Paketgrößen. n ping -s 500 ip-at-end-of-the-tunnel n ping -s 2000 ip-at-end-of-the-tunnel SSL VPN funktioniert nicht Vorgehensweise 1 Stellen Sie sicher, dass die SSL-VPN und der Lastausgleich nicht auf demselben Host konfiguriert sind. 2 Stellen Sie sicher, dass der SSL VPN -Dienst aktiviert ist. 3 Stellen Sie sicher, dass die Server-Einstellungen für das Aktivieren von SSL auf einer vShield EdgeSchnittstelle angegeben wurden. 4 Stellen Sie sicher, dass der externe Authentifizierungsserver erreichbar ist. Fehlerbehebung für vShield Endpoint Dieser Abschnitt bietet detaillierte Informationen zur Behebung von vShield Endpoint-Problemen bei der Ausführung. Thin-Agent-Protokollierung Die Thin-Agent-Protokollierung von vShield Endpoint erfolgt innerhalb der geschützten virtuellen Maschinen. Beim Start werden zwei Registrierungswerte aus der Windows-Registrierung gelesen. Sie werden regelmäßig neu abgefragt. Die beiden Registrierungswerte log_dest und log_level befinden sich an den folgenden Stellen in der Registrierung: n HKLM\System\CurrentControlSet\Services\vsepflt\Parameters\log_dest n HKLM\System\CurrentControlSet\Services\vsepflt\Parameters\log_level Beide sind Bitmasken vom Typ DWORD, die beliebige Kombinationen der folgenden Werte aufweisen dürfen: VMware, Inc. 247 vShield-Administratorhandbuch Tabelle 16‑1. Thin-Agent-Protokollierung DWORD Value Beschreibung log_dest 0x1 0x2 WINDBLOG Debug-Modus erforderlich VMWARE_LOG Die Protokolldatei wird im Root-Verzeichnis der virtuellen Maschine gespeichert log_level 0x1 0x2 0x4 0x8 0x10 AUDIT ERROR WARN INFO DEBUG Standardmäßig sind die Werte in Release-Builds auf VMWARE_LOG und AUDIT festgelegt. Sie können die Werte mit „Or“ verbinden. Weitere Informationen zum Überwachen des Status von vShield Endpoint finden Sie unter Kapitel 14, „vShield Endpoint-Ereignisse und -Alarme“, auf Seite 189. Versionskompatibilität von Komponenten Die SVM- und Thin-Agent-Version müssen kompatibel sein. Führen Sie zum Abrufen der Versionsnummern der verschiedenen Komponenten die folgenden Schritte aus: n SVM: Beachten Sie für Partner-SVMs die Anweisungen des Antivirus-Anbieters. Melden Sie sich für die virtuelle vShield Data Security-Maschine bei vShield Manager an und wählen Sie die virtuelle Maschine aus der Bestandsliste aus. Auf der Registerkarte „Summary“ wird die Build-Nummer angezeigt. n GVM: Klicken Sie mit der rechten Maustaste auf die Eigenschaften der Treiberdateien, um die BuildNummer abzurufen. Der Pfad zum Treiber lautet C:\WINDOWS\system32\drivers\vsepflt.sys. n vShield Endpoint-Modul: Melden Sie sich bei vShield Manager an und wählen Sie einen Host aus der Bestandsliste aus. Auf der Registerkarte „Summary“ wird die Build-Nummer von vShield Endpoint angezeigt. Überprüfen des Status und der Alarme für vShield Endpoint Die vShield Endpoint-Komponenten sollten in der Lage sein, mit vShield Manager zu kommunizieren. Vorgehensweise 248 1 Navigieren Sie in vSphere Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie in der Ressourcenstruktur ein Datencenter, einen Cluster oder einen ESX-Host aus. 3 Klicken Sie auf die Registerkarte [vShield App] . 4 Klicken Sie auf [Endpoint.] 5 Bestätigen Sie, dass sich die sichere virtuelle Maschine (SVM), das vShield Endpoint-Modul auf dem ESX-Host und der Thin-Agent auf der geschützten virtuellen Maschine in einem normalen Zustand befinden. 6 Wenn der Thin-Agent auf der virtuellen Maschine nicht normal funktioniert, überprüfen Sie, ob es sich bei der Version von VMware Tools um 8.6.0 handelt (mit ESXi 5.0 Patch 1 verfügbar). 7 Wenn ein Alarm angezeigt wird, führen Sie die entsprechende Aktion aus. Weitere Informationen finden Sie unter „vShield Endpoint-Alarme“, auf Seite 190. VMware, Inc. Kapitel 16 Fehlerbehebung Fehlerbehebung für vShield Data Security Da vShield Data Security die vShield Endpoint-Technologie verwendet, ist die Fehlerbehebung für beide Komponenten sehr ähnlich. Falls vShield Data Security-Probleme auftreten, stellen Sie zuerst sicher, dass die Data Security-Appliance als aktiviert gemeldet wird. Stellen Sie anschließend sicher, dass eine Datensicherheitsprüfung durchgeführt wurde. Überprüfen des Zeitstempels für das Starten und Beenden der Prüfung vShield Data Security prüft nur diejenigen virtuellen Maschinen, die eingeschaltet sind. Der erste Schritt der Fehlerbehebung von vShield Data Security-Problemen besteht darin zu bestätigen, dass die virtuelle Maschine geprüft wurde. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste ] > [Hosts und Cluster] . 2 Wählen Sie ein Datencenter, einen ESX-Host oder eine virtuelle Maschine aus der Ressourcenstruktur aus. 3 Klicken Sie auf die Registerkarte [Tasks and Events] . 4 Suchen Sie nach „Scan“ in der Spalte „Name“ und stellen Sie sicher, dass die Prüfung erfolgreich abgeschlossen wurde. Grundlegendes zur Genauigkeit beim Erkennen von Verstößen Genauigkeit wird durch zwei Faktoren bestimmt: Trefferquote und Präzision. Zusammen genommen stellt die ideale Mischung von Trefferquote und Präzision sicher, dass Sie ausschließlich die Inhalte erhalten, die Sie sichern müssen. Alle erkannten Inhalte werden auf zweierlei Art ausgewertet: positiv oder negativ und wahr oder falsch (d. h., wurde das identifiziert, wonach ich gesucht habe, und war diese Identifizierung richtig?). Es gibt vier mögliche Ergebnisse, die die folgende Bedeutung haben. Tabelle 16‑2. Ergebnisse der Inhaltserkennung Positiv Negativ Wahr Vertrauliche Inhalte, die korrekt als vertraulich erkannt werden. Nicht vertrauliche Inhalte, die korrekt als nicht vertraulich erkannt werden. Falsch Nicht vertrauliche Inhalte, die fälschlicherweise als vertraulich erkannt werden. Vertrauliche Inhalte, die fälschlicherweise als nicht vertraulich erkannt werden. Mit Trefferquote wird der Bruchteil der Dokumente erfasst, der für das Content Blade relevant ist. n Eine hohe Trefferquote erfasst mehr Dokumente und sammelt alle potenziell vertraulichen Dokumente. Eine zu hohe Trefferquote kann möglicherweise mehr falsch positive Ergebnisse liefern. [Falsch positiv = ein Dokument, das vom Content Blade als vertraulich bewertet wird, das in Wirklichkeit jedoch nicht vertraulich ist.] n Eine niedrige Trefferquote ist bei Dokumenten, die als vertraulich zurückgegeben werden, zielgerichteter. Eine zu niedrige Trefferquote kann möglicherweise mehr falsch negative Ergebnisse liefern. [Falsch negativ = ein Dokument, das vom Content Blade als nicht vertraulich bewertet wird, das in Wirklichkeit jedoch vertraulich IST.] VMware, Inc. 249 vShield-Administratorhandbuch Präzision ist der Prozentsatz abgerufener Dokumente, die für die Suche relevant sind. n Eine hohe Präzision kann zu einer Reduzierung der Anzahl der zurückgegebenen falsch positiven Dokumente führen. n Eine niedrige Präzision kann zu einer Erhöhung der Anzahl der zurückgegebenen falsch positiven Dokumente führen. Präzision bezieht sich auf die Relevanz der zurückgegebenen Ergebnisse. Beispiel: Haben alle Dokumente, die die PCI DSS-Richtlinie (Payment Card Industry Data Security Standard) ausgelöst haben, gültige Kreditkartennummern enthalten oder enthielten manche Dokumente UPC- oder EAN-Nummern, die fälschlicherweise als vertrauliche PCI-Daten erkannt wurden? Eine hohe Präzision kann durch eine eng gefasste, fokussierte Suche erreicht werden, um sicherzugehen, dass jeder erfasste Inhalt wirklich vertraulich ist. Tabelle 16‑3. Präzision und Trefferquote 250 Genauigkeitsfaktor Messung Problem bei niedrigem Wert Präzision Der Prozentsatz abgerufener Dokumente, der tatsächlich relevant ist. Vermehrt falsch Rückruf Der Prozentsatz aller sensitiven Dokumente, der tatsächlich abgerufen wurde. Vermehrt falsch negativ VMware, Inc. Index A admin-Benutzerkonto 35 Aktualisieren eines Benutzers 38 Alarme für vShield Endpoint 190 Anmeldung, vShield Manager 13 Ansicht „Hosts & Clusters“ 14 Ansichten Hosts & Cluster 14 Netzwerke 14 sichere Portgruppen 14 App Firewall Hierarchie der Regeln 177 Hinzufügen von L4-Regeln 178 Hinzufügen von Regeln über Flow Monitoring 171 Informationen zu L4- und L2-/L3-Regeln 176 Löschen von Regeln 181 Planen der Regelerzwingung 177 Reihenfolge der Regel ändern 182 Standardregeln 176 Wiederherstellen einer vorherigen Regel 182 Appliance bearbeiten 69 hinzufügen 68 löschen 69 B Bearbeiten eines Benutzerkontos 38 Benutzer Administratorkonto 35 Ändern eines Kennworts 38 bearbeiten 38 löschen 39 Rollen und Rechte 34 Benutzeroberfläche, Anmeldung 13 Berichte Systemereignisse 47 Überwachungsprotokoll 30, 49 Bestandsliste 14 Bestimmungen ABA Routing-Nummern 199 Arizona SB-1338 199 Australische Bankkontonummern 200 Australische Medicare-Kartennummern 200 Australische Steuernummern 201 VMware, Inc. Benutzerdefinierte Kontonummern 203 Britische BIC-Nummern 214 Britische Führerscheinnummern 214 Britische IBAN-Nummern 214 Britische National Health Service-Nummer 214 Britische Reisepassnummern 215 Britische Sozialversicherungsnummer (NINO, UK National Insurance Number) 215 California AB-1298 201 California SB-1386 201 Colorado HB-1119 202 Connecticut SB-650 203 EU-Debitkartennummern 204 FERPA (Family Educational Rights and Privacy Act) 204 Florida HB-481 204 Georgia SB-230-Richtlinie 205 Hawaii SB-2290-Richtlinie 206 HIPPA-Richtlinie (Healthcare Insurance Portability and Accountability Act) 206 Idaho SB-1374-Richtlinie 207 Illinois SB-1633 207 Indiana HB-1101-Richtlinie 207 Kanadische Führerscheinnummern 202 Kanadische Sozialversicherungsnummern 202 Kansas SB-196-Richtlinie 208 Kreditkartennummern 203 Louisiana SB-205-Richtlinie 209 Maine LD-1671-Richtlinie 209 Massachusetts CMR-201 209 Minnesota HF-2121 210 Montana HB-732-Richtlinie 210 Neuseeländische Steuernummern 212 Nevada SB-347 210 New Hampshire HB-1660 211 New Jersey A-4001 211 New York AB-4254 211 Niederländische Führerscheinnummern 210 Nummern des neuseeländischen Gesundheitsministeriums 212 Ohio HB-104 212 Oklahoma HB-2357 213 Patienten-IDs 213 251 vShield-Administratorhandbuch Payment Card Industry Data Security Standard (PCI-DSS) 213 Richtlinie für deutsche BIC-Nummern 205 Richtlinie für deutsche Führerscheinnummern 205 Richtlinie für deutsche IBAN-Nummern 205 Richtlinie für deutsche Personalausweisnummern 206 Richtlinie für deutsche Umsatzsteuernummern 206 Richtlinie für französische IBAN-Nummern 204 Richtlinie für französische Personalausweisnummern 205 Richtlinie für italienische Führerscheinnummern 208 Richtlinie für italienische IBAN-Nummern 208 Richtlinie für italienische Personalausweisnummern 208 Richtlinie für US-Führerscheinnummern 215 Texas SB-122 214 US-Sozialversicherungsnummern 215 Utah SB-69 215 Vermont SB-284 216 Washington SB-6043 216 C Content Blade für Führerscheinnummern aus Massachusetts 227 Content Blades ABA Routing-Nummer 216 Content Blade für American Express 218 Content Blade für Aufnahme- und Entlassungsdatum 217 Content Blade für australische Firmennummer (ACN) 218 Content Blade für australische Geschäftsnummern (ABN) 218 Content Blade für australische Medicare-Kartennummer 219 Content Blade für australische Steuernummern 219 Content Blade für Bankkontonummern aus Australien 218 Content Blade für Begriffe im Zusammenhang mit geschützten Gesundheitsdaten 232 Content Blade für benutzerdefinierte Kontonummern 220 Content Blade für britische IBAN-Nummern 236 Content Blade für britische Reisepassnummern 237 252 Content Blade für das formale Muster britischer NINO-Nummern 237 Content Blade für das NDC Formulas-Wörterbuch 228 Content Blade für das Verfahrensverzeichnis 224 Content Blade für Daten des Kreditkartenmagnetstreifens 220 Content Blade für deutsche BIC-Nummern 222 Content Blade für deutsche Personalausweisnummern 222 Content Blade für deutsche Reisepassnummern 222 Content Blade für deutsche Umsatzsteuernummern 223 Content Blade für die französische Personalausweisnummer 221 Content Blade für die spanische Personalausweisnummer 234 Content Blade für europäische Debitkartennummern 220 Content Blade für formatierte SIN 233 Content Blade für formatierte SSN 234 Content Blade für französische BIC-Nummern 221 Content Blade für französische Umsatzsteuernummern 222 Content Blade für Führerscheine aus Alabama 217 Content Blade für Führerscheine aus Alaska 217 Content Blade für Führerscheine aus Alberta 217 Content Blade für Führerscheine aus Arizona 218 Content Blade für Führerscheine aus Arkansas 216, 218 Content Blade für Führerscheine aus Manitoba 226 Content Blade für Führerscheine aus Neufundland und Labrador 231 Content Blade für Führerscheine aus New Brunswick 229 Content Blade für Führerscheine aus Nova Scotia 231 Content Blade für Führerscheine aus Ontario 232 Content Blade für Führerscheine aus Prince Edward Island 232 Content Blade für Führerscheine aus Quebec 233 Content Blade für Führerscheine aus Saskatchewan 233 VMware, Inc. Index Content Blade für Führerscheinnummern aus Colorado 219 Content Blade für Führerscheinnummern aus Connecticut 220 Content Blade für Führerscheinnummern aus Delaware 220 Content Blade für Führerscheinnummern aus den Niederlanden 228 Content Blade für Führerscheinnummern aus Deutschland 222 Content Blade für Führerscheinnummern aus Florida 221 Content Blade für Führerscheinnummern aus Frankreich 221 Content Blade für Führerscheinnummern aus Georgia 222 Content Blade für Führerscheinnummern aus Großbritannien 236 Content Blade für Führerscheinnummern aus Hawaii 223 Content Blade für Führerscheinnummern aus Idaho 224 Content Blade für Führerscheinnummern aus Illinois 224 Content Blade für Führerscheinnummern aus Indiana 224 Content Blade für Führerscheinnummern aus Iowa 224 Content Blade für Führerscheinnummern aus Italien 225 Content Blade für Führerscheinnummern aus Kalifornien 219 Content Blade für Führerscheinnummern aus Kanada 219 Content Blade für Führerscheinnummern aus Kansas 226 Content Blade für Führerscheinnummern aus Kentucky 226 Content Blade für Führerscheinnummern aus Louisiana 226 Content Blade für Führerscheinnummern aus Maine 226 Content Blade für Führerscheinnummern aus Maryland 227 Content Blade für Führerscheinnummern aus Michigan 227 Content Blade für Führerscheinnummern aus Minnesota 227 Content Blade für Führerscheinnummern aus Mississippi 227 Content Blade für Führerscheinnummern aus Missouri 228 Content Blade für Führerscheinnummern aus Montana 228 VMware, Inc. Content Blade für Führerscheinnummern aus Nebraska 228 Content Blade für Führerscheinnummern aus New Hampshire 230 Content Blade für Führerscheinnummern aus New Jersey 230 Content Blade für Führerscheinnummern aus New Mexico 230 Content Blade für Führerscheinnummern aus New York 230 Content Blade für Führerscheinnummern aus North Carolina 231 Content Blade für Führerscheinnummern aus North Dakota 231 Content Blade für Führerscheinnummern aus Ohio 231 Content Blade für Führerscheinnummern aus Oklahoma 231 Content Blade für Führerscheinnummern aus Oregon 232 Content Blade für Führerscheinnummern aus Pennsylvania 232 Content Blade für Führerscheinnummern aus Rhode Island 233 Content Blade für Führerscheinnummern aus South Carolina 234 Content Blade für Führerscheinnummern aus South Dakota 234 Content Blade für Führerscheinnummern aus Tennessee 235 Content Blade für Führerscheinnummern aus Utah 237 Content Blade für Führerscheinnummern aus Virginia 237 Content Blade für Führerscheinnummern aus Washington 237 Content Blade für Führerscheinnummern aus Wisconsin 238 Content Blade für Führerscheinnummern aus Wyoming 238 Content Blade für Gruppenversicherungsnummern 223 Content Blade für Indexnummern von in Neuseeland niedergelassenen Fachkräften im Gesundheitswesen 230 Content Blade für italienische IBAN-Nummern 225 Content Blade für italienische Personalausweisnummern 223 Content Blade für neuseeländische NHI-Nummern (National Health Index) 230 Content Blade für niederländische IBAN-Nummern 228 Content Blade für niederländische Personalausweisnummern 229 253 vShield-Administratorhandbuch Content Blade für niederländische Reisepassnummern 229 Content Blade für Patientenidentifikationsnummern 232 Content Blade für schwedische IBAN-Nummern 235 Content Blade für schwedische Reisepassnummern 235 Content Blade für Sozialversicherungsnummern aus Kanada 219 Content Blade für Sozialversicherungsnummern aus Spanien 235 Content Blade für spanische Reisepassnummern 234 Content Blade für unformatierte ITIN 226 Content Blade für unformatierte SIN 233 Content Blade für unformatierte SSN 234 Content Blade für Visa-Kartennummer 237 Neuseeländische Steuernummer 230 D Daten Planen von Sicherungen 44 Sicherungen bei Bedarf 43 Wiederherstellen einer Sicherung 45 Datensicherheit,Benutzerrollen 194 Datensicherheit,Richtlinie,Bestimmungen 194 Datenverkehrsanalyse, Datumsbereich 172 Datenverkehrstatistiken für eine vShield App-Instanz 165 Datum 18 Datumsbereich für Flow Monitoring 172 Dienst löschen 161 Dienste DNS 17 NTP 18 Dienstprofil, löschen 162 DNS 17 vShield Endpoint-Probleme 247 vShield Manager-Installation 243 Firewall App Firewall, grundlegende Informationen 175 Hinzufügen von L4-Regeln 178 Hinzufügen von Regeln über Flow Monitoring 171 Löschen von Regeln 181 Planen der Regelerzwingung 177 Flow Monitoring Datumsbereich 172 Hinzufügen einer App Firewall-Regel 171 Flow-Analyse, Datumsbereich 172 G GUI, Anmeldung 13 H Hierarchie von App Firewall-Regeln 177 hinzufügen, Service 22 hohe Verfügbarkeit 151 Hostalarme für vShield Endpoint 190 I Installieren, Updates 41 IPSec VPN aktivieren 90 bearbeiten 90 hinzufügen 89 Konfigurationsbeispiele 92 Überblick 88 IPSec-Dienst aktivieren 91 deaktivieren 92 löschen 91 K Kennwort 38 E Ereignisse Senden an Syslog 163 Syslog-Format 49 vShield App 48 vShield Manager 47 Ereignisse für vShield Endpoint 191 Erneutes Bereitstellen von vShield Edge 155 Erzwingen der Synchronisierung 164 F Fehlerbehebung Probleme bei der Ausführung 244 vShield Edge-Probleme 246 254 L L2-/L3-Regeln, Grundlegendes 176 L4-Regeln Grundlegendes 176 hinzufügen 178 Lastausgleich, Pool hinzufügen 146 Lastausgleichsdienst 146 löschen Dienstprofil 162 Service Manager 161 Löschen eines Benutzers 39 N Namespace 175 VMware, Inc. Index NAT 82 Netzwerk, Ansicht 14 Netzwerkbereich, Anzeigen und Bearbeiten 58 Neustarten einer vShield App 164 NTP 18 P Planen von Sicherungen 44 Plug-In 18 Protokolle technischer Support 19 Überwachungsprotokoll 30, 49 R Regeln Hinzufügen von L4-Regeln zur App Firewall 178 Löschen von App Firewall-Regeln 181 Regeln auf Clusterebene 177 Regeln mit hohem Vorrang für das Datencenter 177 Regeln mit niedrigem Vorrang für das Datencenter 177 Rollen und Rechte, Grundlegende Informationen 34 S Serverpool bearbeiten 149 löschen 150 Service hinzufügen 22 löschen 161 Service Manager, löschen 161 Sichere Portgruppen, Ansicht 14 Sichere Portgruppenregeln 177 Sicherheitsgruppen Grundlegendes 176 hinzufügen 30 Sicherungen bei Bedarf 43 planen 44 wiederherstellen 45 Single Sign On 33 SpoofGuard 183 SSL VPN Anmelde- bzw. Abmeldeskript aktivieren 142 bearbeiten 141 deaktivieren 143 VMware, Inc. hinzufügen 141 löschen 142 Anmelde- bzw. Abmeldeskripts aktualisieren 143 Reihenfolge ändern 144 Bearbeiten der allgemeinen Einstellungen 144 Client-Konfiguration 140 Portalgestaltung bearbeiten 145 Protokolle 144 Webressource 123 SSL VPN-plus, Authentifizierung, hinzufügen 116, 124 SSL VPN-Plus aktivieren 122, 130 Benutzer bearbeiten 139 hinzufügen 116, 123, 138 Kennwort ändern 139 löschen 139 Benutzer hinzufügen 116, 123, 138 Hinzufügen eines Installationspakets 114, 136 Hinzufügen eines IP-Pools 113, 130 Hinzufügen eines privaten Netzwerks 113, 133 Installationspaket hinzufügen 114, 136 löschen 137 IP-Pool bearbeiten 131, 132 deaktivieren 132 hinzufügen 113, 130 löschen 131 Reihenfolge ändern 132 Privates Netzwerk löschen 134 Reihenfolge ändern 135 SSL VPN, Überblick 112 SSL-Zertifikat 20 Standardregeln 176, 177 Statische Route Festlegen des Standard-Gateways 84 hinzufügen 85 status, vShield Edge 68 Status von Updates 41 vShield App 164 vShield Endpoint 189 SVM-Alarme für vShield Endpoint 190 Synchronisieren einer vShield App-Instanz 164 syslog, vShield Edge 153 Syslog-Format 49 Syslog-Server 163 Systemereignisse 47 255 vShield-Administratorhandbuch Systemstatus Datenverkehrstatistiken 165 Erzwingen der Synchronisierung 164 Neustart 164 Systemzeit 18 T Technischer Support, Protokoll 19 Technischer Support, Protokolle vShield App 165 vShield Edge 154 Testen der Konnektivität einer virtuellen VXLANLeitung 56 U Überwachungsmeldungen für vShield Endpoint 191 Überwachungsprotokolle 30, 49 Uhrzeit 18 Unterstützte Dateiformate 238 Update-Status 41 Updates installieren 41 Update-Status 41 V Virtuelle Leitung erstellen 53 Testen der Konnektivität; 56 Verbinden von virtuellen Maschinen 56 Virtuelle VXLAN-Leitung bearbeiten 60 Beispielszenario 60 Dienste bereitstellen 55 Hinzufügen eines Netzwerkbereichs 54 Netzwerkbereich, Kontrahieren 59 Überblick 51 Verbinden mit vShield Edge 55 Vorbereitung 52 Zuordnen von Clustern 52 Zuweisen des Segment-ID-Pools und des Multicast-Adressbereichs 53 Virtueller Server bearbeiten 150 löschen 151 VPN Dienst konfigurieren 89 verwalten 88 vShield vShield App 9 vShield Edge 9 vShield Endpoint 9 vShield Manager 9 256 vShield App Ausfallsicherer Modus 165 Ausschließen virtueller Maschinen vom Schutz 166 Benachrichtigung bei Ereignissen 48 Datenverkehrstatistiken 165 Erzwingen der Synchronisierung 164 Grundlegendes 9 Neustart 164 Senden von Ereignissen an Syslog-Server 163 Systemstatus 164 vShield Data Security Benutzerrollen 194 Grundlegendes 193 Prüfen 197 Richtlinie 194 Unterstützte Dateiformate 238 vShield Edge Appliance bearbeiten 69 Appliance hinzufügen 68 Appliance löschen 69 Benutzeroberfläche bearbeiten 71 deaktivieren 72 löschen 71 Clientzertifikate 75 DHCP 85 DHCP-Bindung hinzufügen 87 DNS-Server 152 Erzwingen der Synchronisierung 155 Firewallregeln bearbeiten 80 hinzufügen 76 löschen 81 Priorität ändern 81 verwalten 76 Grundlegendes 9 HA 152 Hinzufügen eines CA-Zertifikats 74 Hinzufügen eines DHCP-IP-Pools 86 Hinzufügen von NAT-Regeln 82 Konfigurieren eines von einer Zertifizierungsstelle signierten Zertifikats 73 Konfigurieren von Einstellungen 68 Konfigurieren von selbstsignierten Zertifikaten 74 Lastausgleichsdienst 146 Schnittstelle, aktivieren 72 Statische Route; Statische Route 84 status 68 syslog 153 Technischer Support, Protokolle 154 VMware, Inc. Index Überblick über SSL VPN 112 VPN 88 Zertifikate 73 Zertifikatswiderrufsliste 75 vShield Edge-Firewallregeln, Standardeinstellungen ändern 80 vShield Endpoint Alarme 190 Ereignisse 191 Grundlegendes 9 Hostalarme 190 Status 189 SVM-Alarme 190 Überwachungsmeldungen 191 vShield Manager Anmeldung 13 Benachrichtigung bei Ereignissen 47 Benutzeroberfläche, Bereiche 14 Bestandsliste 14 Datum und Uhrzeit 18 DNS 17 Grundlegendes 9 NTP 18 Planen einer Sicherung 44 Sicherungen bei Bedarf 43 SSL-Zertifikat 20 Support 19 Systemereignisse 47 vSphere-Plug-In 18 Wiederherstellen einer Sicherung 45 vSphere-Plug-In 18 W Wiederherstellen von Sicherungen 45 VMware, Inc. 257 vShield-Administratorhandbuch 258 VMware, Inc.