Mittwoch, 4. April 2012

VmWare vShield App - das Geheimniss der boundaries.

Beim anlegen einer Regel in vShield App bin ich auf die ominöse Option "source boundary" bzw. "destination boundary" gestoßen. Man hat die Wahl zwischen "Inside" und "Outside", und auf den ersten Blick wurde mir nicht ganz klar, was sich dahinter verbirgt.


Der Admin Guide meint lapidar: "Direction in relation to source from which the communication originated.", was auch nicht wesentlich zum Verständnis beitrug. Also blieb nur: ausprobieren, und die Lösung ist dann am Ende doch recht simpel.

Die beiden unten stehenden Regeln lesen sich so:

Alles, was NICHT 'renton.ifbus.de' ist und mit Win7Flex kommuniziren will, wird geblockt. Alles was GENAU 'renton.ifus.de' ist, darf.

Sprich, die Option "Outside" ist einfach nur die Negation des verwendeten Objektes, wie man das Beispielsweise von Checkpoint kennt. Sprich: "Outside [Objekt]' als Destination erlaubt Verbindungen zu allen Zielen, außer eben zu 'Objekt', und umgekehrt.


3 Kommentare:

  1. Hallo Markus,

    ich bin durch Zufall auf deinen Blogeintrag über die vShield App Boundaries gestoßen.
    Für mich war die Definition der Boundaries am Anfang auch nicht klar.

    Ich habe deinen Eintrag gelesen und selbst ein bisschen probiert.

    Ich bin allerdings zu einem anderen Ergebnis gekommen:
    wenn ich folgende Regel definiere, werden ICMP Pakete durchgelassen
    Outside Datacenter - Inside SG-xx ICMP Block

    wenn ich Inside SG-xx durch Outside SG-xx ersetze, werden die Ping-Anfragen wie gewünscht verworfen.

    Konntest du seit deinem Eintrag weitere Erfahrungen zu diesem Thema sammeln?
    Ich arbeite zur Zeit an einer Projektarbeit im Rahmen meines Masterstudiums und es wäre gut wenn ich eindeutige Aussagen zu den FW-Regeln machen könnte.

    Viele Grüße

    AntwortenLöschen
  2. Kannst du das vlt. noch etwas genauer Ausführen? Welche Objekte verwendest du, und in welche Richtung (drc, dst) verlaufen die ICMP Pakete?

    Die default Regel in deinem Szenario ist allow?

    AntwortenLöschen
  3. Hat sich bereits gelöst. Danke aber für deine Antwort.

    AntwortenLöschen