Conforme descrito na documentação do NSX Data Center for vSphere, as configurações de firewall padrão se referem ao tráfego que não corresponde a qualquer uma das regras de firewall definidas pelo usuário. No VMware Cloud Director Tenant Portal, a regra de firewall distribuído padrão é rotulada como Regra de Permissão Padrão.

O recurso de firewall distribuído deve ser habilitado em um centro de dados virtual de organização antes que você possa gerenciar as configurações do firewall distribuído usando o VMware Cloud Director Tenant Portal.

A regra de firewall distribuído padrão é configurada para permitir que todo o tráfego da camada 3 e da camada 2 passe pelo data center virtual da organização. Essa configuração é indicada pela definição de permissão na coluna ação da interface do usuário. A regra padrão está sempre na parte inferior da tabela de regras.

Importante: Não é possível excluir ou modificar as regras padrão de firewall distribuído.

Adicionar uma regra de firewall distribuído

Primeiro, adicione uma regra de firewall distribuído ao escopo do centro de dados virtual da organização. Em seguida, você pode restringir o escopo ao qual deseja aplicar a regra. O firewall distribuído permite adicionar vários objetos aos níveis de origem e de destino para cada regra, o que ajuda a reduzir o número total de regras de firewall a serem adicionadas.

Para obter informações sobre os serviços e os grupos de serviços predefinidos que você pode usar em uma regra, consulte Exibir serviços disponíveis para regras de firewall e Exibir grupos de serviços disponíveis para regras de firewall.

Pré-requisitos

Procedimento

  1. Na tela do painel Centro de Dados Virtual, clique no cartão do centro de dados virtual que você deseja explorar e, em Rede, selecione Segurança.
  2. Selecione a rede de VDC de serviços de segurança cujas regras de firewall você deseja modificar e clique em Configurar Serviços.
    A tela Serviços de Segurança é exibida.
  3. Selecione o tipo de regra que deseja criar. Você tem a opção de criar uma regra geral ou uma regra de Ethernet.
    As regras da camada 3 (L3) são configuradas na guia Geral. As regras da camada 2 (L2) são configuradas na guia Ethernet.
  4. Para adicionar uma regra abaixo de uma regra existente na tabela de firewall, clique na linha existente e, em seguida, clique no botão Criar (botão Criar).
    Uma linha para a nova regra é adicionada abaixo da regra selecionada e são atribuídos qualquer destino, qualquer serviço e a ação Permitir por padrão. Quando a regra de permissão padrão definida pelo sistema é a única regra na tabela de firewall, a nova regra é adicionada acima da regra padrão.
  5. Clique na célula Nome e digite um nome.
  6. Clique na célula Origem e use os ícones visíveis agora para selecionar uma origem a ser adicionada à regra:
    Ação Descrição
    Clique no ícone IP. Aplicável a regras definidas na guia Geral.

    Digite o valor de origem que deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall distribuído oferece suporte apenas ao formato IPv4.

    Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
    • Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
    • Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e selecione o ícone de exclusão de alternância a fim de excluir essa origem dessa regra.

    Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.

  7. Clique na célula Destino e execute uma das seguintes ações:
    Ação Descrição
    Clique no ícone IP. Aplicável a regras definidas na guia Geral.

    Digite o valor de destino que você deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall distribuído oferece suporte apenas ao formato IPv4.

    Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
    • Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
    • Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e, em seguida, selecione o ícone de exclusão de alternância para excluir essa origem dessa regra.

    Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.

  8. Clique na célula Serviço da nova regra e execute uma das seguintes ações:
    Ação Descrição
    Clique no ícone IP. Para especificar o serviço como uma combinação de porta e protocolo:
    1. Selecione o protocolo de serviço.
    2. Digite os números para as portas de origem e de destino ou especifique any e clique em Manter.
    Clique no ícone + Para selecionar um serviço ou um grupo de serviços predefinido ou definir um novo:
    1. Selecione um ou mais objetos e adicione-os ao filtro.
    2. Clique em Manter.
  9. Na célula Ação da nova regra, configure a ação para a regra.
    Opção Descrição
    Permitir Permite o tráfego de ou para origens, destinos e serviços especificados.
    Negar Bloqueia o tráfego de ou para origens, destinos e serviços especificados.
  10. Na célula Direção da nova regra, selecione se a regra se aplica a tráfego de entrada, tráfego de saída ou a ambos.
  11. Se esta for uma regra na guia Geral, na célula Tipo de Pacote da nova regra, selecione um tipo de pacote: Qualquer , IPV4 ou IPV6.
  12. Selecione a célula Aplicada A e use o ícone + para definir o escopo do objeto ao qual essa regra é aplicável.
    Quando a regra contém máquinas virtuais nas células Origem e Destino, você deve adicionar as máquinas virtuais de origem e de destino à regra Aplicado A para que a regra funcione corretamente.
    Importante: Grupos de endereços IP (conjuntos de IPs), grupos de endereços MAC (conjuntos MAC) e grupos de segurança que contêm conjuntos de IPs ou conjuntos de MACs não são parâmetros de entrada válidos.
  13. Clique em Salvar Alterações.

Editar uma regra de firewall distribuído

Em um ambiente VMware Cloud Director, para modificar uma regra de firewall distribuído existente de um centro de dados virtual da organização, use a tela Firewall Distribuído.

Para obter detalhes sobre as configurações disponíveis para as várias células de uma regra, consulte Adicionar uma regra de firewall distribuído.

Procedimento

  1. Na tela do painel Centro de Dados Virtual, clique no cartão do centro de dados virtual que você deseja explorar e, em Rede, selecione Segurança.
  2. Selecione a rede de VDC de serviços de segurança cujas regras de firewall você deseja modificar e clique em Configurar Serviços.
    A tela Serviços de Segurança é exibida.
  3. Realize qualquer uma das seguintes ações para gerenciar as regras de firewall distribuído:
    • Desative uma regra clicando na marca de seleção verde em sua célula Nº .

      A marca de seleção verde se transforma em um ícone vermelho desativado. Se a regra estiver desativada e você quiser ativá-la, clique no ícone vermelho desativado.

    • Edite um nome de regra clicando duas vezes na célula Nome e digitando o novo nome.
    • Modifique as configurações de uma regra, como as configurações de origem ou de ação, selecionando a célula apropriada e usando os controles exibidos.
    • Exclua uma regra selecionando-a e clicando no botão Excluir localizado acima da tabela de regras.
    • Mova uma regra para cima ou para baixo na tabela de regras selecionando a regra e clicando nos botões de seta para cima e para baixo localizados acima da tabela de regras.
  4. Clique em Salvar Alterações.