Para proteger o tráfego de e para um edge gateway, você pode criar e gerenciar regras de firewall nesse edge gateway.

Para obter informações sobre como proteger o tráfego se deslocando entre máquinas virtuais em um centro de dados virtual da organização, consulte Gerenciamento de regras de firewall distribuído do NSX Data Center for vSphere usando o portal do tenant.

As regras criadas na tela de firewall distribuído que têm um edge gateway avançado especificado na coluna Aplicado a não são exibidas na tela Firewall desse edge gateway avançado.

As regras de firewall do edge gateway para um edge gateway são exibidas na tela Firewall e são aplicadas na seguinte ordem:

  1. Regras internas, também conhecidas como regras de autobombeamento. Essas regras internas permitem que o tráfego de controle flua para serviços de edge gateway.
  2. Regras definidas pelo usuário.
  3. Regra padrão.

As configurações de regra padrão aplicam-se ao tráfego que não corresponde a nenhuma das regras de firewall definidas pelo usuário. A regra padrão é exibida na parte inferior das regras na tela Firewall.

No portal do tenant, use o botão de alternância Ativar na tela Regras de Firewall do edge gateway para desativar ou ativar um firewall de edge gateway.

Converter um edge gateway em um edge gateway avançado

Para trabalhar com um edge gateway no portal do tenant, você precisa convertê-lo em um edge gateway avançado. Depois de convertê-lo em um edge gateway avançado, você poderá usar o portal do tenant para configurar os recursos de roteamento estático e dinâmico fornecidos pelo software NSX para esses edge gateways avançados.

Pré-requisitos

Você tem um edge gateway existente.

Procedimento

  1. Na barra de navegação superior, clique em Rede e, depois, na guia Edge gateways.
  2. Selecione o edge gateway a ser editado.
  3. Clique em Converter em Avançado.

Resultados

Seu edge gateway é convertido em um edge gateway avançado.

O que Fazer Depois

Depois de converter para um edge gateway avançado, você pode definir as configurações selecionando o gateway e clicando em Serviços.

Adicionar uma regra de firewall do edge gateway do NSX Data Center for vSphere

Use a guia Firewall do edge gateway para adicionar regras de firewall para esse edge gateway. Você pode adicionar várias interfaces do NSX Edge e vários grupos de endereços IP como a origem e o destino para essas regras de firewall.

A especificação de Interno para uma origem ou um destino de uma regra indica o tráfego de todas as sub-redes nos grupos de portas conectados ao gateway do NSX Edge. Se você selecionar Interno como a origem, a regra será automaticamente atualizada quando as interfaces internas adicionais forem configuradas no gateway do NSX.

Observação: As regras de firewall de edge gateway em interfaces internas não funcionam quando o edge gateway está configurado para roteamento dinâmico.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Se a tela Regras de Firewall ainda não estiver visível, clique na guia Firewall.
  3. Para adicionar uma regra abaixo de uma regra existente na tabela de regras de firewall, clique na linha existente e, em seguida, clique no botão Criar.
    Uma linha para a nova regra é adicionada abaixo da regra selecionada e são atribuídos qualquer destino, qualquer serviço e a ação Permitir por padrão. Quando a regra de permissão padrão definida pelo sistema é a única na tabela de firewall, a nova regra é adicionada acima da regra padrão.
  4. Clique na célula Nome e digite um nome.
  5. Clique na célula Origem e use os ícones visíveis agora para selecionar uma origem a ser adicionada à regra:
    Opção Descrição
    Clique no ícone IP. Digite o valor de origem que deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall do edge gateway suporta os formatos IPv4 e IPv6.
    Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
    • Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
    • Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e selecione o ícone de exclusão de alternância a fim de excluir essa origem dessa regra.

    Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.

  6. Clique na célula Destino e execute uma das seguintes ações:
    Opção Descrição
    Clique no ícone IP. Digite o valor de destino que você deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall do edge gateway suporta os formatos IPv4 e IPv6.
    Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
    • Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
    • Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e, em seguida, selecione o ícone de exclusão de alternância para excluir essa origem dessa regra.

    Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.

  7. Clique na célula Serviço da nova regra e clique no ícone + para especificar o serviço como uma combinação de porta-protocolo:
    1. Selecione o protocolo de serviço.
    2. Digite os números de porta para as portas de origem e de destino ou especifique qualquer.
    3. Clique em Manter.
  8. Na célula Ação da nova regra, configure a ação para a regra.
    Opção Descrição
    Aceitar Permite o tráfego de ou para origens, destinos e serviços especificados.
    Negar Bloqueia o tráfego de ou para origens, destinos e serviços especificados.
  9. Clique em Salvar alterações.
    A operação de salvamento pode levar um minuto para ser concluída.

Modificar regras de firewall do edge gateway do NSX Data Center for vSphere

Você pode editar e excluir apenas as regras de firewall definidas pelo usuário que foram adicionadas a um edge gateway. Não é possível editar ou excluir uma regra gerada automaticamente ou uma regra padrão, exceto para alterar a configuração de ação da regra padrão. Você pode alterar a ordem de prioridade das regras definidas pelo usuário.

Para obter detalhes sobre as configurações disponíveis para as várias células de uma regra, consulte Adicionar uma regra de firewall do edge gateway do NSX Data Center for vSphere.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Clique na guia Firewall.
  3. Gerencie as regras de firewall.
    • Desative uma regra clicando na marca de seleção verde em sua célula N° . A marca de seleção verde se transforma em um ícone vermelho desativado. Se a regra estiver desativada e você quiser ativá-la, clique no ícone vermelho desativado.
    • Edite um nome de regra clicando duas vezes na célula Nome e digitando o novo nome.
    • Modifique as configurações de uma regra, como as configurações de origem ou de ação, selecionando a célula apropriada e usando os controles exibidos.
    • Exclua uma regra selecionando-a e clicando no botão Excluir localizado acima da tabela de regras.
    • Oculte as regras geradas pelo sistema usando a opção Mostrar apenas as regras definidas pelo usuário.
    • Mova uma regra para cima ou para baixo na tabela de regras selecionando a regra e clicando nos botões de seta para cima e para baixo localizados acima da tabela de regras.
  4. Clique em Salvar alterações.