Primeiro, adicione uma regra de firewall distribuído ao escopo do centro de dados virtual da organização. Em seguida, você pode restringir o escopo ao qual deseja aplicar a regra. O firewall distribuído permite adicionar vários objetos aos níveis de origem e de destino para cada regra, o que ajuda a reduzir o número total de regras de firewall a serem adicionadas.

Para obter informações sobre os serviços e os grupos de serviços predefinidos que você pode usar em uma regra, consulte Exibir serviços disponíveis para regras de firewall e Exibir grupos de serviços disponíveis para regras de firewall.

Pré-requisitos

Procedimento

  1. Na tela do painel Centro de Dados Virtual, clique no cartão do centro de dados virtual que você deseja explorar e, em Rede, selecione Segurança.
  2. Selecione a rede de VDC de serviços de segurança cujas regras de firewall você deseja modificar e clique em Configurar Serviços.
    A tela Serviços de Segurança é exibida.
  3. Selecione o tipo de regra que deseja criar. Você tem a opção de criar uma regra geral ou uma regra de Ethernet.
    As regras da camada 3 (L3) são configuradas na guia Geral. As regras da camada 2 (L2) são configuradas na guia Ethernet.
  4. Para adicionar uma regra abaixo de uma regra existente na tabela de firewall, clique na linha existente e, em seguida, clique no botão Criar (botão Criar).
    Uma linha para a nova regra é adicionada abaixo da regra selecionada e são atribuídos qualquer destino, qualquer serviço e a ação Permitir por padrão. Quando a regra de permissão padrão definida pelo sistema é a única regra na tabela de firewall, a nova regra é adicionada acima da regra padrão.
  5. Clique na célula Nome e digite um nome.
  6. Clique na célula Origem e use os ícones visíveis agora para selecionar uma origem a ser adicionada à regra:
    Ação Descrição
    Clique no ícone IP. Aplicável a regras definidas na guia Geral.

    Digite o valor de origem que deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall distribuído oferece suporte apenas ao formato IPv4.

    Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
    • Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
    • Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e selecione o ícone de exclusão de alternância a fim de excluir essa origem dessa regra.

    Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.

  7. Clique na célula Destino e execute uma das seguintes ações:
    Ação Descrição
    Clique no ícone IP. Aplicável a regras definidas na guia Geral.

    Digite o valor de destino que você deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall distribuído oferece suporte apenas ao formato IPv4.

    Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
    • Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
    • Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e, em seguida, selecione o ícone de exclusão de alternância para excluir essa origem dessa regra.

    Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.

  8. Clique na célula Serviço da nova regra e execute uma das seguintes ações:
    Ação Descrição
    Clique no ícone IP. Para especificar o serviço como uma combinação de porta e protocolo:
    1. Selecione o protocolo de serviço.
    2. Digite os números para as portas de origem e de destino ou especifique any e clique em Manter.
    Clique no ícone + Para selecionar um serviço ou um grupo de serviços predefinido ou definir um novo:
    1. Selecione um ou mais objetos e adicione-os ao filtro.
    2. Clique em Manter.
  9. Na célula Ação da nova regra, configure a ação para a regra.
    Opção Descrição
    Permitir Permite o tráfego de ou para origens, destinos e serviços especificados.
    Negar Bloqueia o tráfego de ou para origens, destinos e serviços especificados.
  10. Na célula Direção da nova regra, selecione se a regra se aplica a tráfego de entrada, tráfego de saída ou a ambos.
  11. Se esta for uma regra na guia Geral, na célula Tipo de Pacote da nova regra, selecione um tipo de pacote: Qualquer , IPV4 ou IPV6.
  12. Selecione a célula Aplicada A e use o ícone + para definir o escopo do objeto ao qual essa regra é aplicável.
    Quando a regra contém máquinas virtuais nas células Origem e Destino, você deve adicionar as máquinas virtuais de origem e de destino à regra Aplicado A para que a regra funcione corretamente.
    Importante: Grupos de endereços IP (conjuntos de IPs), grupos de endereços MAC (conjuntos MAC) e grupos de segurança que contêm conjuntos de IPs ou conjuntos de MACs não são parâmetros de entrada válidos.
  13. Clique em Salvar Alterações.