Primeiro, adicione uma regra de firewall distribuído ao escopo do centro de dados virtual da organização. Em seguida, você pode restringir o escopo ao qual deseja aplicar a regra. O firewall distribuído permite adicionar vários objetos aos níveis de origem e de destino para cada regra, o que ajuda a reduzir o número total de regras de firewall a serem adicionadas.
Para obter informações sobre os serviços e os grupos de serviços predefinidos que você pode usar em uma regra, consulte Exibir serviços disponíveis para regras de firewall e Exibir grupos de serviços disponíveis para regras de firewall.
Procedimento
- Na tela do painel Centro de Dados Virtual, clique no cartão do centro de dados virtual que você deseja explorar e, em Rede, selecione Segurança.
- Selecione a rede de VDC de serviços de segurança cujas regras de firewall você deseja modificar e clique em Configurar Serviços.
A tela Serviços de Segurança é exibida.
- Selecione o tipo de regra que deseja criar. Você tem a opção de criar uma regra geral ou uma regra de Ethernet.
As regras da camada 3 (L3) são configuradas na guia
Geral. As regras da camada 2 (L2) são configuradas na guia
Ethernet.
- Para adicionar uma regra abaixo de uma regra existente na tabela de firewall, clique na linha existente e, em seguida, clique no botão Criar ().
Uma linha para a nova regra é adicionada abaixo da regra selecionada e são atribuídos qualquer destino, qualquer serviço e a ação
Permitir por padrão. Quando a regra de permissão padrão definida pelo sistema é a única regra na tabela de firewall, a nova regra é adicionada acima da regra padrão.
- Clique na célula Nome e digite um nome.
- Clique na célula Origem e use os ícones visíveis agora para selecionar uma origem a ser adicionada à regra:
Ação |
Descrição |
Clique no ícone IP. |
Aplicável a regras definidas na guia Geral. Digite o valor de origem que deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall distribuído oferece suporte apenas ao formato IPv4. |
Clique no ícone + |
Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
- Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
- Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e selecione o ícone de exclusão de alternância a fim de excluir essa origem dessa regra.
Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos. |
- Clique na célula Destino e execute uma das seguintes ações:
Ação |
Descrição |
Clique no ícone IP. |
Aplicável a regras definidas na guia Geral. Digite o valor de destino que você deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall distribuído oferece suporte apenas ao formato IPv4. |
Clique no ícone + |
Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
- Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
- Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e, em seguida, selecione o ícone de exclusão de alternância para excluir essa origem dessa regra.
Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos. |
- Clique na célula Serviço da nova regra e execute uma das seguintes ações:
Ação |
Descrição |
Clique no ícone IP. |
Para especificar o serviço como uma combinação de porta e protocolo:
- Selecione o protocolo de serviço.
- Digite os números para as portas de origem e de destino ou especifique any e clique em Manter.
|
Clique no ícone + |
Para selecionar um serviço ou um grupo de serviços predefinido ou definir um novo:
- Selecione um ou mais objetos e adicione-os ao filtro.
- Clique em Manter.
|
- Na célula Ação da nova regra, configure a ação para a regra.
Opção |
Descrição |
Permitir |
Permite o tráfego de ou para origens, destinos e serviços especificados. |
Negar |
Bloqueia o tráfego de ou para origens, destinos e serviços especificados. |
- Na célula Direção da nova regra, selecione se a regra se aplica a tráfego de entrada, tráfego de saída ou a ambos.
- Se esta for uma regra na guia Geral, na célula Tipo de Pacote da nova regra, selecione um tipo de pacote: Qualquer , IPV4 ou IPV6.
- Selecione a célula Aplicada A e use o ícone + para definir o escopo do objeto ao qual essa regra é aplicável.
Quando a regra contém máquinas virtuais nas células
Origem e
Destino, você deve adicionar as máquinas virtuais de origem e de destino à regra
Aplicado A para que a regra funcione corretamente.
Importante: Grupos de endereços IP (conjuntos de IPs), grupos de endereços MAC (conjuntos MAC) e grupos de segurança que contêm conjuntos de IPs ou conjuntos de MACs não são parâmetros de entrada válidos.
- Clique em Salvar Alterações.