Para proteger o tráfego de e para um edge gateway, você pode criar e gerenciar regras de firewall nesse edge gateway.

Para obter informações sobre como proteger o tráfego se deslocando entre máquinas virtuais em um centro de dados virtual da organização, consulte Gerenciando o firewall distribuído em um centro de dados virtual de organização do VMware Cloud Director.

As regras criadas na tela de firewall distribuído que têm um edge gateway avançado especificado na coluna Aplicado a não são exibidas na tela Firewall desse edge gateway avançado.

As regras de firewall do edge gateway para um edge gateway são exibidas na tela Firewall e são aplicadas na seguinte ordem:

  1. Regras internas, também conhecidas como regras de autobombeamento. Essas regras internas permitem que o tráfego de controle flua para serviços de edge gateway.
  2. Regras definidas pelo usuário.
  3. Regra padrão.

As configurações de regra padrão aplicam-se ao tráfego que não corresponde a nenhuma das regras de firewall definidas pelo usuário. A regra padrão é exibida na parte inferior das regras na tela Firewall.

No portal do tenant, use o botão de alternância Ativar na tela Regras de Firewall do edge gateway para desativar ou ativar um firewall de edge gateway.

Adicionar uma regra de firewall do Edge Gateway do NSX Data Center for vSphere no VMware Cloud Director Service Provider Admin Portal

Use a guia Firewall do edge gateway para adicionar regras de firewall para esse edge gateway. Você pode adicionar várias interfaces de borda e vários grupos de endereços IP como a origem e o destino dessas regras de firewall.

A especificação de Interno para uma origem ou um destino de uma regra indica o tráfego de todas as sub-redes nos grupos de portas conectados ao gateway do NSX Edge. Se você selecionar Interno como a origem, a regra será automaticamente atualizada quando as interfaces internas adicionais forem configuradas no gateway do NSX.

Observação: As regras de firewall de edge gateway em interfaces internas não funcionam quando o edge gateway está configurado para roteamento dinâmico.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. No painel de navegação esquerdo primário, selecione Recursos e, na barra de navegação superior da página, selecione a guia Recursos de Nuvem.
    2. No painel esquerdo secundário, selecione Edge Gateways.
    3. Clique no botão de opção ao lado do nome do edge gateway de destino e clique em Serviços.
  2. Se a tela Regras de Firewall ainda não estiver visível, clique na guia Firewall.
  3. Para adicionar uma regra abaixo de uma regra existente na tabela de regras de firewall, clique na linha existente e, em seguida, clique no botão Criar.
    Uma linha para a nova regra é adicionada abaixo da regra selecionada e são atribuídos qualquer destino, qualquer serviço e a ação Permitir por padrão. Quando a regra de permissão padrão definida pelo sistema é a única na tabela de firewall, a nova regra é adicionada acima da regra padrão.
  4. Clique na célula Nome e digite um nome.
  5. Clique na célula Origem e use os ícones visíveis agora para selecionar uma origem a ser adicionada à regra:
    Opção Descrição
    Clique no ícone IP. Digite o valor de origem que deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall do edge gateway suporta os formatos IPv4 e IPv6.
    Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
    • Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
    • Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e selecione o ícone de exclusão de alternância a fim de excluir essa origem dessa regra.

    Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.

  6. Clique na célula Destino e execute uma das seguintes ações:
    Opção Descrição
    Clique no ícone IP. Digite o valor de destino que você deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall do edge gateway suporta os formatos IPv4 e IPv6.
    Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
    • Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
    • Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e, em seguida, selecione o ícone de exclusão de alternância para excluir essa origem dessa regra.

    Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.

  7. Clique na célula Serviço da nova regra e clique no ícone + para especificar o serviço como uma combinação de porta-protocolo:
    1. Selecione o protocolo de serviço.
    2. Digite os números de porta para as portas de origem e de destino ou especifique qualquer.
    3. Clique em Manter.
  8. Na célula Ação da nova regra, configure a ação para a regra.
    Opção Descrição
    Aceitar Permite o tráfego de ou para origens, destinos e serviços especificados.
    Negar Bloqueia o tráfego de ou para origens, destinos e serviços especificados.
  9. Clique em Salvar alterações.
    A operação de salvamento pode levar um minuto para ser concluída.

Modificar regras de firewall do edge gateway do NSX Data Center for vSphere no VMware Cloud Director Service Provider Admin Portal

Você pode editar e excluir apenas as regras de firewall definidas pelo usuário que foram adicionadas a um edge gateway. Não é possível editar ou excluir uma regra gerada automaticamente ou uma regra padrão, exceto para alterar a configuração de ação da regra padrão. Você pode alterar a ordem de prioridade das regras definidas pelo usuário.

Para obter detalhes sobre as configurações disponíveis para as várias células de uma regra, consulte Adicionar uma regra de firewall do Edge Gateway do NSX Data Center for vSphere no VMware Cloud Director Service Provider Admin Portal.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. No painel de navegação esquerdo primário, selecione Recursos e, na barra de navegação superior da página, selecione a guia Recursos de Nuvem.
    2. No painel esquerdo secundário, selecione Edge Gateways.
    3. Clique no botão de opção ao lado do nome do edge gateway de destino e clique em Serviços.
  2. Clique na guia Firewall.
  3. Gerencie as regras de firewall.
    • Desative uma regra clicando na marca de seleção verde em sua célula N° . A marca de seleção verde se transforma em um ícone vermelho desativado. Se a regra estiver desativada e você quiser ativá-la, clique no ícone vermelho desativado.
    • Edite um nome de regra clicando duas vezes na célula Nome e digitando o novo nome.
    • Modifique as configurações de uma regra, como as configurações de origem ou de ação, selecionando a célula apropriada e usando os controles exibidos.
    • Exclua uma regra selecionando-a e clicando no botão Excluir localizado acima da tabela de regras.
    • Oculte as regras geradas pelo sistema usando a opção Mostrar apenas as regras definidas pelo usuário.
    • Mova uma regra para cima ou para baixo na tabela de regras selecionando a regra e clicando nos botões de seta para cima e para baixo localizados acima da tabela de regras.
  4. Clique em Salvar alterações.

Aplicar configurações do servidor de syslog a um edge gateway do NSX Data Center for vSphere no VMware Cloud Director

Se você tiver ativado o log para uma ou mais regras de firewall de edge gateway, o gateway de borda se conectará ao servidor de syslog. Se você tiver criado um edge gateway antes da configuração inicial do servidor de syslog ou tiver alterado as configurações do servidor de syslog, deverá sincronizar as configurações do servidor de syslog para esse edge gateway.

Procedimento

  1. No painel de navegação esquerdo primário, selecione Recursos e, na barra de navegação superior da página, selecione Recursos de Nuvem.
  2. No painel esquerdo secundário, selecione Edge Gateways.
  3. Clique no botão de seleção ao lado do nome do edge gateway de destino e clique em Sincronizar syslog.
  4. Para confirmar, clique em OK.