Usando o portal do tenant, você pode configurar os recursos de firewall fornecidos pelo NSX Data Center for vSphere no seu centro de dados virtual de organização do VMware Cloud Director. Você pode criar regras de firewall para firewalls distribuídos para fornecer segurança entre máquinas virtuais em um data center virtual de organização e regras de firewall para aplicar a um firewall de edge gateway para proteger as máquinas virtuais em um data center virtual de organização contra o tráfego de rede externo.
A tecnologia lógica de firewall do NSX Data Center for vSphere consiste em dois componentes para abordar diferentes casos de uso de implantação. O firewall do edge gateway concentra-se na imposição do tráfego de norte a sul, enquanto o firewall distribuído se concentra nos controles de acesso de leste a oeste.
Principais diferenças entre firewalls de edge gateway e firewalls distribuídos
Um firewall de edge gateway monitora o tráfego norte-sul para fornecer funcionalidade de segurança de perímetro, incluindo firewall, conversão de endereços de rede (NAT), bem como a funcionalidade de IPSec de site para site e VPN SSL.
Um firewall distribuído fornece a capacidade de isolar e proteger cada máquina virtual e aplicativo no nível de camada 2 (L2). A configuração de firewalls distribuídos coloca em quarentena de forma efetiva qualquer comprometimento de segurança de rede externa ou interna, isolando o tráfego de leste a oeste entre máquinas virtuais no mesmo segmento de rede. As políticas de segurança são gerenciadas centralmente, herdáveis e aninhadas, para que os administradores de rede e segurança possam gerenciá-las em grande escala. Além disso, depois de implantadas, as políticas de segurança definidas seguem as máquinas virtuais ou os aplicativos ao se moverem entre diferentes data centers virtuais.
Sobre regras de firewall
Conforme descrito na documentação do produto relevante, no NSX Data Center for vSphere, as regras de firewall definidas no nível centralizado são referidas como pré regras. Você também pode adicionar regras em um nível de edge gateway individual, e essas regras são referidas como regras locais.
Cada sessão de tráfego é verificada em relação à regra superior na tabela de firewall antes de mover as regras subsequentes para baixo na tabela. A primeira regra da tabela que corresponder aos parâmetros de tráfego será imposta. As regras são exibidas na seguinte ordem:
- As pré-regras definidas pelo usuário têm a prioridade mais alta e são aplicadas em ordem de cima para baixo, com precedência por nível de NIC virtual.
- Regras de auto-bombeamento (regras que permitem que o tráfego de controle flua para serviços de edge gateway).
- Regras locais definidas em um nível de edge gateway.
- Regra de firewall distribuído padrão
Para obter mais informações sobre como o software NSX Data Center for vSphere impõe regras de firewall, consulte Alterar a Ordem de uma Regra de Firewall na documentação do NSX Data Center for vSphere.