El firewall distribuido permite segmentar las entidades de centros de datos virtuales de la organización (como las máquinas virtuales) en función de los atributos y los nombres de las máquinas virtuales.
VMware Cloud Director admite servicios de firewall distribuido en centros de datos virtuales de organización respaldados por NSX Data Center for vSphere. Como se describe en la documentación de NSX Data Center for vSphere, el firewall distribuido es un firewall integrado en el kernel del hipervisor que proporciona visibilidad y control sobre las redes y las cargas de trabajo virtualizadas. Puede crear políticas de control de acceso basadas en objetos, como nombres de máquinas virtuales, y en construcciones de red, como direcciones IP o conjuntos de direcciones IP. Las reglas de firewall se aplican en el nivel de vNIC de cada máquina virtual para proporcionar control de acceso consistente incluso cuando vSphere vMotion mueve la máquina virtual a un nuevo host ESXi. Este firewall distribuido es compatible con un modelo de seguridad de microsegmentación en el que se puede inspeccionar el tráfico de este a oeste en un procesamiento casi a velocidad de línea.
Como se describe en la documentación de NSX Data Center for vSphere, para los paquetes de capa 2 (L2), el firewall distribuido crea una memoria caché para aumentar el rendimiento. Los paquetes de capa 3 (L3) se procesan en la siguiente secuencia:
- Se comprueba el estado existente de todos los paquetes.
- Cuando se encuentra una coincidencia de estado, se procesan los paquetes.
- Cuando no se encuentra una coincidencia de estado, se procesan los paquetes mediante las reglas hasta que se encuentra una coincidencia.
- Para los paquetes TCP, solo se establece un estado para los paquetes con la marca SYN. Sin embargo, las reglas que no especifican un protocolo (servicio ANY), pueden hacer coincidir paquetes TCP con cualquier combinación de marcas.
- Para los paquetes UDP, se extraen los detalles de 5-tupla de los paquetes. Cuando no existe un estado en la tabla de estado, se crea un nuevo estado mediante los detalles de 5-tupla extraídos. Los paquetes recibidos posteriormente se comparan con el estado que se acaba de crear.
-
Para los paquetes ICMP, la dirección de paquete, el código y el tipo de ICMP se utilizan para crear un estado.
El firewall distribuido también puede ayudar a crear reglas basadas en identidades. Los administradores pueden aplicar el control de acceso según la pertenencia a grupos del usuario definida en la instancia de Active Directory (AD) de la empresa. Algunos escenarios de uso cuando es posible utilizar reglas de firewall basadas en identidades son:
- Los usuarios acceden a aplicaciones virtuales con un equipo portátil o un dispositivo móvil en los que se utiliza AD para la autenticación de usuario
- Los usuarios acceden a aplicaciones virtuales mediante la infraestructura de VDI en la que las máquinas virtuales se basan en Microsoft Windows
Para obtener información más detallada sobre las capacidades que ofrece el firewall distribuido, consulte la documentación de NSX Data Center for vSphere.