En el portal para tenants, puede configurar las capacidades de firewall que ofrece NSX Data Center for vSphere en el centro de datos virtual de la organización de VMware Cloud Director. Puede crear reglas de firewall para firewalls distribuidos a fin de proporcionar seguridad entre las máquinas virtuales de un centro de datos virtual de organización y reglas de firewall que se apliquen a un firewall de puerta de enlace Edge a fin de proteger las máquinas virtuales de un centro de datos virtual de organización contra el tráfico de red externo.
La tecnología de firewall lógico de NSX Data Center for vSphere consta de dos componentes para abordar escenarios de uso de implementación diferentes. El firewall de puerta de enlace Edge se centra en la aplicación de tráfico de norte a sur mientras que el firewall distribuido se centra en los controles de acceso de este a oeste.
Diferencias clave entre los firewalls de puerta de enlace Edge y los firewalls distribuidos
Un firewall de puerta de enlace Edge supervisa el tráfico de norte a sur para proporcionar la funcionalidad de seguridad del perímetro, incluidos el firewall y la traducción de direcciones de red (Network Address Translation, NAT), así como la funcionalidad VPN de SSL y de IPSec de sitio a sitio.
Un firewall distribuido proporciona la capacidad para aislar y proteger cada máquina virtual y aplicación hacia abajo hasta el nivel de capa 2 (L2). La configuración de firewalls distribuidos coloca en cuarentena con eficacia todo riesgo de seguridad de red externo o interno, ya que aísla el tráfico de este a oeste entre las máquinas virtuales en el mismo segmento de red. Las políticas de seguridad se pueden administrar centralmente, así como heredar y anidar, para que los administradores de redes y seguridad pueden administrarlas a gran escala. Además, una vez implementadas, las políticas de seguridad definidas siguen a las máquinas virtuales o las aplicaciones cuando se mueven de un centro de datos virtual a otro.
Acerca de las reglas de firewall
Como se describe en la documentación del producto correspondiente, en NSX Data Center for vSphere, las reglas de firewall definidas en el nivel centralizado se conocen como reglas previas. También es posible agregar reglas en un nivel de puerta de enlace Edge individual. Estas reglas se denominan reglas locales.
Cada sesión de tráfico se compara con la regla principal de la tabla de firewall antes de bajar a las reglas subsiguientes de la tabla. Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico. Las reglas se muestran en el siguiente orden:
- Las reglas previas definidas por el usuario tienen la prioridad más alta y se aplican en orden de arriba a abajo con prioridad por nivel de NIC virtual.
- Las reglas asociadas automáticamente (las reglas que permiten que el tráfico de control fluya en los servicios de puerta de enlace Edge).
- Las reglas locales definidas en el nivel de puerta de enlace Edge.
- La regla de firewall distribuido predeterminada.
Para obtener más información sobre cómo el software NSX Data Center for vSphere hace cumplir las reglas de firewall, consulte Cambiar el orden de una regla de firewall en la documentación de NSX Data Center for vSphere.