Mediante el uso del VMware Cloud Director Tenant Portal, primero debe agregar una regla de firewall distribuido al alcance del centro de datos virtual de organización. A continuación, puede limitar el alcance en el que desea que se aplique la regla. El firewall distribuido permite añadir varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir el número total de reglas de firewall que se añadirán.
Procedimiento
- En la pantalla del panel de control Centro de datos virtual, haga clic en la tarjeta del centro de datos virtual que desea explorar y, en Redes, seleccione Seguridad.
- Seleccione la red de VDC de servicios de seguridad para la que desea modificar las reglas de firewall y haga clic en Configurar servicios.
Aparecerá la pantalla Servicios de seguridad.
- Seleccione el tipo de regla que desea crear. Puede crear una regla general o una regla de Ethernet.
Las reglas de capa 3 (Layer 3, L3) se configuran en la pestaña
General. Las reglas de capa 2 (Layer 2, L2) se configuran en la pestaña
Ethernet.
- Para agregar una regla debajo de una regla existente en la tabla de firewall, haga clic en la fila existente y, a continuación, haga clic en el botón Crear (
).
Se agrega una fila para la nueva regla debajo de la regla seleccionada y se le asigna un destino cualquiera, un servicio cualquiera y la acción
Permitir de forma predeterminada. Cuando la regla definida por el sistema Permitir de manera predeterminada es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.
- Haga clic en la celda Nombre y escriba un nombre.
- Haga clic en la celda Origen y utilice los iconos que ahora pueden verse para seleccionar un origen y agregarlo a la regla:
| Acción |
Descripción |
| Hacer clic en el icono IP |
Se aplica a las reglas definidas en la pestaña General. Introduzca el valor de origen que desea utilizar. Los valores válidos son direcciones IP, CIDR, un rango de direcciones IP o la palabra clave cualquiera. El firewall distribuido solo es compatible con el formato de IPv4. |
| Hacer clic en el icono + |
Use el icono + para especificar el origen como un objeto distinto de una dirección IP específica:
- Utilice la ventana Seleccionar objetos para agregar objetos que coincidan con los elementos seleccionados y haga clic en Conservar para agregarlos a la regla.
- Para excluir un origen de la regla, agréguelo a esta regla mediante la ventana Seleccionar objetos y, a continuación, seleccione el icono para habilitar o deshabilitar la exclusión para excluir dicho origen de esta regla.
Cuando se selecciona el icono para habilitar o deshabilitar la exclusión en el origen, la regla se aplica al tráfico proveniente de todos los orígenes, excepto del origen que se ha excluido. Cuando el icono para habilitar o deshabilitar la exclusión no se selecciona, la regla se aplica al tráfico proveniente del origen especificado en la ventana Seleccionar objetos. |
- Haga clic en la celda Destino y realice una de las siguientes acciones:
| Acción |
Descripción |
| Hacer clic en el icono IP |
Se aplica a las reglas definidas en la pestaña General. Introduzca el valor de destino que desea utilizar. Los valores válidos son direcciones IP, CIDR, un rango de direcciones IP o la palabra clave cualquiera. El firewall distribuido solo es compatible con el formato de IPv4. |
| Hacer clic en el icono + |
Use el icono + para especificar el origen como un objeto distinto de una dirección IP específica:
- Utilice la ventana Seleccionar objetos para agregar objetos que coincidan con los elementos seleccionados y haga clic en Conservar para agregarlos a la regla.
- Para excluir un origen de la regla, agréguelo a esta regla mediante la ventana Seleccionar objetos y, a continuación, seleccione el icono para habilitar o deshabilitar la exclusión para excluir dicho origen de esta regla.
Cuando se selecciona el icono para habilitar o deshabilitar la exclusión en el origen, la regla se aplica al tráfico proveniente de todos los orígenes, excepto del origen que se ha excluido. Cuando el icono para habilitar o deshabilitar la exclusión no se selecciona, la regla se aplica al tráfico proveniente del origen especificado en la ventana Seleccionar objetos. |
- Haga clic en la celda Servicio de la nueva regla y realice una de las siguientes acciones:
| Acción |
Descripción |
| Hacer clic en el icono IP |
Para especificar el servicio como una combinación de puerto y protocolo, realice lo siguiente:
- Seleccione el protocolo de servicio.
- Introduzca los números de puerto de los puertos de origen y destino (o especifique cualquiera), y haga clic en Conservar.
|
| Hacer clic en el icono + |
Para seleccionar servicios o grupos de servicios predefinidos, o bien definir uno nuevo, realice lo siguiente:
- Seleccione uno o varios objetos, y añádalos al filtro.
- Haga clic en Conservar.
|
- En la celda Acción de la nueva regla, configure la acción de la regla.
| Opción |
Descripción |
| Permitir |
Permite el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos. |
| Denegar |
Bloquea el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos. |
- En la celda Dirección de la nueva regla, determine si la regla se aplica al tráfico entrante, al tráfico saliente o a ambos.
- Si se trata de una regla en la pestaña General, en la celda Tipo de paquete de la nueva regla, seleccione el tipo de paquete Cualquiera, IPV4 o IPV6.
- Seleccione la celda Aplicado a y use el icono + para definir el alcance de objetos al que se aplica esta regla.
Cuando la regla contiene máquinas virtuales en las celdas
Origen y
Destino, debe agregar las máquinas virtuales de origen y destino a la sección
Aplicado a de la regla para que esta funcione correctamente.
Importante: Los grupos de direcciones IP (conjuntos de direcciones IP), los grupos de direcciones MAC (conjuntos de direcciones MAC) y los grupos de seguridad que contienen conjuntos de direcciones IP o MAC no son parámetros de entrada válidos.
- Haga clic en Guardar cambios.
