Para proteger el tráfico hacia y desde una puerta de enlace Edge, es posible crear y administrar reglas de firewall en esa puerta de enlace Edge.

Para obtener información sobre cómo proteger el tráfico que se transmite entre máquinas virtuales de un centro de datos virtual de organización, consulte Administrar el firewall distribuido en un centro de datos virtual de organización de VMware Cloud Director.

Las reglas creadas en la pantalla de firewall distribuido en las que se ha especificado una puerta de enlace Edge avanzada en la columna Aplicado a no se muestran en la pantalla Firewall de dicha puerta de enlace Edge avanzada.

Las reglas de firewall de puerta de enlace Edge para una puerta de enlace Edge se muestran en la pantalla Firewall y se aplican en el siguiente orden:

  1. Reglas internas (también conocidas como reglas asociadas automáticamente). Estas reglas internas permiten que el tráfico de control fluya en los servicios de puerta de enlace Edge.
  2. Reglas definidas por el usuario.
  3. Regla predeterminada.

La configuración de la regla predeterminada se aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La regla predeterminada se muestra en la parte inferior de las reglas en la pantalla Firewall.

En el portal para tenants, utilice el botón de alternancia Habilitar en la pantalla Reglas de firewall de la puerta de enlace Edge para activar o desactivar el firewall de una puerta de enlace Edge.

Agregar una regla de firewall de puerta de enlace Edge de NSX Data Center for vSphere en el VMware Cloud Director Service Provider Admin Portal

Las reglas de firewall de la puerta de enlace Edge se agregan en la pestaña Firewall de la puerta de enlace Edge en cuestión. Es posible agregar varias interfaces de Edge y varios grupos de direcciones IP como origen y destino de estas reglas de firewall.

Si especifica interno para el origen o el destino de una regla, indica el tráfico de todas las subredes en los grupos de puertos conectados a la puerta de enlace NSX Edge. Si selecciona interno como el origen, la regla se actualiza automáticamente cuando se configuran interfaces internas adicionales en la puerta de enlace NSX.

Nota: Las reglas de firewall de puerta de enlace Edge en las interfaces internas no funcionan cuando la puerta de enlace Edge está configurada para el enrutamiento dinámico.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Recursos y, en la barra de navegación superior de la página, seleccione la pestaña Recursos de nube.
    2. En el panel secundario de la izquierda, seleccione Puertas de enlace Edge.
    3. Haga clic en el botón de radio junto al nombre de la puerta de enlace Edge de destino y haga clic en Servicios.
  2. Si aún no está visible la pantalla Reglas de firewall, haga clic en la pestaña Firewall.
  3. Para agregar una regla debajo de una regla existente en la tabla de reglas de firewall, haga clic en la fila existente y, a continuación, haga clic en el botón Crear.
    Se agrega una fila para la nueva regla debajo de la regla seleccionada y se le asigna un destino cualquiera, un servicio cualquiera y la acción Permitir de forma predeterminada. Cuando la regla predeterminada definida por el sistema es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.
  4. Haga clic en la celda Nombre y escriba un nombre.
  5. Haga clic en la celda Origen y utilice los iconos que ahora pueden verse para seleccionar un origen y agregarlo a la regla:
    Opción Descripción
    Hacer clic en el icono IP Escriba el valor de origen que desea utilizar. Los valores válidos son direcciones IP, CIDR, rangos de direcciones IP o la palabra clave cualquiera. El firewall de puerta de enlace Edge admite los formatos IPv4 e IPv6.
    Hacer clic en el icono + Use el icono + para especificar el origen como un objeto distinto de una dirección IP específica:
    • Utilice la ventana Seleccionar objetos para agregar objetos que coincidan con los elementos seleccionados y haga clic en Conservar para agregarlos a la regla.
    • Para excluir un origen de la regla, agréguelo a esta regla mediante la ventana Seleccionar objetos y, a continuación, seleccione el icono para habilitar o deshabilitar la exclusión para excluir dicho origen de esta regla.

    Cuando se selecciona el icono para habilitar o deshabilitar la exclusión en el origen, la regla se aplica al tráfico proveniente de todos los orígenes, excepto del origen que se ha excluido. Cuando el icono para habilitar o deshabilitar la exclusión no se selecciona, la regla se aplica al tráfico proveniente del origen especificado en la ventana Seleccionar objetos.

  6. Haga clic en la celda Destino y realice una de las siguientes acciones:
    Opción Descripción
    Hacer clic en el icono IP Escriba el valor de destino que desea utilizar. Los valores válidos son direcciones IP, CIDR, un rango de direcciones IP o la palabra clave cualquiera. El firewall de puerta de enlace Edge admite los formatos IPv4 e IPv6.
    Hacer clic en el icono + Use el icono + para especificar el origen como un objeto distinto de una dirección IP específica:
    • Utilice la ventana Seleccionar objetos para agregar objetos que coincidan con los elementos seleccionados y haga clic en Conservar para agregarlos a la regla.
    • Para excluir un origen de la regla, agréguelo a esta regla mediante la ventana Seleccionar objetos y, a continuación, seleccione el icono para habilitar o deshabilitar la exclusión para excluir dicho origen de esta regla.

    Cuando se selecciona el icono para habilitar o deshabilitar la exclusión en el origen, la regla se aplica al tráfico proveniente de todos los orígenes, excepto del origen que se ha excluido. Cuando el icono para habilitar o deshabilitar la exclusión no se selecciona, la regla se aplica al tráfico proveniente del origen especificado en la ventana Seleccionar objetos.

  7. Haga clic en la celda Servicio de la nueva regla y haga clic en el icono + para especificar el servicio como una combinación de protocolo y puerto:
    1. Seleccione el protocolo de servicio.
    2. Escriba los números de puerto de los puertos de origen y destino, o bien especifique cualquiera.
    3. Haga clic en Conservar.
  8. En la celda Acción de la nueva regla, configure la acción de la regla.
    Opción Descripción
    Aceptar Permite el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos.
    Denegar Bloquea el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos.
  9. Haga clic en Guardar cambios.
    La operación para guardar puede tardar un minuto en completarse.

Modificar las reglas de firewall de puerta de enlace Edge de NSX Data Center for vSphere en el VMware Cloud Director Service Provider Admin Portal

Únicamente puede editar y eliminar las reglas de firewall definidas por el usuario que se hayan agregado a una puerta de enlace Edge. No se puede editar ni eliminar una regla generada automáticamente o una regla predeterminada, excepto para cambiar la configuración de la acción de la regla predeterminada. Puede cambiar el orden de prioridad de las reglas definidas por el usuario.

Para obtener más información sobre la configuración disponible para las diversas celdas de una regla, consulte Agregar una regla de firewall de puerta de enlace Edge de NSX Data Center for vSphere en el VMware Cloud Director Service Provider Admin Portal.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Recursos y, en la barra de navegación superior de la página, seleccione la pestaña Recursos de nube.
    2. En el panel secundario de la izquierda, seleccione Puertas de enlace Edge.
    3. Haga clic en el botón de radio junto al nombre de la puerta de enlace Edge de destino y haga clic en Servicios.
  2. Haga clic en la pestaña Firewall.
  3. Administre las reglas de firewall.
    • Para desactivar una regla, haga clic en la marca de verificación de color verde en la celda N.º. La marca de verificación de color verde se convierte en un icono de color rojo que indica que está desactivada. Si la regla está desactivada y desea activarla, haga clic en el icono de color rojo que indica que está desactivada.
    • Para editar el nombre de una regla, haga doble clic en la celda Nombre y escriba el nuevo nombre.
    • Para modificar la configuración de una regla, como la configuración de origen o acción, seleccione la celda adecuada y utilice los controles que se muestran.
    • Para eliminar una regla, selecciónela y haga clic en el botón Eliminar situado encima de la tabla de reglas.
    • Oculte las reglas generadas por el sistema mediante el botón de alternancia Mostrar solo reglas definidas por el usuario.
    • Para subir o bajar una regla en la tabla de reglas, seleccione la regla y haga clic en los botones de flecha arriba y abajo situados encima de la tabla de reglas.
  4. Haga clic en Guardar cambios.

Aplicar la configuración del servidor syslog a una puerta de enlace Edge de NSX Data Center for vSphere en VMware Cloud Director

Si se habilitó el registro para una o varias reglas de firewall de puerta de enlace Edge, la puerta de enlace Edge se conecta al servidor syslog. Si se creó una puerta de enlace Edge antes de la configuración inicial del servidor syslog o si se cambió la configuración del servidor syslog, es necesario sincronizar la configuración del servidor syslog para esta puerta de enlace Edge.

Procedimiento

  1. En el panel de navegación principal de la izquierda, seleccione Recursos y, en la barra de navegación superior de la página, seleccione Recursos de nube.
  2. En el panel secundario de la izquierda, seleccione Puertas de enlace Edge.
  3. Haga clic en el botón de radio junto al nombre de la puerta de enlace Edge y haga clic en Sincronizar syslog.
  4. Para confirmar, haga clic en Aceptar.