Tal como se describe en la documentación de NSX Data Center for vSphere, la configuración de firewall predeterminada se aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. En el VMware Cloud Director Tenant Portal, la regla de firewall distribuido predeterminada tiene la etiqueta Regla para permitir predeterminada.

Para poder administrar la configuración del firewall distribuido mediante el VMware Cloud Director Tenant Portal, es necesario habilitar la funcionalidad del firewall distribuido en un centro de datos virtual de organización.

Se configura la regla de firewall distribuido predeterminada para permitir que todo el tráfico de capa 3 y de capa 2 pase por el centro de datos virtual de organización. Esta configuración se indica mediante la opción Permitir establecida en la columna Acción de la interfaz de usuario. La regla predeterminada siempre se ubica en la parte inferior de la tabla de reglas.

Importante: No puede eliminar ni modificar las reglas predeterminadas del firewall distribuido.

Agregar una regla de firewall distribuido mediante el VMware Cloud Director Tenant Portal

Mediante el uso del VMware Cloud Director Tenant Portal, primero debe agregar una regla de firewall distribuido al alcance del centro de datos virtual de organización. A continuación, puede limitar el alcance en el que desea que se aplique la regla. El firewall distribuido permite añadir varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir el número total de reglas de firewall que se añadirán.

Para obtener información sobre los servicios predefinidos y los grupos de servicios que se pueden utilizar en una regla, consulte Ver los servicios disponibles para reglas de firewall mediante el VMware Cloud Director Tenant Portal y Ver los grupos de servicios disponibles para las reglas de firewall mediante el VMware Cloud Director Tenant Portal.

Requisitos previos

Procedimiento

  1. En la pantalla del panel de control Centro de datos virtual, haga clic en la tarjeta del centro de datos virtual que desea explorar y, en Redes, seleccione Seguridad.
  2. Seleccione la red de VDC de servicios de seguridad para la que desea modificar las reglas de firewall y haga clic en Configurar servicios.
    Aparecerá la pantalla Servicios de seguridad.
  3. Seleccione el tipo de regla que desea crear. Puede crear una regla general o una regla de Ethernet.
    Las reglas de capa 3 (Layer 3, L3) se configuran en la pestaña General. Las reglas de capa 2 (Layer 2, L2) se configuran en la pestaña Ethernet.
  4. Para agregar una regla debajo de una regla existente en la tabla de firewall, haga clic en la fila existente y, a continuación, haga clic en el botón Crear (botón Crear).
    Se agrega una fila para la nueva regla debajo de la regla seleccionada y se le asigna un destino cualquiera, un servicio cualquiera y la acción Permitir de forma predeterminada. Cuando la regla definida por el sistema Permitir de manera predeterminada es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.
  5. Haga clic en la celda Nombre y escriba un nombre.
  6. Haga clic en la celda Origen y utilice los iconos que ahora pueden verse para seleccionar un origen y agregarlo a la regla:
    Acción Descripción
    Hacer clic en el icono IP Se aplica a las reglas definidas en la pestaña General.

    Introduzca el valor de origen que desea utilizar. Los valores válidos son direcciones IP, CIDR, un rango de direcciones IP o la palabra clave cualquiera. El firewall distribuido solo es compatible con el formato de IPv4.

    Hacer clic en el icono + Use el icono + para especificar el origen como un objeto distinto de una dirección IP específica:
    • Utilice la ventana Seleccionar objetos para agregar objetos que coincidan con los elementos seleccionados y haga clic en Conservar para agregarlos a la regla.
    • Para excluir un origen de la regla, agréguelo a esta regla mediante la ventana Seleccionar objetos y, a continuación, seleccione el icono para habilitar o deshabilitar la exclusión para excluir dicho origen de esta regla.

    Cuando se selecciona el icono para habilitar o deshabilitar la exclusión en el origen, la regla se aplica al tráfico proveniente de todos los orígenes, excepto del origen que se ha excluido. Cuando el icono para habilitar o deshabilitar la exclusión no se selecciona, la regla se aplica al tráfico proveniente del origen especificado en la ventana Seleccionar objetos.

  7. Haga clic en la celda Destino y realice una de las siguientes acciones:
    Acción Descripción
    Hacer clic en el icono IP Se aplica a las reglas definidas en la pestaña General.

    Introduzca el valor de destino que desea utilizar. Los valores válidos son direcciones IP, CIDR, un rango de direcciones IP o la palabra clave cualquiera. El firewall distribuido solo es compatible con el formato de IPv4.

    Hacer clic en el icono + Use el icono + para especificar el origen como un objeto distinto de una dirección IP específica:
    • Utilice la ventana Seleccionar objetos para agregar objetos que coincidan con los elementos seleccionados y haga clic en Conservar para agregarlos a la regla.
    • Para excluir un origen de la regla, agréguelo a esta regla mediante la ventana Seleccionar objetos y, a continuación, seleccione el icono para habilitar o deshabilitar la exclusión para excluir dicho origen de esta regla.

    Cuando se selecciona el icono para habilitar o deshabilitar la exclusión en el origen, la regla se aplica al tráfico proveniente de todos los orígenes, excepto del origen que se ha excluido. Cuando el icono para habilitar o deshabilitar la exclusión no se selecciona, la regla se aplica al tráfico proveniente del origen especificado en la ventana Seleccionar objetos.

  8. Haga clic en la celda Servicio de la nueva regla y realice una de las siguientes acciones:
    Acción Descripción
    Hacer clic en el icono IP Para especificar el servicio como una combinación de puerto y protocolo, realice lo siguiente:
    1. Seleccione el protocolo de servicio.
    2. Introduzca los números de puerto de los puertos de origen y destino (o especifique cualquiera), y haga clic en Conservar.
    Hacer clic en el icono + Para seleccionar servicios o grupos de servicios predefinidos, o bien definir uno nuevo, realice lo siguiente:
    1. Seleccione uno o varios objetos, y añádalos al filtro.
    2. Haga clic en Conservar.
  9. En la celda Acción de la nueva regla, configure la acción de la regla.
    Opción Descripción
    Permitir Permite el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos.
    Denegar Bloquea el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos.
  10. En la celda Dirección de la nueva regla, determine si la regla se aplica al tráfico entrante, al tráfico saliente o a ambos.
  11. Si se trata de una regla en la pestaña General, en la celda Tipo de paquete de la nueva regla, seleccione el tipo de paquete Cualquiera, IPV4 o IPV6.
  12. Seleccione la celda Aplicado a y use el icono + para definir el alcance de objetos al que se aplica esta regla.
    Cuando la regla contiene máquinas virtuales en las celdas Origen y Destino, debe agregar las máquinas virtuales de origen y destino a la sección Aplicado a de la regla para que esta funcione correctamente.
    Importante: Los grupos de direcciones IP (conjuntos de direcciones IP), los grupos de direcciones MAC (conjuntos de direcciones MAC) y los grupos de seguridad que contienen conjuntos de direcciones IP o MAC no son parámetros de entrada válidos.
  13. Haga clic en Guardar cambios.

Editar una regla de firewall distribuido mediante el VMware Cloud Director Tenant Portal

En un entorno de VMware Cloud Director, para modificar una regla de firewall distribuido existente de un centro de datos virtual de organización, utilice la pantalla Firewall distribuido.

Para obtener más información sobre la configuración disponible para las diversas celdas de una regla, consulte Agregar una regla de firewall distribuido mediante el VMware Cloud Director Tenant Portal.

Procedimiento

  1. En la pantalla del panel de control Centro de datos virtual, haga clic en la tarjeta del centro de datos virtual que desea explorar y, en Redes, seleccione Seguridad.
  2. Seleccione la red de VDC de servicios de seguridad para la que desea modificar las reglas de firewall y haga clic en Configurar servicios.
    Aparecerá la pantalla Servicios de seguridad.
  3. Realice cualquiera de las siguientes acciones para administrar las reglas de firewall distribuido:
    • Para desactivar una regla, haga clic en la marca de verificación de color verde en la celda N.º.

      La marca de verificación de color verde se convierte en un icono de color rojo que indica que está desactivada. Si la regla está desactivada y desea activarla, haga clic en el icono de color rojo que indica que está desactivada.

    • Para editar el nombre de una regla, haga doble clic en la celda Nombre y escriba el nuevo nombre.
    • Para modificar la configuración de una regla, como la configuración de origen o acción, seleccione la celda adecuada y utilice los controles que se muestran.
    • Para eliminar una regla, selecciónela y haga clic en el botón Eliminar situado encima de la tabla de reglas.
    • Para subir o bajar una regla en la tabla de reglas, seleccione la regla y haga clic en los botones de flecha arriba y abajo situados encima de la tabla de reglas.
  4. Haga clic en Guardar cambios.