A partir de VMware Cloud Director 10.5.1, puede utilizar la función de firewall de aplicación web de NSX Advanced Load Balancer en el entorno de VMware Cloud Director para proteger los servicios virtuales frente a ataques y evitar amenazas de forma proactiva.

Cuando se habilita WAF para un servicio virtual en VMware Cloud Director, se crea una directiva de WAF, un perfil de WAF y firmas de WAF para asociar al servicio virtual.

Requisitos previos

  • Familiarícese con la Guía de WAF de NSX Advanced Load Balancer. Consulte la documentación de VMware NSX Advanced Load Balancer.
  • Compruebe que el administrador del sistema haya asignado un grupo de motores de servicio con una función Premium establecida en la puerta de enlace Edge de NSX.
  • Compruebe que ha iniciado sesión como administrador de la organización.

Procedimiento

  1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
  2. Haga clic en la puerta de enlace Edge de NSX en la que está configurado el servicio virtual.
  3. Haga clic en el servicio virtual y en WAF.
  4. En General, haga clic en Editar.
  5. Active la opción Estado de WAF.
  6. Seleccione un modo de WAF.
    Opción Descripción
    Detección La directiva de WAF evalúa y procesa la solicitud entrante, pero no realiza una acción de bloqueo. Se crea una entrada de registro cuando se marca la solicitud.
    Aplicación La directiva de WAF evalúa la solicitud y la bloquea en función de las reglas especificadas. La entrada de registro correspondiente se marca como RECHAZADA.
  7. Haga clic en Guardar.

Qué hacer a continuación

Si es necesario, puede cambiar el modo de WAF para un servicio virtual más adelante o desactivar el firewall de aplicación web.

Después de habilitar WAF para su servicio virtual, puede crear reglas de lista de permitidos o editar las firmas de WAF según sea necesario.

Configurar las reglas de lista de permitidos para un servicio virtual

Puede utilizar la funcionalidad de lista de permitidos para definir las condiciones de coincidencia y las acciones asociadas que el WAF debe realizar al procesar una solicitud.

Cuando se crean reglas de lista de permitidos de WAF, se le indica al WAF que no aplique la directiva de WAF en casos específicos, por ejemplo, si la solicitud proviene de una dirección IP o un rango específicos, o bien si la solicitud coincide con el patrón de URL especificado mediante el tipo de coincidencia de método HTTP. La configuración de las reglas de lista de permitidos puede ayudar a evitar el desbordamiento de los registros con infracciones de WAF que son falsos positivos y reducir la latencia generada por las inspecciones de firma de WAF.

Procedimiento

  1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
  2. Haga clic en la puerta de enlace Edge de NSX en la que está configurado el servicio virtual.
  3. Haga clic en el servicio virtual y en WAF.
  4. En Reglas de lista de permitidos, haga clic en Nueva.
  5. Escriba un nombre para la regla.
  6. Para habilitar la regla tras la creación, active el botón de alternancia Activa.
  7. Seleccione criterios de coincidencia.
    Opción Descripción
    Dirección IP de cliente
    1. Seleccione Es o No es para indicar si desea llevar a cabo una acción si la IP del cliente coincide o no coincide con el valor que introdujo.
    2. Introduzca una dirección IPv4 o una dirección IPv6 y un rango o una notación CIDR.
    3. (Opcional) Para agregar más direcciones IP, haga clic en Agregar IP.
    Método HTTP
    1. Seleccione Es o No es para indicar si desea llevar a cabo una acción si el método HTTP coincide o no con el valor que introdujo.
    2. En el menú desplegable, seleccione uno o varios métodos HTTP.
    Ruta de acceso
    1. Seleccione un criterio para la ruta de acceso.
    2. Introduzca una cadena de ruta de acceso.
      Nota: No es necesario que la ruta comience con una barra diagonal (/).
    3. (Opcional) Para agregar más rutas de acceso, haga clic en Agregar ruta de acceso.
    Encabezado de host
    1. Seleccione un criterio para el encabezado de host.
    2. Introduzca un valor para el encabezado.
    Puede agregar un criterio de cada tipo.
  8. Seleccione la acción que se llevará a cabo tras una coincidencia.
    Opción Descripción
    Omitir El WAF no ejecuta ninguna regla adicional y se permite la solicitud.
    Continuar Detiene la ejecución de la lista de permitidos y continúa con la evaluación de la firma de WAF.
    Modo de detección El WAF evalúa y procesa la solicitud entrante, pero no realiza una acción de bloqueo. Se crea una entrada de registro cuando se marca la solicitud.
  9. Haga clic en Agregar.

Editar las firmas de WAF para un servicio virtual

Puede editar las firmas de WAF para un servicio virtual: puede cambiar un modo de firma de Detección a Aplicación o viceversa, o bien, si es necesario, desactivar una firma o un grupo de firmas.

Procedimiento

  1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
  2. Haga clic en la puerta de enlace Edge de NSX en la que está configurado el servicio virtual.
  3. Haga clic en el servicio virtual y en WAF.
    En la sección Grupos de firmas, puede ver los grupos de firmas que se incluyen en la directiva de WAF. Puede ver si están en uso de forma activa o no. También puede ver el número o las reglas activos de cada grupo y el número de reglas que se anularon manualmente.
  4. En Grupos de firmas, haga clic en el botón para expandir situado a la izquierda del grupo de firmas que desea editar.
  5. Para editar las firmas de un grupo, haga clic en Editar firmas.
  6. Haga clic en el botón para expandir a la izquierda del nombre de la firma y seleccione una acción.
  7. Haga clic en Guardar.
  8. Para deshabilitar un grupo de firmas, haga clic en el botón para expandir situado a la izquierda del grupo de firmas y haga clic en Desactivar.