Las reglas de firewall distribuido se aplican en el nivel de la máquina virtual (vNIC) y controlan el tráfico de este a oeste dentro del SDDC.

Todo el tráfico que intenta atravesar el firewall distribuido se somete a las reglas en el orden en el que figuran en la tabla de reglas, comenzando por el principio. Un paquete permitido por la primera regla pasa a la segunda regla y así sucesivamente por las reglas que siguen hasta que el paquete se descarta, se rechaza o alcanza la regla predeterminada, la cual permite todo el tráfico.

Atención:

En las versiones 1.20, 1.20v2 o 1.20v3 del SDDC, una regla de firewall distribuido que tiene un perfil de contexto con atributos de FQDN puede activar un error de PSOD si recibe un registro CNAME en una respuesta del servidor DNS. Consulte el artículo 91654 de la base de conocimientos de VMware para obtener más detalles.

Las reglas de firewall distribuido se agrupan en directivas. Las directivas están organizadas por categoría. Cada categoría tiene una prioridad de evaluación. Las reglas de una categoría con mayor prioridad se evalúan antes que las reglas en categoría de menor prioridad.
Tabla 1. Categorías de reglas de firewall distribuido
Prioridad de evaluación de categoría Nombre de la categoría Descripción
1 Ethernet Se aplica a todo el tráfico de red del SDDC de capa 2.
Nota: Las reglas de esta categoría requieren direcciones MAC como orígenes y destinos. Se aceptan las direcciones IP, pero se ignoran.
2 Emergencia Se usa para las reglas de cuarentena y permitir.
3 Infraestructura Define el acceso a servicios compartidos. Reglas globales, AD, DNS, NTP, DHCP, copia de seguridad y servidores de administración.
4 Entorno Reglas entre zonas de seguridad, como zonas de producción, de desarrollo o dedicadas a fines empresariales específicos.
5 Aplicación Reglas entre aplicaciones, niveles de aplicaciones o microservicios.
Para obtener más información sobre la terminología de firewall distribuido, Consulte Terminología de seguridad en la Guía de administración de NSX Data Center.

Requisitos previos

Las reglas de Firewall distribuido requieren grupos de inventario como orígenes y destinos, y deben aplicarse a un servicio, que puede ser uno predefinido o personalizado que se defina para el SDDC. Puede crear estos grupos y servicios durante la creación de una regla, pero puede acelerar el proceso si se encarga de alguna de antemano. Consulte Trabajar con grupos de inventario.

Procedimiento

  1. Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
  3. Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
    También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo.
  4. Abra la página Firewall distribuido.
    Haga clic en Reglas específicas de categoría y seleccione una categoría para ver y modificar las directivas y las reglas de esa categoría, o haga clic en Todas las reglas para ver (pero no modificar) las reglas de todas las directivas y categorías.
  5. (opcional) Cambie la estrategia de conectividad predeterminada.
    El firewall distribuido incluye reglas predeterminadas que se aplican a todo el tráfico de capa 2 y capa 3. Estas reglas se evalúan después de todas las demás reglas de su categoría y permiten que el tráfico que no coincide con una regla anterior pase a través del firewall. Puede cambiar una o ambas reglas para que sean más restrictivas, pero no puede deshabilitar ninguna de ellas.
    • Para cambiar la Regla de capa 2 predeterminada, expanda la Sección capa 2 predeterminada en la categoría Ethernet y cambie la Acción de esa regla a Quitar.
    • Para cambiar la Regla de capa 3 predeterminada, expanda la Sección de capa 3 predeterminada en la categoría Aplicación y cambie la Acción de esa regla a Quitar o Rechazar.
    Haga clic en PUBLICAR para actualizar la regla.
  6. Para agregar una directiva, abra la categoría correspondiente, haga clic en AGREGAR DIRECTIVA y póngale un Nombre a la nueva directiva.

    Se agregará una nueva directiva en la parte superior de la lista de directivas de su categoría. Para agregar una directiva antes o después de una directiva existente, haga clic en el botón de puntos suspensivos verticales situado al principio de la fila de la directiva para abrir el menú de configuración de directivas y, a continuación, haga clic en Agregar directiva arriba o Agregar directiva debajo.

    De forma predeterminada, la columna Se aplica a está establecida en DFW y la regla se aplica a todas las cargas de trabajo. También se puede aplicar la regla o la directiva a grupos seleccionados. Se aplica a define el ámbito de aplicación por regla y se utiliza principalmente para la optimización del consumo de recursos del host. Esto ayuda a definir una directiva dirigida a zonas y tenants específicos, sin interferir con otra directiva definida para otros tenants y zonas.

    Nota: Los grupos compuestos solo por direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.
  7. Para agregar una regla, seleccione una directiva, haga clic en AGREGAR REGLA y asigne un Nombre a la regla.
  8. Introduzca los parámetros de la nueva regla.
    Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga clic en el icono de lápiz ( icono de lápiz) para abrir un editor específico del parámetro.
    Opción Descripción
    Orígenes Haga clic en Cualquiera en la columna Orígenes y seleccione un grupo de inventario para el tráfico de red de origen, o haga clic en AGREGAR GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
    Destinos Haga clic en Cualquiera en la columna Destinos y seleccione un grupo de inventario para el tráfico de red de destino, o bien haga clic en AGREGAR GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
    Servicios Haga clic en Cualquiera en la columna Servicios y seleccione un servicio de la lista. Haga clic en GUARDAR.
    Se aplica a La regla hereda su valor Se aplica a de la directiva que la contiene.
    Acción
    • Seleccione Permitir para permitir que todo el tráfico de capa 2 y capa 3 pase a través del firewall.
    • Seleccione Quitar para quitar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Se trata de una acción silenciosa que no envía notificaciones a los sistemas de origen ni de destino. Cuando un paquete se descarta, hace que la conexión se reintente hasta que se alcance el umbral de reintentos.
    • Seleccione Rechazar para rechazar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Esta acción devuelve un "mensaje de destino inaccesible" al remitente. En el caso de los paquetes TCP, la respuesta incluye un mensaje RST de TCP. Para UDP, ICMP y otros protocolos, la respuesta incluye un código "prohibido de forma administrativa" (9 o 10). Cuando no se puede establecer la conexión, el remitente recibe una notificación de forma inmediata (sin ningún reintento).
    La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
  9. (opcional) Configure las opciones avanzadas.
    Si desea cambiar la direccionalidad o el comportamiento de registro de la regla, haga clic en el icono de engranaje para abrir la página Configuración.
    Dirección
    De forma predeterminada, este valor es Entrada/Salida y aplica la regla a todos los orígenes y destinos. Puede cambiar el valor a Entrada para aplicar la regla únicamente al tráfico entrante desde un origen, o Salida para aplicarla solo al tráfico saliente hacia un destino. Cambiar este valor puede provocar un enrutamiento asimétrico y otras anomalías de tráfico. Por ello, es necesario comprender los resultados probables de todos los orígenes y destinos antes de cambiar el valor predeterminado de Dirección.
    Registro
    El registro de reglas nuevas está deshabilitado de forma predeterminada. Deslice el alternador hacia la derecha para habilitar el registro de acciones de regla.
  10. Haga clic en PUBLICAR para crear la regla.

    El sistema proporciona a la nueva regla un valor entero de ID, que se utiliza para identificar la regla en las entradas de registro que genera.

Qué hacer a continuación

Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.

  • Haga clic en el icono de engranaje icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware VMware Aria Operations for Logs. Consulte Usar VMware Aria Operations for Logs en la Guía de operaciones de VMware Cloud on AWS.

  • Haga clic en el icono de gráfico icono de gráfico para ver los aciertos de reglas y las estadísticas de flujo de la regla.
    Tabla 2. Estadísticas de aciertos de reglas
    Índice de popularidad Número de veces que se activó la regla en las últimas 24 horas.
    Recuento de aciertos Número de veces que se activó la regla desde que se creó.
    Tabla 3. Estadísticas de flujo
    Recuento de paquetes Flujo total de paquetes a través de esta regla.
    Recuento de bytes Flujo total de bytes a través de esta regla.
    Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.
  • Reordene las reglas de firewall.

    Una regla creada desde el botón AGREGAR NUEVA REGLA se coloca al principio de la lista de reglas de la directiva. Las reglas de firewall de cada directiva se aplican en orden descendente. Para cambiar la posición de una regla en la lista, selecciónela y arrástrela a una nueva posición. Haga clic en PUBLICAR para publicar el cambio.