El servicio NSX Advanced Firewall permite que el SDDC utilice las funciones avanzadas de NSX.

El servicio NSX Advanced Firewall está disponible en los SDDC de VMware Cloud on AWS versión 1.16 y posteriores. Este servicio incluye:

Para activar el complemento NSX Advanced Firewall en el SDDC, abra la pestaña Complementos y haga clic en ACTIVAR en la tarjeta Complemento NSX Advanced Firewall. Después de activar el complemento, las funciones de seguridad avanzadas de NSX estarán disponibles en nuestro SDDC.

Puede encontrar documentación detallada de todas estas funciones en la Documentación del producto NSX. Existen algunas diferencias operativas entre cómo funcionan las funciones en la instancia local de NSX y cómo funcionan en VMware Cloud on AWS. Por ejemplo, la mayoría de los procedimientos de la documentación del producto de NSX incluyen un paso que le indica que inicie sesión con privilegios de administrador en una instancia de NSX Manager. Este paso no es necesario en VMware Cloud on AWS, ya que al abrir la pestaña ABRIR NSX MANAGER o la pestaña Redes y seguridad obtiene acceso de administrador a la instancia de NSX Manager en el SDDC. En las siguientes secciones se enumeran otras diferencias.

Usar perfiles de contexto en el SDDC

Haga clic en Inventario > Perfiles de contexto. Puede especificar un perfil de contexto en una regla de firewall distribuido si actualiza el valor en la columna Perfiles de la cuadrícula Firewall distribuido. Para obtener más información, consulte Flujo de trabajo de reglas de firewall de Capa 7 en la documentación del producto de NSX.

En VMware Cloud on AWS, los perfiles de contexto solo se admiten para su uso con reglas de firewall distribuido. No se pueden utilizar con reglas de firewall de MGW o CGW.

Usar IDS/IPS distribuido en el SDDC

Haga clic en Seguridad > IDS/IPS distribuido. Para obtener más información, consulte IDS/IPS distribuido en la documentación del producto de NSX.

Al utilizar esta función en VMware Cloud on AWS, tenga en cuenta estas diferencias operativas:
Habilitación por clúster
Para usar esta función, habilítela en uno o varios clústeres del SDDC. En la página IDS/IPS distribuido, haga clic en la pestaña Configuración y, a continuación, seleccione uno o varios clústeres en Habilitar detección y prevención de intrusiones para clústeres. Debido a que vMotion actualmente no comprueba el estado de habilitación de IDS/IPS de un clúster antes de migrar las máquinas virtuales, se recomienda habilitar esta función en todos los clústeres para que la migración no afecte la aplicación de IDS/IPS en ninguna máquina virtual de carga de trabajo.
Sin acceso a hosts
Debido a que VMware Cloud on AWS no le permite acceder a los hosts del SDDC, no puede Comprobar el estado de IDS distribuido en el host.
Registro
En VMware Cloud on AWS, los eventos generados por esta función se registran en VMware Aria Operations for Logs.

Usar el firewall de identidad en el SDDC

Haga clic en Sistema > AD de firewall de identidad para agregar un dominio de Active Directory de SDDC a fin de poder crear reglas de firewall de identidad basadas en usuarios. Al utilizar esta función en VMware Cloud on AWS, tenga en cuenta estas diferencias operativas:
Habilitar la función para uno o más clústeres del SDDC
Antes de poder utilizar esta función, debe realizar el paso "Configurar los ajustes del firewall de identidad" en Administrar reglas de firewall distribuido para habilitar la función y aplicarla a uno o varios clústeres del SDDC.
Crear una regla de firewall para permitir el acceso a Active Directory
Si utiliza Active Directory, también deberá crear una regla de firewall de puerta de enlace de administración para permitir que NSX acceda al servidor de Active Directory que desea utilizar. Esta función no funciona si se interrumpe el acceso a Active Directory en el SDDC, por lo que es importante asegurarse de que la regla de firewall que cree aquí siga siendo válida ante los cambios en el servidor de Active Directory. Para obtener más información, consulte Agregar una instancia de Active Directory en la documentación del producto de NSX.
Registro
En VMware Cloud on AWS, los eventos generados por esta función se registran en VMware Aria Operations for Logs.

Usar el filtrado de FQDN distribuido en el SDDC

En VMware Cloud on AWS, el filtrado de FQDN de NSX solo se admite para su uso con reglas de firewall distribuido. No se puede utilizar con reglas de firewall de MGW o CGW. Para usar esta función, comience agregando una regla de intromisión de DNS, que se describe en Filtrar dominios específicos (FQDN/URL), como la primera regla de la directiva. También debe habilitar el perfil de segmento FQDNfiltering-spoofguard-profile predefinido para todos los segmentos en los que desee admitir el filtrado de FQDN. Consulte Crear o modificar un segmento de red para obtener información sobre cómo aplicar un perfil de segmento a un segmento de red de SDDC.

Desactivar el complemento NSX Advanced Firewall

Antes de poder desactivar el complemento NSX Advanced Firewall, debe eliminar todas las reglas de firewall que hacen referencia a las funciones del complemento. Esto incluye:
  • Todas las reglas de firewall distribuido que incluyen un perfil de contexto
  • Todas las reglas y perfiles de IDS/IPS distribuido
  • Todas las reglas de firewall basadas en identidad
Después de eliminar estos objetos, puede desactivar el complemento:
  1. Abra la pestaña Complementos en el SDDC.
  2. En la tarjeta Complemento NSX Advanced Firewall, haga clic en ACCIONES > Desactivar.
  3. Revise la lista de objetos que se deben eliminar antes de la desactivación. Cuando esté seguro de que se han eliminado los objetos, haga clic en CONFIRMAR DESACTIVACIÓN.
La facturación del complemento se detiene tan pronto como se completa la desactivación.