De forma predeterminada, la puerta de enlace de cómputo bloquea el tráfico de entrada y salida de la red de cómputo del SDDC. Agregue reglas de firewall de puerta de enlace de cómputo para permitir el tráfico según sea necesario.

Las reglas de firewall para la puerta de enlace de cómputo predeterminada y las puertas de enlace de nivel 1 adicionales que cree especifican las acciones que se deben realizar en el tráfico de red de un destino y servicio especificado. Las acciones pueden ser una de las siguientes:
  • permitir (permitir tráfico que cumple)
  • descartar (descartar de forma silenciosa el tráfico que cumple)
  • rechazar (descartar el tráfico que cumple y notificar al origen)
Pueden aplicarse reglas a una selección de una lista de interfaces de red físicas o la especificación genérica Todos los vínculos superiores que se aplica a todo el tráfico saliente de la puerta de enlace hacia la interfaz de VPC, la interfaz de Internet o la interfaz de la intranet (Direct Connect).
Nota: Una regla de firewall que se aplica a Todos los vínculos superiores no rige para la Interfaz de túnel VPN (VPN Tunnel Interface, VTI), que es una interfaz virtual y no un vínculo superior físico. La Interfaz de túnel VPN debe especificarse explícitamente en el parámetro Se aplica a de cualquier regla de firewall que administre la comunicación de la máquina virtual de carga de trabajo mediante una VPN basada en rutas.

Todo el tráfico que intenta pasar a través del firewall se evalúa según las reglas en el orden que se muestra en la tabla de reglas. El tráfico que cumple la primera regla aplica su acción (permitir, descartar o rechazar) y la evaluación se detiene. El tráfico que no cumple la primera regla se pasa a las reglas subsiguientes. Cuando se produce una correspondencia, ese tráfico se permite, descarta o rechaza según lo especificado en la acción de la regla y se detiene la evaluación de reglas adicionales. El tráfico que no cumple ninguna regla definida por el cliente se procesa mediante una regla predeterminada.

Hay dos tipos de reglas de firewall:
  • Las reglas de firewall predefinidas se crean mediante VMware Cloud on AWS. Existen dos reglas de firewall de puerta de enlace de cómputo predefinidas:
    Tabla 1. Reglas de firewall de puerta de enlace de cómputo
    Nombre Orígenes Destinos Servicios Se aplica a Acción
    Regla de VTI predeterminada Cualquiera Cualquiera Cualquiera Interfaz de túnel VPN Descartar *
    Regla de vínculo superior predeterminada Cualquiera Cualquiera Cualquiera Todos los vínculos superiores Descarte
    * La Regla de VTI predeterminada descarta todo el tráfico de VPN basado en rutas (a través de la interfaz de túnel virtual), por lo que, para permitir que las máquinas virtuales de carga de trabajo se comuniquen a través de una VPN basada en rutas, deberá modificar esta regla a Permitir el tráfico o muévala a un rango inferior en la jerarquía de reglas, detrás de otras reglas más permisivas. No puede modificar ni volver a ordenar la Regla de vínculo superior predeterminada.
  • Las reglas de firewall definidas por el cliente se procesan en el orden especificado y siempre se procesan antes de la Regla de vínculo superior predeterminada.

Requisitos previos

Las reglas de firewall de puerta de enlace de cómputo requieren grupos de inventario designados para los valores de origen y de destino. Consulte Trabajar con grupos de inventario.

Procedimiento

  1. Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
  3. Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
    También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo.
  4. En la página FIREWALL DE PUERTA DE ENLACE, haga clic en Puerta de enlace de cómputo.
  5. Para agregar una regla, haga clic en AGREGAR REGLA y asígnele un nombre.
  6. Introduzca los parámetros de la nueva regla.
    Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga clic en el icono de lápiz ( icono de lápiz) para abrir un editor específico del parámetro.
    Opción Descripción
    Orígenes Haga clic en Cualquiera en la columna Orígenes y seleccione un grupo de inventario para el tráfico de red de origen, o haga clic en AGREGAR GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
    Destinos Haga clic en Cualquiera en la columna Destinos y seleccione un grupo de inventario para el tráfico de red de destino, o bien haga clic en AGREGAR GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
    Servicios Haga clic en Cualquiera en la columna Servicios y seleccione un servicio en la lista, o bien haga clic en AGREGAR SERVICIO para crear un nuevo servicio definido por el usuario para utilizarlo para esta regla. Haga clic en GUARDAR.
    Se aplica a Defina el tipo de tráfico al que se aplica la regla:
    • Seleccione Interfaz de túnel VPN si desea que la regla se aplique al tráfico a través de la VPN basada en rutas.
    • Seleccione Interfaz de VPC si desea que la regla se aplique al tráfico a través de la conexión de AWS VPC vinculada.
    • Seleccione Interfaz de Internet si desea que la regla se aplique al tráfico a través de la puerta de enlace a Internet del SDDC, incluido el tráfico a través de VPN basadas en directivas que utilizan el endpoint de IP pública.
    • Seleccione Interfaz de intranet si desea que la regla permita el tráfico a través de AWS Direct Connect, VMware Transit Connect, y VPN basadas en directivas mediante IP privada.
    • Seleccione Todos los vínculos superiores si desea que la regla se aplique a la Interfaz de VPC, la Interfaz de Internet y la Interfaz de intranet, pero no a la Interfaz de túnel VPN.
      Nota: La opción Interfaz de túnel VPN no se clasifica como un vínculo superior.
    Acción
    • Seleccione Permitir para permitir que todo el tráfico de capa 3 pase a través del firewall.
    • Seleccione Quitar para quitar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Se trata de una acción silenciosa que no envía notificaciones a los sistemas de origen ni de destino. Cuando un paquete se descarta, hace que la conexión se reintente hasta que se alcance el umbral de reintentos.
    • Seleccione Rechazar para rechazar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Esta acción devuelve un "mensaje de destino inaccesible" al remitente. En el caso de los paquetes TCP, la respuesta incluye un mensaje RST de TCP. Para UDP, ICMP y otros protocolos, la respuesta incluye un código "prohibido de forma administrativa" (9 o 10). Cuando no se puede establecer la conexión, el remitente recibe una notificación de forma inmediata (sin ningún reintento).
    La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
  7. Haga clic en PUBLICAR para crear la regla.

    El sistema proporciona a la nueva regla un valor entero de ID, que se utiliza en las entradas de registro generadas por la regla.

Qué hacer a continuación

Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.

  • Haga clic en el icono de engranaje icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware VMware Aria Operations for Logs. Consulte Usar VMware Aria Operations for Logs en la Guía de operaciones de VMware Cloud on AWS.

  • Haga clic en el icono de gráfico icono de gráfico para ver los aciertos de reglas y las estadísticas de flujo de la regla.
    Tabla 2. Estadísticas de aciertos de reglas
    Índice de popularidad Número de veces que se activó la regla en las últimas 24 horas.
    Recuento de aciertos Número de veces que se activó la regla desde que se creó.
    Tabla 3. Estadísticas de flujo
    Recuento de paquetes Flujo total de paquetes a través de esta regla.
    Recuento de bytes Flujo total de bytes a través de esta regla.
    Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.
  • Reordene las reglas de firewall.

    Una regla creada desde el botón AGREGAR NUEVA REGLA se coloca al principio de la lista de reglas. Las reglas de firewall se aplican en orden descendente. Para cambiar la posición de una regla en la lista, selecciónela y arrástrela a una nueva posición. Haga clic en PUBLICAR para publicar el cambio.