Las reglas de firewall distribuido se aplican en el nivel de la máquina virtual y controlan el tráfico de este a oeste dentro del SDDC.

Todo el tráfico que intenta atravesar el firewall distribuido se somete a las reglas en el orden en el que figuran en la tabla de reglas, comenzando por el principio. Un paquete permitido por la primera regla pasa a la segunda regla y así sucesivamente por las reglas que siguen hasta que el paquete se descarta, se rechaza o alcanza la regla predeterminada, la cual permite todo el tráfico.

Las reglas de firewall distribuido se agrupan en directivas. Las directivas están organizadas por categoría. Cada categoría tiene una prioridad de evaluación. Las reglas de una categoría con mayor prioridad se evalúan antes que las reglas en categoría de menor prioridad.
Tabla 1. Categorías de reglas de firewall distribuido
Prioridad de evaluación de categoría Nombre de la categoría Descripción
1 Ethernet Se aplica a todo el tráfico de red del SDDC de nivel 2.
2 Emergencia Se usa para las reglas de cuarentena y permitir
3 Infraestructura Define el acceso a servicios compartidos. Reglas globales, AD, DNS, NTP, DHCP, copia de seguridad y servidores de administración.
4 Entorno Reglas entre zonas de seguridad, como zonas de producción, de desarrollo o dedicadas a fines empresariales específicos.
5 Aplicación Reglas entre aplicaciones, niveles de aplicaciones o microservicios.
Consulte Terminología de seguridad en la Guía de administración de NSX-T Data Center para obtener más información sobre la terminología de firewall distribuido.

Requisitos previos

Las reglas de Firewall distribuido requieren grupos de inventario como orígenes y destinos, y deben aplicarse a un servicio, que puede ser uno predefinido o personalizado que se defina para el SDDC. Puede crear estos grupos y servicios durante la creación de una regla, pero puede acelerar el proceso si se encarga de alguna de antemano. Consulte Agregar o modificar un grupo de cálculo y Agregar un servicio personalizado.

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. Seleccione Redes y seguridad > Firewall distribuido.
    Haga clic en REGLAS ESPECÍFICAS DE CATEGORÍA y seleccione una categoría para ver y modificar las directivas y las reglas de esa categoría, o haga clic en TODAS LAS REGLAS para ver (pero no modificar) las reglas de todas las directivas y categorías.
  3. (opcional) Cambie la estrategia de conectividad predeterminada.
    De forma predeterminada, el firewall distribuido incluye una regla Permitir implícita para todo el tráfico. Esta regla, que no aparece en ninguna lista de reglas, se evalúa después de todas las demás reglas y permite que el tráfico que no coincide con una regla anterior pase a través del firewall. Haga clic en el icono de estrategia de conectividad ( ) para ver una lista de estrategias disponibles. Para cambiar la estrategia actual, seleccione otra y haga clic en GUARDAR. Consulte Seleccionar una estrategia de conectividad predeterminada en la Guía de administración de NSX-T Data Center para obtener más información sobre estrategias de conectividad disponibles.
  4. Para agregar una directiva en la parte superior de la lista, haga clic en AGREGAR DIRECTIVA y asígnele un nombre.

    Para agregar una directiva antes o después de una directiva existente, haga clic en el botón de puntos suspensivos verticales situado al principio de la fila de la directiva para abrir el menú de configuración de directivas y, a continuación, haga clic en Agregar directiva arriba o Agregar directiva debajo.

    De forma predeterminada, se aplica una nueva directiva al firewall distribuido (Distributed Firewall, DFW), pero se pueden especificar uno o varios grupos de inventario para que se aplique a estos en su lugar. El valor SE APLICA A de la directiva se propaga a todas las reglas de esta.

  5. Para agregar una regla, seleccione una directiva, haga clic en AGREGAR NUEVA REGLA y asigne un nombre a la regla.
  6. Introduzca los parámetros de la nueva regla.
    Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga clic en el icono de lápiz ( ) para abrir un editor específico del parámetro.
    Opción Descripción
    Orígenes Haga clic en Cualquiera en la columna Orígenes y seleccione un grupo de inventario para el tráfico de red de origen, o haga clic en AGREGAR GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
    Destinos Haga clic en Cualquiera en la columna Destinos y seleccione un grupo de inventario para el tráfico de red de destino, o bien haga clic en CREAR NUEVO GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
    Servicios Haga clic en Cualquiera en la columna Servicios y seleccione un servicio de la lista. Haga clic en GUARDAR.
    Se aplica a La regla hereda su valor SE APLICA A de la directiva que la contiene.
    Acción
    • Seleccione Permitir para permitir que todo el tráfico de capa 2 y capa 3 pase a través del firewall.
    • Seleccione Quitar para quitar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Se trata de una acción silenciosa que no envía notificaciones a los sistemas de origen ni de destino. Cuando un paquete se descarta, hace que la conexión se reintente hasta que se alcance el umbral de reintentos.
    • Seleccione Rechazar para rechazar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Esta acción devuelve un "mensaje de destino inaccesible" al remitente. En el caso de los paquetes TCP, la respuesta incluye un mensaje RST de TCP. Para UDP, ICMP y otros protocolos, la respuesta incluye un código "prohibido de forma administrativa" (9 o 10). Cuando no se puede establecer la conexión, el remitente recibe una notificación de forma inmediata (sin ningún reintento).
    La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
  7. (opcional) Configure las opciones avanzadas.
    Si desea cambiar la direccionalidad o el comportamiento de registro de la regla, haga clic en el icono de engranaje para abrir la página Configuración.
    Dirección
    Este valor es Entrada/Salida de forma predeterminada, lo que fuerza la aplicación de la regla al tráfico que se dirige al objeto de destino o procede de él. También puede seleccionar Entrada para comprobar únicamente el tráfico hacia el objeto o Salida para comprobar tan solo el tráfico procedente del objeto. Tenga en cuenta que cambiar este valor puede provocar un enrutamiento asimétrico y otras anomalías de tráfico. Por ello, es necesario comprender los resultados probables de todos los orígenes y destinos antes de realizar el cambio.
    Registro
    El registro de reglas nuevas está deshabilitado de forma predeterminada. Deslice el alternador hacia la derecha para habilitar el registro de acciones de regla.
  8. Haga clic en PUBLICAR para crear la regla.

Qué hacer a continuación

Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.

  • Haga clic en el icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware vRealize Log Insight Cloud. Consulte Usar vRealize Log Insight Cloud en la Guía de operaciones de VMware Cloud on AWS.

  • Haga clic en el icono de gráfico para ver las estadísticas de la regla, incluido lo siguiente:
    Índice de popularidad
    Número de veces que se activó la regla en las últimas 24 horas.
    Recuento de aciertos
    Número de veces que se activó la regla desde que se creó.
    Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.
  • Reordene las reglas de firewall.

    Una regla creada desde el botón AGREGAR NUEVA REGLA se coloca al principio de la lista de reglas de la directiva. Las reglas de firewall de cada directiva se aplican en orden descendente. Para cambiar la posición de una regla en la lista, selecciónela y arrástrela a una nueva posición. Haga clic en PUBLICAR para publicar el cambio.