De forma predeterminada, la puerta de enlace de cómputo bloquea el tráfico a todos los vínculos superiores. Agregue reglas de firewall de puerta de enlace de cómputo para permitir el tráfico según sea necesario.

Las reglas de firewall de puerta de enlace de cómputo especifican las acciones que deben realizarse en cuanto al tráfico de red que proviene de un origen determinado y se dirige a un destino especificado. Las acciones pueden implicar permitir (permitir el tráfico) o quitar (quitar todos los paquetes que coinciden con el origen y el destino especificados). El origen y el destino pueden elegirse entre una lista de interfaces de red física, o bien a partir de la especificación genérica Todos los enlaces ascendentes que se aplica a todo el tráfico saliente de la puerta de enlace hacia la interfaz de VPC, la interfaz de Internet o la interfaz de Direct Connect.
Nota: Una regla de firewall que se aplica a Todos los vínculos superiores no rige para la Interfaz de túnel VPN (VPN Tunnel Interface, VTI), que es una interfaz virtual y no un vínculo superior físico. La Interfaz de túnel VPN debe especificarse explícitamente en el parámetro Se aplica a de cualquier regla de firewall que administre la comunicación de la máquina virtual de carga de trabajo mediante una VPN basada en rutas.
La puerta de enlace informática incluye una Regla de VTI predeterminada que descarta todo el tráfico hacia la VTI y una Regla de enlace ascendente predeterminada que quita el tráfico hacia Todos los enlaces ascendentes. Para permitir que las máquinas virtuales de carga de trabajo se comuniquen mediante la VTI, modifique esta regla o bájela a una clasificación inferior en la jerarquía de reglas, de modo que la precedan reglas más permisivas.

Todo el tráfico que intenta atravesar el firewall se somete a las reglas en el orden en el que figuran en la tabla de reglas, comenzando por el principio. Un paquete permitido por la primera regla pasa a la segunda regla y así sucesivamente por las reglas que siguen hasta que el paquete se quita, se rechaza o alcanza una regla predeterminada.

Requisitos previos

Las reglas de firewall de puerta de enlace de cómputo requieren grupos de inventario con nombre para los valores de Origen y Destino. Consulte Agregar o modificar un grupo de cálculo.

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. En la pestaña Redes y seguridad, haga clic en Firewall de puerta de enlace.
  3. En la página FIREWALL DE PUERTA DE ENLACE, haga clic en Puerta de enlace de cómputo.
  4. Para agregar una regla, haga clic en AGREGAR REGLA y asígnele un nombre.
  5. Introduzca los parámetros de la nueva regla.
    Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga clic en el icono de lápiz ( ) para abrir un editor específico del parámetro.
    Opción Descripción
    Orígenes Haga clic en Cualquiera en la columna Orígenes y seleccione un grupo de inventario para el tráfico de red de origen, o haga clic en AGREGAR GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
    Destinos Haga clic en Cualquiera en la columna Destinos y seleccione un grupo de inventario para el tráfico de red de destino, o bien haga clic en CREAR NUEVO GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
    Servicios Haga clic en Cualquiera en la columna Servicios y seleccione un servicio de la lista. Haga clic en GUARDAR.
    Se aplica a Defina el tipo de tráfico al que se aplica la regla:
    • Seleccione Interfaz de túnel VPN si desea que la regla se aplique al tráfico a través de la VPN basada en rutas.
    • Seleccione Interfaz de VPC si desea que la regla se aplique al tráfico a través de la conexión de AWS VPC vinculada.
    • Seleccione Interfaz de Internet si desea que la regla se aplique al tráfico a través de Internet, incluido el tráfico a través de VPN basadas en directivas con IP pública.
    • Seleccione Interfaz de Direct Connect si desea que la regla permita el tráfico a través de AWS Direct Connect (VIF privada), incluidas las VPN basadas en directivas con IP privada.
    • Seleccione Todos los vínculos superiores si desea que la regla se aplique a Interfaz de VPC, Interfaz de Internet e Interfaz de Direct Connect, pero no a Interfaz de túnel VPN.
      Nota: La opción Interfaz de túnel VPN no se clasifica como un vínculo superior.
    Acción
    • Seleccione Permitir para permitir que todo el tráfico de capa 2 y capa 3 pase a través del firewall.
    • Seleccione Quitar para quitar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Se trata de una acción silenciosa que no envía notificaciones a los sistemas de origen ni de destino. Cuando un paquete se descarta, hace que la conexión se reintente hasta que se alcance el umbral de reintentos.
    • Seleccione Rechazar para rechazar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Esta acción devuelve un "mensaje de destino inaccesible" al remitente. En el caso de los paquetes TCP, la respuesta incluye un mensaje RST de TCP. Para UDP, ICMP y otros protocolos, la respuesta incluye un código "prohibido de forma administrativa" (9 o 10). Cuando no se puede establecer la conexión, el remitente recibe una notificación de forma inmediata (sin ningún reintento).
    La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
  6. Haga clic en PUBLICAR para crear la regla.

    El sistema proporciona a la nueva regla un valor entero de ID, que se utiliza en las entradas de registro generadas por la regla.

Qué hacer a continuación

Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.

  • Haga clic en el icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware vRealize Log Insight Cloud. Consulte Usar vRealize Log Insight Cloud en la Guía de operaciones de VMware Cloud on AWS.

  • Haga clic en el icono de gráfico para ver los aciertos de reglas y las estadísticas de flujo de la regla.
    Tabla 1. Estadísticas de aciertos de reglas
    Índice de popularidad Número de veces que se activó la regla en las últimas 24 horas.
    Recuento de aciertos Número de veces que se activó la regla desde que se creó.
    Tabla 2. Estadísticas de flujo
    Recuento de paquetes Flujo total de paquetes a través de esta regla.
    Recuento de bytes Flujo total de bytes a través de esta regla.
    Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.
  • Reordene las reglas de firewall.

    Una regla creada desde el botón AGREGAR NUEVA REGLA se coloca al principio de la lista de reglas. Las reglas de firewall se aplican en orden descendente. Para cambiar la posición de una regla en la lista, selecciónela y arrástrela a una nueva posición. Haga clic en PUBLICAR para publicar el cambio.