Puede configurar una regla de firewall basado en aplicaciones o relacionado con el contexto mediante la especificación de objetos de servicio de Capa 7. Una regla de firewall relacionado con el contexto de Capa 7 puede inspeccionar de forma inteligente el contenido de los paquetes.
En este ejemplo, se explica el proceso para crear una regla de firewall de Capa 7 con el objeto de servicio APP_HTTP. Esta regla de firewall permite solicitudes HTTP procedentes de una máquina virtual a cualquier destino. Después de crear la regla de firewall, inicie algunas sesiones HTTP en la máquina virtual de origen encargada de enviar esta regla de firewall y active la supervisión de flujo en una vNIC concreta de la máquina virtual de origen. La regla de firewall detecta el contexto de una aplicación de HTTP y aplica la regla en la máquina virtual de origen.
Requisitos previos
Debe iniciar sesión en
vSphere Web Client con una cuenta que tenga una de las siguientes funciones de
NSX:
Administrador de seguridad
Administrador de NSX
Ingeniero de seguridad
Administrador empresarial
Nota: Asegúrese de tener instalado
NSX Data Center for vSphere 6.4 o alguna versión posterior.
Procedimiento
En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > Firewall.
(opcional) Agregue una sección de reglas de firewall para agrupar reglas de firewall relacionado con el contexto.
Haga clic en Agregar regla (Add Rule).
Cree la regla de firewall relacionado con el contexto.
Introduzca un nombre para identificar esta regla. Por ejemplo, L7_Rule_HTTP_Service.
En la columna Origen (Source), haga clic en el icono Editar (Editar) ().
Se abrirá la página Especificar origen (Specify Source).
En el menú desplegable Tipo de objeto (Object Type), seleccione Máquina virtual (Virtual Machine).
En la lista Objetos disponibles (Available Objects), seleccione la máquina virtual. Traslade este objeto a la lista Objetos seleccionados (Selected Objects) y haga clic en Guardar (Save).
En la columna Destino (Destination), no modifique el valor predeterminado Cualquiera (Any).
En la columna Servicio (Service), haga clic en el icono Editar (Editar) ().
Se abrirá la página Especificar servicio (Specify Service).
En el menú desplegable Tipo de objeto (Object Type), seleccione Servicios (Services).
En la lista Objetos disponibles (Available Objects), seleccione el servicio App_HTTP. Traslade este servicio a la lista Objetos seleccionados (Selected Objects) y haga clic en Guardar (Save).
Asegúrese de que la regla de firewall esté habilitada y la acción de la regla esté establecida en Permitir (Allow).
Haga clic en Publicar (Publish) para que aparezca la configuración de la regla de firewall.
La figura siguiente muestra la regla de firewall creada.
Inicie sesión en la consola de la máquina virtual de origen e inicie el comando wget de Linux para descargar los archivos de Internet mediante HTTP.
En la vNIC de la máquina virtual de origen, active la supervisión de flujo directo para controlar los flujos de tráfico en la máquina virtual de origen.
Desplácese hasta Herramientas (Tools) > Flow Monitoring (Supervisión de flujo).
Seleccione una vNIC concreta en la máquina virtual de origen. Por ejemplo, seleccione l2vpn-client-vm-Network adapter 1.
Haga clic en Iniciar (Start) para ver los datos de supervisión de flujo.
En la figura siguiente, los datos de supervisión de flujo muestran que la regla de firewall ha detectado el contexto de la aplicación (HTTP). Se aplica la regla 1005 en la máquina virtual de origen (10.161.117.238) y el tráfico fluye a las direcciones IP de destino 151.101.129.67 y 151.101.53.67.
Vuelva a la página Firewall y cambie la acción de la regla a Bloquear (Block).
Acceda a la consola de la máquina virtual y vuelva a ejecutar el comando wget.
Tenga en cuenta que la máquina virtual de origen ahora bloqueará las solicitudes HTTP. Debería aparecer el siguiente mensaje de error en la consola de la máquina virtual:
HTTP request sent, awaiting response ... Read error (Connection reset by peer) in headers
Retrying.
La figura siguiente muestra un flujo en el que se ha detectado el contexto de la aplicación (HTTP) y se ha bloqueado en la vNIC de la máquina virtual de origen (10.161.117.238).