Las reglas de firewall se agregan en el ámbito de NSX Manager. Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.

Requisitos previos

Si va a agregar una regla basada en un objeto de VMware vCenter, asegúrese de que VMware Tools esté instalado en las máquinas virtuales. Consulte Guía de instalación de NSX.

Las máquinas virtuales que migran de la versión 6.1.5 a la versión 6.2.3 no ofrecen compatibilidad con ALG de TFTP. Para habilitar la compatibilidad con ALG de TFTP después de migrar, agregue y quite la máquina virtual de la lista de exclusión o reinicie la máquina virtual. Así, se creará un nuevo filtro para la versión 6.2.3 que habilita la compatibilidad con ALG de TFTP.

Nota: Requisitos para las reglas de firewall basadas en la identidad:
  • Se hayan registrado uno o varios dominios en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.
  • Se haya creado un grupo de seguridad basado en objetos de Active Directory que pueda utilizarse como origen o destino de la regla. Consulte Crear un grupo de seguridad.
  • El servidor de Active Directory debe estar integrado con NSX Manager.
  • Los hosts deben tener habilitado DFW y deben estar actualizados a NSX 6.4.0.
  • Las máquinas de invitados deben ejecutar una versión actualizada de VMware Tools.
  • La versión de SVM de GI debe ser 6.4 o una posterior.
  • La regla debe crearse en una nueva sección de reglas de firewall.
  • La regla debe tener seleccionada la opción Habilitar la identidad del usuario en el origen (Enable User Identity at Source).
  • El campo Se aplica a (Applied to) no se admite para las reglas de acceso a escritorios remotos.
  • IDFW de RDSH no admite ICMP.
Nota: Requisitos de las reglas de firewall universales:

En un entorno de Cross-vCenter NSX, las reglas universales hacen referencia a las reglas de Distributed Firewall que se definieron en la instancia principal de NSX Manager en la sección de reglas universales. Estas reglas se replican a todas las instancias secundarias de NSX Manager en el entorno, lo que permite mantener una directiva de firewall coherente dentro de los límites de vCenter. La instancia principal de NSX Manager puede contener varias secciones universales para las reglas universales de Capa 2 y varias secciones universales para las reglas universales de Capa 3. Las secciones universales están encima de todas las secciones de Service Composer y locales. En las instancias secundarias de NSX Manager, las secciones universales y las reglas universales se pueden ver pero no editar. La ubicación de la sección universal con respecto a la sección local no afecta la prioridad de las reglas.

Las reglas de Edge Firewall no son compatibles con vMotion entre varias instancias de vCenter Server.

Tabla 1. Objetos compatibles con las reglas de firewall universales
Origen y destino Se aplica a (Applied To) Servicio (Service)
  • conjunto de direcciones MAC universales
  • conjunto de direcciones IP universales
  • grupo de seguridad universal, que puede contener una etiqueta de seguridad universal, un conjunto de direcciones IP o MAC, o un grupo de seguridad universal
  • grupo de seguridad universal, que puede contener una etiqueta de seguridad universal, un conjunto de direcciones IP o MAC, o un grupo de seguridad universal
  • conmutador lógico universal
  • Distributed Firewall: las reglas se aplican a todos los clústeres en los que se instaló el Distributed Firewall
  • servicios universales creados previamente y grupos de servicios
  • servicios universales creados por el usuario y grupos de servicios
Tenga en cuenta que no se admiten otros objetos de vCenter para las reglas universales.

Compruebe que el estado de Distributed Firewall de NSX no esté en modo de compatibilidad con versiones anteriores. Para comprobar el estado actual, utilice la llamada API de REST GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. Si el estado actual es el modo de compatibilidad con versiones anteriores, puede cambiar el estado al modo de reenvío mediante la llamada de REST API PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. No intente publicar una regla de Distributed Firewall cuando el Distributed Firewall esté en modo de compatibilidad con versiones anteriores.

Procedimiento

  1. En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > Firewall.
  2. Para agregar una regla de Capa 3, Capa 4 o Capa 7, asegúrese de que está en la pestaña Configuración (Configuration) > General. Haga clic en la pestaña Ethernet para agregar una regla de Capa 2.
    Si crea una regla de firewall universal, créela en una sección de reglas universales.
  3. Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en editar.
  4. Escriba el nombre de la nueva regla.