Es posible establecer la opción "Se aplica a" (Applied to) para todas las reglas del firewall creadas a través de Service Composer para el Distributed Firewall o las directivas de los grupos de seguridad. De forma predeterminada, "Se aplica a" (Applied to) se configura para el Distributed Firewall.

Cuando las reglas del firewall de Service Composer tienen una opción de "Se aplica a" (Applied to) para configurar el firewall distribuido, las reglas se aplican a todos los clústeres en los que dicho firewall esté instalado. Si se configuraron las reglas del firewall para aplicarse a los grupos de seguridad de la directiva, usted cuenta con más control granular sobre las reglas del firewall, pero puede necesitar varias directivas de seguridad o reglas del firewall para conseguir el resultado deseado.

Procedimiento

  1. En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > Service Composer.
  2. Haga clic en la pestaña Directivas de seguridad (Security Policies).
  3. Para editar la configuración global del firewall:
    • En NSX 6.4.1 y versiones posteriores, junto a Configuración global del firewall (Global Firewall Settings), haga clic en el icono Editar (Edit) (Editar (Edit)).
    • En NSX 6.4.0, junto a Configuración global (Global Settings), Reglas de firewall aplicadas a (Firewall Rules Applied To), haga clic en Editar (Edit).
  4. Seleccione una configuración predeterminada para "Se aplica a" (Applied to) y haga clic en Aceptar (OK). Este valor determina las vNIC en las que se aplicará la regla de firewall.
    Opción Descripción
    Distributed Firewall Las reglas del firewall se aplican a todos los clústeres en los que el Distributed Firewall está instalado.
    Directivas de grupos de seguridad Las reglas del firewall se aplican a los grupos de seguridad a los que se aplique la directiva de seguridad.
    La configuración predeterminada de "Se aplica a" (Applied to) también se puede ver y se puede cambiar a través de la API. Consulte la Guía de NSX API.

    Tenga en cuenta que al usar las reglas RDSH del firewall, la opción Se aplica a (Applied to) está establecida como Distributed Firewall. No se admite Grupo de seguridad de la directiva (Policy's Security Groups) para la opción Se aplica a (Applied to) de las reglas RDSH.

Ejemplo: Comportamiento de "Se aplica a" (Applied to)

En este escenario de ejemplo, la acción predeterminada de la regla de firewall con cualquier servicio está configurada para el bloqueo. Existen dos grupos de seguridad: web-servers y app-servers, que contienen las máquinas virtuales. Cree una directiva de seguridad, allow-ssh-from-web, que incluya la siguiente regla de firewall y aplíquela a app-servers del grupo de seguridad.
  • Nombre: allow-ssh-from-web
  • Origen: web-servers
  • Destino: directivas de grupos de seguridad
  • Servicio: ssh
  • Acción: permitir

Si la regla de firewall se aplica al Distributed Firewall, podrá realizar la acción ssh desde una máquina virtual en web-servers del grupo de seguridad a una máquina virtual de app-servers del grupo de seguridad.

Si la regla del firewall se aplica al grupo de seguridad de la directiva, no podrá realizar la acción ssh ya que el tráfico se bloquea para alcanzar los servidores de la aplicación. Será necesario crear una directiva de seguridad adicional para permitir la acción ssh para los servidores de la aplicación y aplicar esta directiva a web-servers del grupo de seguridad.

  • Nombre: allow-ssh-to-app
  • Origen: grupo de seguridad de la directiva
  • Destino: app-servers
  • Servicio: ssh
  • Acción: permitir