Puede agregar reglas de firewall de Edge definidas por el usuario en las puertas de enlace de servicios NSX Edge para aceptar, rechazar o denegar tipos específicos de tráfico. Sin embargo, no puede agregar reglas de firewall definidas por el usuario en un enrutador lógico distribuido.
La interfaz del firewall de Edge le permite agregar una regla de firewall de Edge a través de los métodos siguientes:
Agregue una regla encima o debajo de una regla que ya aparezca en la tabla del firewall.
Agregue una regla al copiar una regla existente.
Agregue una regla al hacer clic en el icono Agregar (Add).
Recordatorio: Si creó reglas de firewall distribuido y las aplicó a Edge, se mostrarán en modo
Solo lectura (Read-only) dentro de la interfaz de usuario del firewall de Edge. No obstante, las reglas de firewall de Edge que cree a través de la interfaz de usuario del firewall de Edge no aparecerán en la interfaz del firewall que utilizara para crear las reglas de firewall distribuido
(Redes y seguridad [Networking & Security] > Seguridad [Security] > Firewall [Firewall]).
Procedimiento
Inicie sesión en vSphere Web Client.
Haga clic en Redes y seguridad (Networking & Security) > NSX Edge.
Haga doble clic en un dispositivo NSX Edge.
Haga clic en Administrar (Manage) > Firewall (Firewall).
Utilice cualquiera de los tres métodos siguientes para empezar a agregar una regla de firewall de Edge.
Método 1: Agregue una regla encima o debajo de una regla existente en la tabla de Firewall.
NSX establece el valor "cualquiera" (any) para las columnas Origen (Source), Destino (Destination) y Servicio (Service) de la regla que acaba de agregar. Si la regla generada por el sistema es la única regla que aparece en la tabla del firewall, la regla nueva se agregará encima de la regla predeterminada. La nueva regla está habilitada de forma predeterminada.
Versión de NSX
Pasos
6.4.6 y posteriores
Seleccione una regla.
Haga clic en el y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).
6.4.5 y versiones anteriores
Seleccione una regla.
En la columna N.º (No.), haga clic en (Add) y seleccione Agregar arriba (Add Above) o Agregar debajo (Add Below).
Método 2: Agregue una regla al copiar una regla existente.
En NSX 6.4.5 y versiones anteriores, puede crear reglas al copiarlas de una en una. A partir de NSX 6.4.6, puede seleccionar varias reglas para copiarlas a la vez. Las reglas copiadas se habilitan de forma predeterminada y puede editar sus propiedades cuando sea necesario.
Nota: Cuando copia y pega reglas "Internas" (Internal) generadas por el sistema y reglas "Predeterminadas" (Default), a las reglas nuevas que se crean se les asigna automáticamente el tipo de regla "Usuario" (User).
Versión de NSX
Pasos
6.4.6 y posteriores
Seleccione la casilla de verificación situada junto a las reglas que quiera copiar.
Haga clic en More (Más) > Copiar reglas seleccionadas (Copy Selected Rule[s]).
Seleccione la regla en la que quiere que se peguen las reglas copiadas.
Haga clic en el y seleccione Pegar reglas arriba (Paste Rule[s] Above) o Pegar reglas debajo (Paste Rule[s] Below).
6.4.5 y versiones anteriores
Seleccione una regla.
Haga clic en el icono Copiar (Copy) () o , y seleccione Copiar (Copy).
Seleccione la regla en la que quiere que se pegue la regla copiada.
En la columna N.º (No.), haga clic en y seleccione Pegar arriba (Paste Above) o Pegar debajo (Paste Below).
Método 3: Para agregar una regla, haga clic en el icono
Agregar (Add) (
o
).
Se agregará una fila a la tabla del firewall. NSX establece el valor "cualquiera" (any) para las columnas Origen (Source), Destino (Destination) y Servicio (Service) de la regla que acaba de agregar. Si la regla generada por el sistema es la única regla que aparece en la tabla del firewall, la regla nueva se agregará encima de la regla predeterminada. La nueva regla está habilitada de forma predeterminada.
(opcional) Indique un nombre de regla.
En NSX 6.4.6 y versiones posteriores, coloque el puntero sobre la columna Nombre (Name) de la regla nueva e introduzca un nombre de regla.
En NSX 6.4.5 y versiones anteriores, coloque el puntero sobre la columna Nombre (Name) de la regla nueva y haga clic en . Introduzca un nombre de regla y haga clic en Aceptar (OK).
(opcional) Especifique el origen de la regla de firewall.
Puede agregar direcciones IP, objetos de vCenter y objetos de agrupación como origen. Si no agrega un origen, se establecerá la opción "cualquiera" (any). Puede agregar varias interfaces de
NSX Edge y grupos de direcciones IP como origen de las reglas de firewall.
También puede crear un conjunto de direcciones IP, o bien un grupo de seguridad. Una vez creada la opción que elija, se agregará automáticamente a la columna Origen (Source) de la regla.
Seleccione uno o varios objetivos que quiera utilizar como orígenes de la regla de firewall.
Versión de NSX
Pasos
6.4.6 y posteriores
Siga estos pasos para seleccionar objetos:
Coloque el puntero sobre la columna Origen (Source) de la regla y haga clic en .
En la pestaña Objetos (Objects), seleccione el tipo de objeto en el menú desplegable Tipo de objeto (Object Type).
Seleccione los objetos de la lista Objetos disponibles (Available Objects) y muévalos a la lista Objetos seleccionados (Selected Objects).
6.4.5 y versiones anteriores
Siga estos pasos para seleccionar objetos:
Coloque el puntero sobre la columna Origen (Source) de la regla y haga clic en .
Seleccione un tipo de objeto del menú desplegable Tipo de objeto (Object Type).
Seleccione los objetos de la lista Objetos disponibles (Available Objects) y muévalos a la lista Objetos seleccionados (Selected Objects).
Por ejemplo, en las dos situaciones siguientes, puede utilizar el tipo de objeto "Grupo de vNIC" (vNIC Group) como origen:
Seleccionar todo el tráfico que genera la instancia de NSX Edge
En esta situación, seleccione
Grupo de vNIC (vNIC Group) en el menú desplegable
Tipo de objeto (Object Type) y, en la lista
Objetos disponibles (Available Objects), seleccione
vse.
Seleccionar todo el tráfico que se origina en cualquier interfaz interna o de enlace ascendente (externa) de la instancia de NSX Edge seleccionada
En esta situación, seleccione
Grupo de vNIC (vNIC Group) en el menú desplegable
Tipo de objeto (Object Type) y, en la lista
Objetos disponibles (Available Objects), seleccione
interno (internal) o
externo (external).
La regla se actualiza automáticamente cuando se configuran interfaces adicionales en la instancia de Edge.
Recordatorio: Las reglas de firewall definidas en las interfaces internas no funcionan en un enrutador lógico distribuido.
Introduzca las direcciones IP que quiere utilizar como origen de la regla de firewall.
Puede introducir varias direcciones IP. Para ello, utilice una lista separada por comas o introduzca un rango de direcciones IP. Se admiten direcciones IPv4 e IPv6.
En NSX 6.4.6 y versiones posteriores, haga clic en . Haga clic en la pestaña Direcciones IP (IP Addresses) y, a continuación, en Agregar (Add) para introducir direcciones IP.
En NSX 6.4.5 y versiones anteriores, haga clic en e introduzca las direcciones IP.
(opcional) Establezca como negativos los orígenes indicados en la regla de firewall.
Si activa la opción Origen negativo (Negate Source), la regla se aplicará al tráfico procedente de todos los orígenes, excepto los orígenes especificados en esta regla.
Si desactiva Origen negativo (Negate Source) o selecciona esta opción, la regla se aplicará al tráfico procedente de los orígenes especificados en esta regla.
(opcional) Indique el destino de la regla de firewall.
Puede agregar direcciones IP, objetos de vCenter y objetos de agrupación como destino. Si no agrega un destino, se establecerá la opción "cualquiera" (any). Puede agregar varias interfaces de
NSX Edge y grupos de direcciones IP como destino de las reglas de firewall.
El procedimiento para agregar objetos y direcciones IP al destino de la regla es el mismo que se ha explicado en los pasos secundarios para agregar el origen de la regla.
Sugerencia: A partir de
NSX 6.4.6, puede arrastrar objetos y direcciones Ip desde la columna
Origen (Source) hasta la columna
Destino (Destination) y viceversa. Además, puede arrastrar objetos y direcciones IP de una regla a otra.
(opcional) Especifique el servicio que quiere utilizar en la regla de firewall.
Agregue uno o varios servicios o grupos de servicios a la regla de firewall.
Puede agregar un servicio predefinido o un grupo de servicios a la regla, o bien crear un servicio o un grupo de servicios para usarlos en la regla.
NSX Edge solo es compatible con los servicios definidos con protocolos de Capa 3.
Versión de NSX
Pasos
6.4.6 y posteriores
Coloque el puntero sobre la columna Servicio (Service) de la nueva regla y haga clic en .
En la pestaña Servicio/grupos de servicio (Service/Service Groups), seleccione un servicio o un grupo de servicios en el menú desplegable Tipo de objeto (Object Type).
Seleccione los objetos de la lista Objetos disponibles (Available Objects) y muévalos a la lista Objetos seleccionados (Selected Objects).
6.4.5 y versiones anteriores
Coloque el puntero sobre la columna Servicio (Service) de la nueva regla y haga clic en .
En el menú desplegable Tipo de objeto (Object Type), seleccione un servicio o un grupo de servicios.
Seleccione los objetos de la lista Objetos disponibles (Available Objects) y muévalos a la lista Objetos seleccionados (Selected Objects).
Sugerencia: En
NSX 6.4.6 y versiones posteriores, puede arrastrar objetos de servicio y grupos de servicios de una regla definida por el usuario a otra.
Agregue uno o varios servicios a la regla de firewall como una combinación de puerto y protocolo.
Restricción: El protocolo de transmisión de control de flujo (Stream Control Transmission Protocol, SCTP) no es compatible con el firewall de Edge.
Versión de NSX
Pasos
6.4.6 y posteriores
Coloque el puntero sobre la columna Servicio (Service) de la nueva regla y haga clic en .
Haga clic en la pestaña Protocolo y puerto sin formato (Raw Port-Protocol) y, a continuación, en Agregar (Add).
Seleccione un protocolo.
En la columna Puerto de origen (Source Port), introduzca los números del puerto.
6.4.5 y versiones anteriores
Coloque el puntero sobre la columna Servicio (Service) de la nueva regla y haga clic en .
Seleccione un protocolo.
Expanda Opciones avanzadas (Advanced Options) e introduzca los números del puerto de origen.
Especifique la acción de la regla.
En NSX 6.4.6 y versiones posteriores, seleccione una acción en el menú desplegable.
En NSX 6.4.5 y versiones anteriores, coloque el puntero sobre la columna Acción (Action) de la regla y haga clic en . Seleccione una opción y haga clic en Aceptar (OK).
La siguiente tabla describe las acciones de la regla.
Acción
Descripción (Description)
Aceptar (Accept) o Permitir (Allow)
Permite el tráfico que procede de los orígenes, los destinos y los servicios especificados o que se dirige a ellos. La acción que se establece de forma predeterminada es Aceptar (Accept).
Denegar (Deny) o Bloquear (Block)
Bloquea el tráfico que procede de los orígenes, los destinos y los servicios especificados o que se dirige a ellos.
Rechazar (Reject)
Envía un mensaje de rechazo para paquetes no aceptados.
Se envían paquetes RST para conexiones TCP.
Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP.
(opcional) Indique si se deben registrar las sesiones que coincidan con esta regla de firewall nueva.
De forma predeterminada, el registro está deshabilitado para la regla. Si el registro se habilita, el rendimiento puede verse afectado.
En NSX 6.4.6 y versiones posteriores, haga clic en el interruptor de la columna Registrar (Log) para habilitar esta acción.
En NSX 6.4.5 y versiones anteriores, coloque el puntero sobre la columna Acción (Action) de la regla nueva y haga clic en . Seleccione Registrar (Log) o No registrar (Do not Log).
(opcional) Indique los ajustes avanzados de la regla de firewall.
En NSX 6.4.6 y versiones posteriores, haga clic en el icono Ajustes avanzados (Advanced Settings) ().
En NSX 6.4.5 y versiones anteriores, coloque el puntero sobre la columna Acción (Action) de la regla nueva y haga clic en . Expanda las opciones Avanzadas (Advanced).
La siguiente tabla describe las opciones avanzadas.
Opción
Descripción
Dirección
Elija si la regla se debe aplicar al tráfico entrante, al saliente o a ambos. El valor predeterminado es "Entrante/saliente" (In/Out), lo que significa que la regla se aplica de forma simétrica tanto al origen como al destino.
VMware no recomienda especificar la dirección de las reglas de firewall, ya que la dirección "Entrante" (In) o "Saliente" (Out) puede provocar que las reglas sean asimétricas.
Por ejemplo, crea una regla de firewall para "permitir" tráfico del origen A al destino B y establece la opción "Saliente" (Out) para la dirección de la regla.
Cuando A envía un paquete a B, se crea un estado en A basado en esta regla porque la dirección del tráfico está establecido en "Saliente" (Out) en A.
Cuando B recibe el paquete, la dirección real del tráfico es "Entrante" (In). Como la dirección de la regla está configurada para aceptar solo "tráfico saliente", la regla no se aplica a este paquete en B.
En este ejemplo, se demuestra que establecer "Saliente" (Out) para la dirección de la regla provoca que la regla sea asimétrica.
Coincidencia con
Utilice esta opción para especificar cuándo se debe aplicar la regla de firewall.
Seleccione Original (Original) si quiere que la regla se aplique a la dirección IP y los servicios originales antes de que se traduzcan las direcciones de red.
Seleccione Traducción (Translated) si quiere que la regla se aplique a la dirección IP y los servicios traducidos después de que se traduzcan las direcciones de red.
Haga clic en Publicar cambios (Publish Changes) para enviar la nueva regla a la instancia de NSX Edge.
Ejemplo: Ejemplo de reglas de firewall
Qué hacer a continuación
Mientras utiliza reglas de firewall de Edge, puede realizar varias tareas adicionales en la tabla del firewall. Por ejemplo:
Filtre la lista de reglas de la tabla. Para ello, oculte las reglas internas y predeterminadas generadas por el sistema, o bien las reglas de firewall distribuido predefinidas que se aplicaron a la instancia de Edge.
Busque las reglas que coincidan con una cadena específica mediante el cuadro de texto Buscar (Search). Por ejemplo, si quiere buscar todas las reglas que contengan la cadena "133", introduzca 133 en el cuadro de texto Buscar (Search).
Consulte las estadísticas de las reglas publicadas.
En NSX 6.4.6 y versiones posteriores, haga clic en el icono Estadísticas (Statistics) ().
En NSX 6.4.5 y versiones anteriores, asegúrese de que la columna Estadísticas (Stats) aparezca en la tabla del firewall. Si no se muestra la columna Estadísticas (Stats), haga clic en y seleccione la columna Estadísticas (Stats). Para ver las estadísticas de la regla, haga clic en .
Cambie el orden de las reglas definidas por el usuario haciendo clic en Mover hacia arriba (Move Up) ( o ) o Mover hacia abajo (Move Down) ( o ). En NSX 6.4.6 y versiones posteriores, puede arrastrar reglas definidas por el usuario para cambiar su orden. Coloque el puntero sobre la regla definida por el usuario que quiera arrastrar. Aparecerá un icono de control de arrastre () a la izquierda de la regla. Haga clic en el icono y arrástrelo para mover la regla hasta una ubicación válida de la tabla del firewall.
Importante: No puede cambiar el orden de las reglas internas generadas por el sistema ni de la regla predeterminada.
Deshabilite una regla.
En NSX 6.4.6 y versiones posteriores, haga clic en el interruptor situado a la izquierda del nombre de la regla.
En NSX 6.4.5 y versiones anteriores, haga clic en en la columna N.º (No.).
Deshaga y rehaga los cambios hasta que se publique la regla. Esta función está disponible en NSX 6.4.6 y versiones posteriores. Después de que se publique la regla, se perderá el historial de cambios de la regla y no podrá deshacer ni rehacer los cambios.