El firewall relacionado con el contexto está destinado para casos de tráfico este-oeste y no para una clasificación general de exploración web. Las aplicaciones pueden estar limitadas a las específicas usadas en el centro de datos, como SSH, FTP, TFTP, SQL, DNS y PCoIP, entre otras.

A continuación, aparecen algunos casos de uso de un firewall relacionado con el contexto:

  • Caso de uso 1: Don, el director de TI de un equipo, solicita a su administrador de NSX que restrinja TODO el tráfico HTTP de una máquina virtual en concreto. Don quiere restringir este tráfico, independientemente del puerto del que venga.
  • Caso de uso 2: Robert, el jefe de TI de un equipo, quiere restringir el tráfico HTTP que se dirige a una máquina virtual en concreto, con la condición de que el tráfico no venga del puerto TCP 8080.
  • Caso de uso 3: Ahora que hay un firewall relacionado con el contexto, se puede ampliar también a los inicios de sesión basados en identidad, como los usuarios de Active Directory que inician sesión en su escritorio virtual, para que solo tengan acceso a las solicitudes HTTP del puerto 8080. Un administrador desea que su empleado John pueda acceder únicamente a HTTP desde el puerto 8080 y solo cuando John tenga la sesión iniciada en Active Directory.

Escenario 1: Permitir el tráfico web en un puerto específico

Es posible que quiera que el tráfico web solo se permita en el puerto 80.

Para crear una regla de firewall relacionado con el contexto, realice los siguientes pasos:

  1. Agregue una nueva sección de reglas de firewall, si es necesario.
  2. Cree una regla de firewall que diga HTTP al servidor web (HTTP to Web Server).
  3. Seleccione el servidor web requerido como el Destino (Destination).
  4. Cree un servicio para identificar la aplicación con los siguientes parámetros:
    Parámetro Opción
    Capa Layer7
    ID de la aplicación HTTP
    Protocolo (Protocol) TCP
    Puerto de destino 80
  5. Cambie la regla predeterminada del firewall a Bloquear (Block).
  6. Publique los cambios.

Con la regla del firewall relacionado con el contexto, el único tráfico que se permite es el Web en el puerto 80.

Escenario 2: Permitir el tráfico SSH en cualquier puerto

Es posible que quiera permitir el tráfico SSH en cualquier puerto.

Realice los siguientes pasos para crear una regla del firewall relacionado con el contexto:

  1. Agregue una nueva sección de reglas de firewall, si es necesario.
  2. Cree una regla de firewall que diga SSH al servidor SSH (SSH to SSH Server).
  3. Seleccione el servidor SSH requerido como el Destino (Destination).
  4. Cree un servicio para identificar la aplicación con los siguientes parámetros:
    Parámetro Opción
    Capa Layer7
    ID de la aplicación SSH
    Protocolo (Protocol) TCP
    Puerto de destino Dejar el cuadro de texto en blanco
  5. Cambie la regla predeterminada del firewall a Bloquear (Block).
  6. Publique los cambios.

Con la regla del firewall relacionado con el contexto, el único tráfico que se permite es el SSH en cualquier puerto.

Ejemplo

Para obtener todos los pasos sobre cómo crear una regla de firewall relacionado con el contexto mediante el uso de vSphere Web Client, consulte Ejemplo: Crear una regla de firewall relacionado con el contexto.