NSX-T Data Center utiliza reglas de firewall para especificar el control de tráfico dentro y fuera de la red.

Firewall presenta varios conjuntos de reglas de configuración: reglas de Capa 3 (pestaña General) y reglas de Capa 2 (pestaña Ethernet). Las reglas de firewall de Capa 2 se procesan antes que las reglas de Capa 3. Puede configurar una lista de exclusión que contenga los conmutadores lógicos, los puertos lógicos o los grupos que se excluirán de la aplicación del firewall.

Las reglas de firewall se aplican de la siguiente manera:

  • Las reglas se procesan siguiendo un orden de arriba a abajo.
  • Cada paquete se compara con la regla principal de la tabla antes de bajar a las reglas subsiguientes de esa tabla.
  • Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico.

No se pueden aplicar las reglas subsiguientes, ya que la búsqueda en ese paquete finaliza. Debido a este comportamiento, se recomienda siempre colocar las directivas más pormenorizadas al principio de la tabla. Esto garantizará que se apliquen antes que otras reglas más específicas.

La regla predeterminada, situada al final de la tabla, es una regla catch-all que aplicará los paquetes que no coincidan con ninguna otra regla. Tras la operación de preparación del host, la acción de la regla predeterminada se establece como Permitir. Esto asegura que la comunicación de máquina virtual a máquina virtual no se interrumpa durante las fases de almacenamiento o migración. Se recomienda cambiar la acción de la regla predeterminada a Bloquear y aplicar el control de acceso mediante un modelo de control positivo (por ejemplo, que solo el tráfico especificado en la regla de firewall se permita en la red).
Nota: TCP estricto se puede habilitar en cada sección para desactivar la recogida de sesiones medias y exigir el requisito de un protocolo de enlace de tres vías. Cuando se habilita el modo TCP estricto en una sección de firewall distribuido en particular y se utiliza una regla de bloqueo ANY-ANY predeterminada, se descartan los paquetes que no completan los requisitos de conexión de protocolo de tres vías y que coinciden con una regla basada en TCP en esta sección. El modo TCP estricto solo se aplica a las reglas de TCP con estado y se habilita en el nivel de la sección de firewall distribuido. TCP estricto no se aplica a los paquetes que coinciden con el permiso ANY-ANY predeterminado, sin especificar ningún servicio TCP.
Tabla 1. Propiedades de una regla de firewall
Propiedad Descripción
Nombre Nombre de la regla de firewall.
ID Identificador único generado por el sistema para cada regla.
Origen El origen de la regla puede ser tanto una dirección IP o MAC como un objeto diferente. El origen coincidirá con cualquiera si no está definido. Tanto IPv4 como IPv6 son compatibles con el rango de origen o destino.
Destino La dirección/máscara de red IP o MAC de destino de la conexión afectada por la regla. El destino coincidirá con cualquiera si no está definido. Tanto IPv4 como IPv6 son compatibles con el rango de origen o destino.
Servicio El servicio puede ser una combinación de protocolos de puertos predeterminados para la Capa 3. Para la Capa 2 puede ser EtherType. Para las Capas 2 y 3, es posible definir de forma manual un nuevo servicio o grupo de servicio. El servicio coincidirá con cualquiera si no se especificó.
Se aplica a Define el ámbito de aplicación de la regla. Si no está definido el ámbito incluirá todos los puertos lógicos. Si agregó "Se aplica a" a una sección, se sobrescribirá la regla.
Registrar Se puede activar o desactivar el registro. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log en los hosts ESX y KVM.
Acción La acción que aplica la regla puede ser Permitir, Quitar o Rechazar. La opción predeterminada es Permitir.
Protocolo IP Las opciones son IPv4, IPv6 e IPv4_IPv6. El valor predeterminado es IPv4_IPv6. Para acceder a esta propiedad, haga clic en el icono Configuración avanzada.
Dirección Las opciones son Entrada, Salida y Entrada/salida. El valor predeterminado es Entrada/salida. Este campo hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. Entrada significa que solo se comprueba el tráfico que entra al objeto, Salida significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones. Para acceder a esta propiedad, haga clic en el icono Configuración avanzada.
Etiquetas de regla Las etiquetas que se han agregado a la regla. Para acceder a esta propiedad, haga clic en el icono Configuración avanzada.
Estadísticas de flujo Campo de lectura que muestra el byte, el recuento de paquetes y las sesiones. Para acceder a esta propiedad, haga clic en el icono de gráfico.
Nota: Si Spoofguard no está habilitado, no se puede garantizar que los enlaces de direcciones detectados automáticamente sean de confianza, ya que una máquina virtual maliciosa puede reclamar la dirección de otra máquina virtual. Si SpoofGuard está habilitado, verifica cada enlace detectado, de forma que solo se presenten los enlaces aprobados.