NSX-T Data Center utiliza reglas de firewall para especificar el control de tráfico dentro y fuera de la red.
Firewall presenta varios conjuntos de reglas de configuración: reglas de Capa 3 (pestaña General) y reglas de Capa 2 (pestaña Ethernet). Las reglas de firewall de capa 2 se procesan antes que las reglas de capa 3 y, si se permiten en las reglas de capa 2, serán procesadas por las reglas de capa 3. Puede configurar una lista de exclusión que contenga los conmutadores lógicos, los puertos lógicos o los grupos que se excluirán de la aplicación del firewall.
Las reglas de firewall se aplican de la siguiente manera:
- Las reglas se procesan siguiendo un orden de arriba a abajo.
- Cada paquete se compara con la regla principal de la tabla antes de bajar a las reglas subsiguientes de esa tabla.
- Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico.
No se pueden aplicar las reglas subsiguientes, ya que la búsqueda en ese paquete finaliza. Debido a este comportamiento, se recomienda siempre colocar las directivas más pormenorizadas al principio de la tabla. Esto garantizará que se apliquen antes que otras reglas más específicas.
Propiedad | Descripción |
---|---|
Nombre | Nombre de la regla de firewall. |
ID | Identificador único generado por el sistema para cada regla. |
Origen | El origen de la regla puede ser tanto una dirección IP o MAC como un objeto diferente. El origen coincidirá con cualquiera si no está definido. Tanto IPv4 como IPv6 son compatibles con el rango de origen o destino. |
Destino | La dirección/máscara de red IP o MAC de destino de la conexión afectada por la regla. El destino coincidirá con cualquiera si no está definido. Tanto IPv4 como IPv6 son compatibles con el rango de origen o destino. |
Servicio | El servicio puede ser una combinación de protocolos de puertos predeterminados para la Capa 3. Para la Capa 2 puede ser EtherType. Para las Capas 2 y 3, es posible definir de forma manual un nuevo servicio o grupo de servicio. El servicio coincidirá con cualquiera si no se especificó. |
Se aplica a | Define el ámbito de aplicación de la regla. Si no está definido el ámbito incluirá todos los puertos lógicos. Si agregó "Se aplica a" a una sección, se sobrescribirá la regla. |
Registrar | Se puede activar o desactivar el registro. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log en los hosts ESX y KVM. |
Acción | La acción que aplica la regla puede ser Permitir, Quitar o Rechazar. La opción predeterminada es Permitir. |
Protocolo IP | Las opciones son IPv4, IPv6 e IPv4_IPv6. El valor predeterminado es IPv4_IPv6. Para acceder a esta propiedad, haga clic en el icono Configuración avanzada. |
Dirección | Las opciones son Entrada, Salida y Entrada/salida. El valor predeterminado es Entrada/salida. Este campo hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. Entrada significa que solo se comprueba el tráfico que entra al objeto, Salida significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones. Para acceder a esta propiedad, haga clic en el icono Configuración avanzada. |
Etiquetas de regla | Las etiquetas que se han agregado a la regla. Para acceder a esta propiedad, haga clic en el icono Configuración avanzada. |
Estadísticas de flujo | Campo de lectura que muestra el byte, el recuento de paquetes y las sesiones. Para acceder a esta propiedad, haga clic en el icono de gráfico. |