Puede crear directivas de seguridad y reglas de DFW para aplicarlas a varias ubicaciones registradas con el Global Manager.
Requisitos previos
Asegúrese de que ya creó las regiones personalizadas que desea utilizar para las reglas de firewall. Consulte Crear una región desde Global Manager.
Procedimiento
- Desde el navegador, inicie sesión con privilegios de administrador empresarial o de seguridad en un Global Manager en https://<dirección-ip-global-manager>.
- Seleccione Seguridad > Firewall distribuido.
- Compruebe que se encuentra en la categoría predefinida correcta y haga clic en Agregar directiva. Para obtener más información sobre las categorías, consulte Firewall distribuido.
Nota: No se admiten Ethernet, categorías de emergencia ni directivas predeterminadas en Global Manager.
- Haga clic en Agregar directiva.
- En Nombre, escriba un nombre para la nueva sección de directiva.
- Haga clic en el icono del lápiz situado junto a Se aplica a para establecer el alcance de esta directiva.
- En el cuadro de diálogo Establecer Se aplica a, puede realizar las siguientes selecciones:
- Región: seleccione los Local Manager a los que se aplicará la directiva. Cada Local Manager se añade automáticamente como una región. También puede crear regiones personalizadas. Consulte Crear una región desde Global Manager.
- Seleccionar Se aplica a: de forma predeterminada, se aplica la directiva a DFW, es decir, la directiva se aplica a todas las cargas de trabajo de los Local Manager en función de la región seleccionada para esta directiva. También puede aplicar la directiva a grupos seleccionados. "Se aplica a" define el alcance de la implementación por directiva, y se utiliza principalmente para la optimización de recursos en hosts ESXi y KVM. Esto ayuda a definir una directiva dirigida para zonas, aplicaciones y tenants específicos sin interferir con otra directiva definida para otros tenants, zonas y aplicaciones. Consulte Directivas y reglas de DFW en NSX-T Data Center 3.0.1 para comprender cómo la extensión de la directiva determina si la regla de DFW es válida o no.
- Para configurar los siguientes ajustes de directiva, haga clic en el icono de rueda dentada:
Opción Descripción TCP estricto Una conexión TCP comienza con un protocolo de enlace de tres vías (SYN, SYN-ACK y ACK) y, por lo general, termina con un intercambio de dos vías (FIN y ACK). En determinadas circunstancias, es posible que el firewall distribuido (Distributed firewall, DFW) no vea el protocolo de enlace de tres vías para un flujo concreto (por ejemplo, porque el tráfico asimétrico o el firewall distribuido están habilitados mientras existe un flujo). De forma predeterminada, el DFW no exige ver un protocolo de enlace de tres vías y recoge sesiones que ya están establecidas. TCP estricto se puede habilitar en cada sección para desactivar la recogida de sesiones medias y exigir el requisito de un protocolo de enlace de tres vías. Cuando se habilita el modo TCP estricto para una determinada directiva de DFW y se utiliza una regla de bloqueo ANY-ANY predeterminada, se descartan los paquetes que no cumplan todos los requisitos de conexión de protocolo de tres vías y que coincidan con una regla basada en TCP de esta sección. El modo TCP estricto solo se aplica a las reglas de TCP con estado y se habilita en el nivel de la sección de firewall distribuido. TCP estricto no se aplica a los paquetes que coinciden con el permiso ANY-ANY predeterminado, sin especificar ningún servicio TCP.
Con estado Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall. Bloqueado La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Cuando bloquea una sección, debe incluir un comentario. Algunas funciones, como el administrador empresarial, tienen credenciales de acceso completo y no se pueden bloquear. Consulte Control de acceso basado en funciones.
- Haga clic en Publicar. Se pueden agregar varias directivas y, a continuación, publicarlas al mismo tiempo.
La nueva directiva se muestra en la pantalla.
- Seleccione una sección de directiva y haga clic en Agregar regla.
- Introduzca un nombre para la regla.
- El origen y el destino se validan en función del intervalo de la directiva de DFW. Consulte Directivas y reglas de DFW en NSX-T Data Center 3.0.1 para obtener más información.
-
Si se aplica la directiva de DFW a una ubicación, por ejemplo, Loc1, el origen o el destino pueden ser la palabra clave ANY o un grupo que pertenezca a Loc1.
-
Si se aplica la directiva de DFW a una región creada por el usuario, por ejemplo, Region1, el origen o el destino pueden ser la palabra clave ANY o un grupo que tenga el mismo rango que Region1 o que abarque una ubicación en Region1.
-
Si se aplica la directiva de DFW a Global, el origen o el destino pueden ser cualquier cosa.
Nota: Active Directory e IDFW no se admiten en NSX Federation, es decir, que no se pueden usar desde el Global Manager.- En la columna Orígenes, haga clic en el icono del lápiz y seleccione el origen de la regla.
- En la columna Destinos, haga clic en el icono del lápiz y seleccione el destino de la regla. Si no está definido, el destino coincidirá con cualquiera.
-
- En la columna Servicios, haga clic en el icono de lápiz y seleccione los servicios. Si no está definido, el servicio coincidirá con cualquiera.
- En la columna Perfiles, haga clic en el icono de edición y seleccione un perfil de contexto, o bien haga clic en Agregar nuevo perfil de contexto. Consulte Agregar un perfil de contexto.
- Haga clic en Aplicar para hacer efectivo el perfil de contexto en la regla.
- De forma predeterminada, la columna Se aplica a se establece como DFW y la regla se aplica en todas las cargas de trabajo. También puede aplicar la regla o la política a un grupo seleccionado. Se aplica a define el alcance de la implementación por regla, y se utiliza principalmente para la optimización de los recursos en hosts ESXi y KVM. Esto ayuda a definir una directiva dirigida para zonas, aplicaciones y tenants específicos sin interferir con otra directiva definida para otros tenants, zonas y aplicaciones.
Nota: No puede seleccionar los siguientes tipos de grupos en Se aplica a:
- un grupo con direcciones IP o MAC
- un grupo de usuarios de Active Directory
- En la columna Acción, seleccione una acción.
Opción Descripción Permitir Permite el acceso directo de todo el tráfico de Capa 3 y Capa 2 con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente. Quitar Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos. Rechazar Rechaza paquetes con el origen, destino y protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito. - Haga clic en el botón de alternancia para habilitar o deshabilitar la regla.
- Haga clic en el icono de engranaje para configurar las siguientes opciones de regla:
Opción Descripción Registro El registro se desactiva de forma predeterminada. Los registros se almacenan en /var/log/dfwpktlogs.log en los hosts ESXi y KVM. Dirección Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. ENTRADA significa que solo se comprueba el tráfico que entra al objeto, SALIDA significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones. Protocolo IP Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6. Etiqueta de registro La etiqueta de registro aparece en el registro del firewall cuando el registro está habilitado. - Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo.
- En cada directiva, haga clic en Comprobar estado para ver el estado de las reglas que contiene por ubicación. Puede hacer clic en Correcto o Error para abrir la ventana de estado de la directiva.
- Haga clic en Comprobar estado para comprobar el estado de realización de las directivas que se aplican a los nodos de transporte en diferentes ubicaciones..