Para implementar reglas de firewall de puerta de enlace, agregue las reglas en una sección de directiva de firewall que pertenezca a una categoría predefinida.
Procedimiento
- En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
- Seleccione Seguridad > Seguridad de Norte y Sur > Firewall de puerta de enlace
- Para habilitar el firewall de puerta de enlace, seleccione Acciones > Configuración general y alterne el botón de estado. Haga clic en Guardar.
- Haga clic en Agregar directiva. Para obtener más información sobre las categorías, consulte Firewall de puerta de enlace.
- En Nombre, escriba un nombre para la nueva sección de directiva.
- En Destino, seleccione el destino de la directiva.
- Haga clic en el icono de engranaje para establecer la siguiente configuración de directiva:
Configuración Descripción TCP estricto Una conexión TCP comienza con un protocolo de enlace de tres vías (SYN, SYN-ACK y ACK) y, por lo general, termina con un intercambio de dos vías (FIN y ACK). En determinadas circunstancias, es posible que el firewall no vea el protocolo de enlace de tres vías para un flujo concreto (por ejemplo, debido al tráfico asimétrico). De forma predeterminada, el firewall obliga a un protocolo de enlace de tres vías y realizará sesiones de recogida que ya estén establecidas. Se puede habilitar el modo TCP estricto en cada sección para desactivar la recogida de sesiones medias y exigir el requisito de un protocolo de enlace de tres vías. Cuando se habilita el modo TCP estricto para una determinada directiva y se utiliza una regla de bloqueo ANY-ANY predeterminada, se descartan los paquetes que no cumplan todos los requisitos de conexión de protocolo de tres vías y que coincidan con una regla basada en TCP de esta sección. El modo TCP estricto solo se aplica a las reglas de TCP con estado y se habilita en el nivel de la sección de firewall de puerta de enlace. TCP estricto no se aplica a los paquetes que coinciden con el permiso ANY-ANY predeterminado, sin especificar ningún servicio TCP. Con estado Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall. Bloqueado La directiva se puede bloquear para impedir que varios usuarios realicen cambios en las mismas secciones. Cuando bloquea una sección, debe incluir un comentario. - Haga clic en Publicar. Se pueden agregar varias directivas y, a continuación, publicarlas al mismo tiempo.
La nueva directiva se muestra en la pantalla.
- Seleccione una sección de directiva y haga clic en Agregar regla.
- Introduzca un nombre para la regla. Se admiten direcciones IPv4, IPv6 y de multidifusión.
- En la columna Orígenes, haga clic en el icono de edición y seleccione el origen de la regla. Consulte Agregar un grupo para obtener más información.
- En la columna Destinos, haga clic en el icono de edición y seleccione el destino de la regla. Si no está definido, el destino coincidirá con cualquiera. Consulte Agregar un grupo para obtener más información.
- En la columna Servicios, haga clic en el icono de lápiz y seleccione los servicios. Si no está definido, el servicio coincidirá con cualquiera.
- En la columna Perfiles, haga clic en el icono de edición y seleccione un perfil de contexto, o bien haga clic en Agregar nuevo perfil de contexto. Consulte Agregar un perfil de contexto.
- Los perfiles de contexto no se admiten en la directiva de firewall de puerta de enlace de nivel 0.
- No se pueden utilizar perfiles de contexto con atributos de FQDN u otros subatributos en las reglas de firewall de puerta de enlace.
- Haga clic en Aplicar.
- La columna Se aplica a define el ámbito de aplicación por regla y permite a los usuarios aplicar reglas de forma selectiva a una o varias interfaces de vínculo superior o interfaces de servicio. De forma predeterminada, las reglas de firewall de puerta de enlace se aplican a todos los vínculos superiores e interfaces de servicio disponibles en una puerta de enlace seleccionada.
- En la columna Acción, seleccione una acción.
Opción Descripción Permitir Permite todo el tráfico con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente. Quitar Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos. Rechazar Rechaza paquetes con el origen, destino y protocolo especificados. Al rechazar un paquete, se envía al remitente un mensaje de destino inaccesible. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Después de un intento, se envía una notificación a la aplicación de envío para indicarle que no se puede establecer conexión.
- Haga clic en el botón de alternancia de estado para habilitar o deshabilitar la regla.
- Haga clic en el icono de engranaje para establecer el registro, la dirección, el protocolo IP y los comentarios.
Opción Descripción Registro Se puede activar o desactivar el registro. Los registros se almacenan en /var/log/syslog en la instancia de Edge. Dirección Las opciones son Entrada, Salida y Entrada/salida. El valor predeterminado es Entrada/salida. Este campo hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. Entrada significa que solo se comprueba el tráfico que entra al objeto, Salida significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones. Protocolo IP Las opciones son IPv4, IPv6 e IPv4_IPv6. El valor predeterminado es IPv4_IPv6. Nota: Haga clic en el icono de gráfico para ver las estadísticas de flujo de la regla de firewall. Puede ver información como la cantidad de bytes, el recuento de paquetes y las sesiones. - Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo.
- En cada sección de la directiva, haga clic en el icono de información para ver el estado actual de las reglas de firewall de Edge que se envían a los nodos de Edge. También se muestran las alarmas generadas cuando se insertan las reglas en los nodos de Edge.
- Para ver el estado consolidado de las reglas de directiva que se aplican a los nodos de Edge, realice la llamada API.
GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true