Una sección de regla de firewall se edita y guarda de manera independiente; se utiliza para aplicar diferentes configuraciones de firewall en los arrendatarios.

Requisitos previos

Compruebe que el modo Manager esté seleccionado en la interfaz de usuario de NSX Manager. Consulte NSX Manager. Si no ve los botones de los modos Directiva y Manager, consulte Configurar los ajustes de interfaz de usuario.

Procedimiento

  1. Seleccione Seguridad > Firewall distribuido.
  2. Haga clic en la pestaña General para las reglas de Capa 3 o en la pestaña Ethernet para las reglas de Capa 2.
  3. Haga clic en una regla o una sección.
  4. Haga clic en el icono de la sección en la barra de menús y seleccione Agregar sección de arriba o Agregar sección de abajo.
    Nota: Si el tráfico intenta acceder a través del firewalll, la información del paquete está sujeta a las reglas en el orden que aparece en la Tabla de reglas, comenzando por el principio hasta las reglas predeterminadas situadas al final. En algunos casos, el orden de prioridad de dos o más reglas puede ser importante a la hora de determinar la disposición del paquete.
  5. Escriba el nombre de la sección.
  6. Para configurar el firewall sin estado, seleccione Habilitar firewall sin estado. Esta opción solo se aplica a la Capa 3.
    Los firewalls sin estado inspeccionan el tráfico de red y restringen o bloquean paquetes en base a las direcciones de origen y destino u otros valores de estado. Para los flujos TCP y UDP, después del primer paquete, se crea y se mantiene una memoria caché para la tupla de tráfico en cualquier de ambas direcciones si el resultado del firewall es ALLOW. Esto significa que el tráfico ya no necesita comprobar las reglas del firewall, lo que provoca una latencia más baja. Por tanto, los firewalls sin estado son generalmente más rápidos y logran un mejor rendimiento durante cargas de tráfico más altas.

    Los firewalls con estado pueden inspeccionar los flujos de tráfico de un extremo a otro. Siempre se consultará al firewall para cada paquete con el objeto de validar el estado y los números de secuencia. Los firewalls con estado son mejores a la hora de identificar comunicaciones no autorizadas y falsificadas.

    No es posible alternar entre con o sin estado una vez definido.
  7. Seleccione uno o varios objetos para aplicarlos a la sección.
    Los tipos de objetos son puertos lógicos, conmutadores lógicos y NSGroups. Si selecciona un grupo NSGroup, este debe contener uno o varios conmutadores lógicos o puertos lógicos. El grupo NSGroup se ignorará si solo contiene conjuntos de direcciones IP o de direcciones MAC.
    Nota: La opción Se aplica a en una sección anulará los ajustes de Se aplica a en las reglas de esa sección.
  8. Haga clic en Aceptar.

Qué hacer a continuación

Agregue reglas de firewall a la sección.