Un firewall es un sistema de seguridad de red que supervisa y controla el tráfico de red entrante y saliente en función de las reglas de firewall predeterminadas.
Las reglas de firewall se agregan al ámbito de NSX Manager. Mediante el campo Se aplica a, se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.
Nota: De forma predeterminada, una regla coincide con los elementos predeterminados de las reglas de origen, destino y servicio, coincidiendo con todas las interfaces y direcciones de tráfico. Si desea restringir el efecto de la regla en interfaces o direcciones de tráfico determinadas, debe especificar la restricción en la regla.
Requisitos previos
-
Para utilizar un grupo de direcciones, primero asocie de forma manual la dirección IP y MAC de cada máquina virtual con su conmutador lógico.
-
Compruebe que el modo Manager esté seleccionado en la interfaz de usuario de NSX Manager. Consulte NSX Manager. Si no ve los botones de los modos Directiva y Manager, consulte Configurar los ajustes de la interfaz de usuario.
Procedimiento
- Seleccione .
- Haga clic en la pestaña General para las reglas de Capa 3 o en la pestaña Ethernet para las reglas de Capa 2.
- Haga clic en una regla o una sección.
- Haga clic en el icono de menú en la primera columna de una regla y seleccione Agregar regla anterior o Agregar regla siguiente.
Aparece una nueva fila para definir la regla de firewall.
Nota: Si el tráfico intenta acceder a través del firewalll, la información del paquete está sujeta a las reglas en el orden que aparece en la Tabla de reglas, comenzando por el principio hasta las reglas predeterminadas situadas al final. En algunos casos, el orden de prioridad de dos o más reglas puede ser importante a la hora de determinar la disposición del paquete.
- En la columna Nombre, escriba el nombre de la regla.
- En la columna Origen, haga clic en el icono de edición y seleccione el origen de la regla. El origen coincidirá con cualquiera si no está definido.
Opción |
Descripción |
Direcciones IP |
Introduzca varias direcciones IP o MAC en una lista separada por comas. La lista puede contener hasta 255 caracteres. Son compatibles los formatos IPv4 y IPv6. |
Objetos de contenedor |
Los objetos disponibles son Conjunto de direcciones IP, Puerto lógico, Conmutador lógico y Grupo NS. Seleccione los objetos y haga clic en Aceptar. |
- En la columna Destino, haga clic en el icono de edición y seleccione el destino. El destino coincidirá con cualquiera si no está definido.
Opción |
Descripción |
Direcciones IP |
Puede introducir varias direcciones IP o MAC en una lista separada por comas. La lista puede contener hasta 255 caracteres. Son compatibles los formatos IPv4 y IPv6. |
Objetos de contenedor |
Los objetos disponibles son Conjunto de direcciones IP, Puerto lógico, Conmutador lógico y Grupo NS. Seleccione los objetos y haga clic en Aceptar. |
- En la columna Servicio, haga clic en el icono de edición y seleccione los servicios. El servicio coincidirá con cualquiera si no está definido.
- Para seleccionar un servicio predefinido, seleccione uno o más de los servicios disponibles.
- Para definir un nuevo servicio, haga clic en la pestaña Protocolo de puertos sin formato y haga clic en Agregar.
Opción |
Descripción |
Tipo de servicio |
- ALG
- ICMP
- IGMP
- IP
- Conjunto de puertos de Capa 4
|
Protocolo |
Seleccione uno de los protocolos disponibles. |
Puertos de origen |
Introduzca el puerto de origen. |
Puertos de destino |
Seleccione el puerto de destino. |
- En la columna Se aplica a, haga clic en el icono de edición y seleccione los objetos.
- En la columna Registro, configure la opción de registro.
Los registros se almacenan en el archivo
/var/log/dfwpktlogs.log en ESXi y los hosts KVM. Si el registro se habilita, el rendimiento puede verse afectado.
- En la columna Acción, seleccione una acción.
Opción |
Descripción |
Permitir |
Permite el acceso directo de todo el tráfico de Capa 3 y Capa 2 con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla, y que se acepten, atravesarán el sistema como si el firewall no estuviera presente. |
Quitar |
Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos. |
Rechazar |
Rechaza paquetes con el origen, destino y protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito. |
- Haga clic en el icono Configuración avanzada para especificar el protocolo de IP, la dirección, las etiquetas de regla y los comentarios.
- Haga clic en Publicar.