El firewall distribuido supervisa todo el tráfico este-oeste en las máquinas virtuales.
El procedimiento de este tema explica el flujo de trabajo para agregar directivas de firewall que se aplican a NSX Distributed Firewall o a grupos específicos con objetos administrados por NSX.
Si el entorno de
NSX-T Data Center tiene
Antrea contenedores registrados, puede crear directivas de firewall distribuido y aplicarlas a clústeres de contenedores de
Antrea. Para obtener más información, consulte:
Nota:
NSX-T Data Center no admite la combinación de reglas creadas con objetos administrados por NSX y con objetos de clúster de contenedores de
Antrea en la misma directiva de firewall distribuido. En otras palabras, las reglas de firewall que se aplican a NSX Distributed Firewall y a clústeres de contenedores de
Antrea deben estar en directivas independientes.
Requisitos previos
Antes de NSX-T Data Center 3.2, las máquinas virtuales debían tener su vNIC conectada a un segmento VLAN o de superposición de NSX para estar protegidas por DFW. En NSX-T Data Center 3.2, el firewall distribuido protege las cargas de trabajo que están conectadas de forma nativa a un grupo de puertos distribuidos (DVPG) de VDS. Para obtener más información, consulte Distributed Security para vSphere Distributed Switch.
Si se dispone a crear reglas para el firewall de identidad, primero cree un grupo con miembros de Active Directory. Para ver los protocolos admitidos para IDFW, consulte
Configuraciones admitidas del firewall de identidad. Al crear una regla de DFW mediante Guest Introspection, asegúrese de que el campo
Se aplica a se aplique al grupo de destino.
Nota: Para aplicar la regla del firewall de identidad, el servicio hora de Windows debe estar
activado para todas las máquinas virtuales que utilicen Active Directory. De esta forma, se asegurará de que la fecha y la hora de Active Directory y de las máquinas virtuales estén sincronizadas. Los cambios en la pertenencia al grupo de AD (incluida la habilitación y eliminación de usuarios) no se aplican inmediatamente a los usuarios que hayan iniciado sesión. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Los administradores de AD deben forzar el cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.
Tenga en cuenta que si utiliza una combinación de Capa 7 y ICMP, o cualquier otro protocolo, deberá colocar las reglas de firewall de capa 7 en último lugar. Las reglas situadas después de la regla cualquiera/cualquiera de Capa 7 no se ejecutarán.
Para obtener detalles específicos de Federation sobre la creación de reglas y la directiva de firewall distribuido, consulte Crear reglas y directivas de DFW a partir de Global Manager.