El firewall distribuido supervisa todo el tráfico este-oeste en las máquinas virtuales.

El procedimiento de este tema explica el flujo de trabajo para agregar directivas de firewall que se aplican a NSX Distributed Firewall o a grupos específicos con objetos administrados por NSX.

Si el entorno de NSX-T Data Center tiene Antrea contenedores registrados, puede crear directivas de firewall distribuido y aplicarlas a clústeres de contenedores de Antrea. Para obtener más información, consulte:
Nota: NSX-T Data Center no admite la combinación de reglas creadas con objetos administrados por NSX y con objetos de clúster de contenedores de Antrea en la misma directiva de firewall distribuido. En otras palabras, las reglas de firewall que se aplican a NSX Distributed Firewall y a clústeres de contenedores de Antrea deben estar en directivas independientes.

Requisitos previos

Antes de NSX-T Data Center 3.2, las máquinas virtuales debían tener su vNIC conectada a un segmento VLAN o de superposición de NSX para estar protegidas por DFW. En NSX-T Data Center 3.2, el firewall distribuido protege las cargas de trabajo que están conectadas de forma nativa a un grupo de puertos distribuidos (DVPG) de VDS. Para obtener más información, consulte Distributed Security para vSphere Distributed Switch.

Si se dispone a crear reglas para el firewall de identidad, primero cree un grupo con miembros de Active Directory. Para ver los protocolos admitidos para IDFW, consulte Configuraciones admitidas del firewall de identidad. Al crear una regla de DFW mediante Guest Introspection, asegúrese de que el campo Se aplica a se aplique al grupo de destino.
Nota: Para aplicar la regla del firewall de identidad, el servicio hora de Windows debe estar activado para todas las máquinas virtuales que utilicen Active Directory. De esta forma, se asegurará de que la fecha y la hora de Active Directory y de las máquinas virtuales estén sincronizadas. Los cambios en la pertenencia al grupo de AD (incluida la habilitación y eliminación de usuarios) no se aplican inmediatamente a los usuarios que hayan iniciado sesión. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Los administradores de AD deben forzar el cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.

Tenga en cuenta que si utiliza una combinación de Capa 7 y ICMP, o cualquier otro protocolo, deberá colocar las reglas de firewall de capa 7 en último lugar. Las reglas situadas después de la regla cualquiera/cualquiera de Capa 7 no se ejecutarán.

Para obtener detalles específicos de Federation sobre la creación de reglas y la directiva de firewall distribuido, consulte Crear reglas y directivas de DFW a partir de Global Manager.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Seguridad > Firewall distribuido en el panel de navegación.
  3. Compruebe que se encuentra en la categoría predefinida correcta y haga clic en Agregar directiva.
    Para obtener más información sobre las categorías, consulte Firewall distribuido.
  4. En Nombre, escriba un nombre para la nueva sección de directiva.
  5. (opcional) Use Se aplica a para aplicar las reglas de la directiva a un grupo seleccionado. De forma predeterminada, el campo Se aplica a de la directiva se establece como DFW y las reglas de la directiva se aplican en todas las cargas de trabajo. Cuando cambie el valor predeterminado, si tanto el nivel de directiva como sus reglas tienen configurado Se aplica a en un grupo, Se aplica a en el nivel de directiva tendrá prioridad sobre Se aplica a en el nivel de regla.
    Nota: Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.

    Se aplica a define el ámbito de la implementación por directiva, y se utiliza principalmente para la optimización de los recursos en hosts ESXi y KVM. Esto ayuda a definir una directiva dirigida para zonas, aplicaciones o tenants específicos sin interferir con otra directiva definida para otros tenants, aplicaciones y zonas.

  6. (opcional) Para configurar los siguientes ajustes de directiva, haga clic en el icono de rueda dentada.
    Opción Descripción
    TCP estricto Una conexión TCP comienza con un protocolo de enlace de tres vías (SYN, SYN-ACK y ACK) y, por lo general, termina con un intercambio de dos vías (FIN y ACK). En determinadas circunstancias, es posible que el firewall distribuido (Distributed firewall, DFW) no vea el protocolo de enlace de tres vías para un flujo concreto (por ejemplo, porque el tráfico asimétrico o el firewall distribuido están habilitados mientras existe un flujo). De forma predeterminada, el DFW no exige ver un protocolo de enlace de tres vías y recoge sesiones que ya están establecidas. TCP estricto se puede habilitar en cada sección para desactivar la recogida de sesiones medias y exigir el requisito de un protocolo de enlace de tres vías.

    Cuando se habilita el modo TCP estricto para una determinada directiva de DFW y se utiliza una regla de bloqueo ANY-ANY predeterminada, se descartan los paquetes que no cumplan todos los requisitos de conexión de protocolo de tres vías y que coincidan con una regla basada en TCP de esta sección. El modo TCP estricto solo se aplica a las reglas de TCP con estado y se habilita en el nivel de la sección de firewall distribuido. TCP estricto no se aplica a los paquetes que coinciden con el permiso ANY-ANY predeterminado, sin especificar ningún servicio TCP.

    Con estado Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall.
    Bloqueado La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Al bloquear una sección, debe incluir un comentario.

    Algunas funciones, como el administrador empresarial, tienen credenciales de acceso completo y no se pueden bloquear. Consulte Control de acceso basado en funciones.

  7. Haga clic en Publicar. Se pueden agregar varias directivas y, a continuación, publicarlas al mismo tiempo.
    La nueva directiva se muestra en la pantalla.
  8. Seleccione una sección de directiva, haga clic en Agregar regla e introduzca un nombre de la regla.
  9. En la columna Orígenes, haga clic en el icono de edición y seleccione el origen de la regla. Para el cuadro de texto de origen de una regla de IDFW, se pueden usar grupos con miembros de Active Directory.
    Consulte Agregar un grupo para obtener más información.

    Se admiten direcciones IPv4, IPv6 y de multidifusión.

    Nota: El firewall IPv6 debe tener habilitada la detección de direcciones IP para IPv6 en un segmento conectado. Para obtener más información, consulte Información sobre el perfil de segmentos de detección de direcciones IP.

  10. (opcional) Si Negar selecciones está seleccionado, la regla se aplicará al tráfico procedente de todos los orígenes excepto los seleccionados. Solo puede seleccionar Negar selecciones si definió al menos un origen o destino. Las selecciones negadas se muestran con texto tachado.
  11. En la columna Destinos, haga clic en el icono de edición y seleccione el destino de la regla. Si no está definido, el destino coincidirá con cualquiera.
    Consulte Agregar un grupo para obtener más información.

    Se admiten direcciones IPv4, IPv6 y de multidifusión.

  12. (opcional) Si se selecciona Negar selecciones, la regla se aplicará al tráfico que se dirige a todos los destinos excepto a los seleccionados. Solo puede seleccionar Negar selecciones si definió al menos un origen o destino. Las selecciones negadas se muestran con texto tachado.
  13. En la columna Servicios, haga clic en el icono de edición y seleccione los servicios. Si no está definido, el servicio coincidirá con cualquiera. Consulte Agregar un servicio para obtener más información.
  14. La columna Perfiles no está disponible cuando se agrega una regla a la categoría Ethernet. Para todas las demás categorías de regla, en la columna Perfiles, haga clic en el icono de edición y seleccione un perfil de contexto, o bien haga clic en Agregar nuevo perfil de contexto. Consulte Perfiles de contexto para obtener más información.

    Los perfiles de contexto admiten los perfiles con el tipo de atributo Identificador de aplicación y Nombre de dominio (FQDN) para su uso en reglas de firewall distribuido. Se pueden utilizar varios perfiles de contexto con el tipo de atributo Identificador de aplicación o Nombre de dominio (FQDN) en una regla de firewall distribuido con servicios establecidos en Cualquiera.

    Los perfiles de contexto no se admiten al crear reglas IDS.

  15. Haga clic en Aplicar para hacer efectivo el perfil de contexto en la regla.
  16. Use Se aplica a para aplicar la regla a un grupo seleccionado. Al crear una regla de DFW mediante Guest Introspection, asegúrese de que el campo Se aplica a se aplique al grupo de destino. De forma predeterminada, la columna Se aplica a se establece como DFW y la regla se aplica en todas las cargas de trabajo. Cuando cambie el valor predeterminado, si tanto el nivel de directiva como sus reglas tienen configurado Se aplica a en Grupos, Se aplica a en el nivel de directiva tendrá prioridad sobre Se aplica a en el nivel de regla.
    Nota: Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.
  17. En la columna Acción, seleccione una acción.
    Opción Descripción
    Permitir Permite el acceso directo de todo el tráfico de Capa 3 y Capa 2 con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente.
    Descartar Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos.
    Rechazar Rechaza paquetes con el origen, destino y protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito.
    Ir a aplicación
    Nota: Esta acción solo está disponible para la categoría Entorno.

    Permite que el tráfico que coincide con las reglas de la categoría Entorno continúe para que se apliquen las reglas de la categoría Aplicación. Utilice esta acción cuando el tráfico coincida con las reglas y salidas de la categoría Entorno, pero es recomendable que aplique las reglas de la categoría Aplicación.

    Por ejemplo, si hay una regla de categoría Entorno con la acción Permitir para un origen específico, y hay una regla de categoría de aplicación con la acción Descartar para el mismo origen, los paquetes que coincidan con la categoría Entorno se permitirán a través del firewall y ya no se aplicarán otras reglas. Con la acción Ir a la aplicación, los paquetes coinciden con la regla de la categoría Entorno, pero continúa con las reglas de la categoría Aplicación y el resultado es que dichos paquetes se descartan.

  18. Haga clic en el botón de alternancia de estado para habilitar o deshabilitar la regla.
  19. Haga clic en el icono de engranaje para configurar las siguientes opciones de regla:
    Opción Descripción
    Registro El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log en los hosts ESXi y KVM.
    Dirección Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. ENTRADA significa que solo se comprueba el tráfico que entra al objeto, SALIDA significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones.
    Protocolo IP Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6.
    Etiqueta de registro

    La etiqueta de registro se incluye en el registro del firewall cuando el registro está habilitado. Solo se admiten los primeros 31 caracteres en el registro generado, aunque puede introducir una etiqueta más larga.

  20. Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo.
  21. El estado de realización de la ruta de datos de la directiva con los detalles de los nodos de transporte se muestra en el lado derecho de la tabla de directivas.