Para habilitar el firewall de identidad, desplácese hasta Seguridad > Firewall de puerta de enlace y haga clic en Acciones > Configuración general. Alterne la barra para habilitar el firewall de identidad, teniendo en cuenta que debe tener Active Directory.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Seguridad > Firewall de puerta de enlace.
  3. Para habilitar el firewall de puerta de enlace, seleccione Acciones > Configuración general y alterne el botón de estado. Haga clic en Guardar.
  4. Haga clic en Agregar directiva. Para obtener más información sobre las categorías, consulte Firewall de puerta de enlace.
  5. En Nombre, escriba un nombre para la nueva sección de directiva.
  6. En Destino, seleccione el destino de la directiva.
  7. Haga clic en el icono de engranaje para establecer la siguiente configuración de directiva:
    Configuración Descripción
    TCP estricto Una conexión TCP comienza con un protocolo de enlace de tres vías (SYN, SYN-ACK y ACK) y, por lo general, termina con un intercambio de dos vías (FIN y ACK). En determinadas circunstancias, es posible que el firewall no vea el protocolo de enlace de tres vías para un flujo concreto (por ejemplo, debido al tráfico asimétrico). De forma predeterminada, el firewall obliga a un protocolo de enlace de tres vías y realizará sesiones de recogida que ya estén establecidas. Se puede habilitar el modo TCP estricto en cada sección para desactivar la recogida de sesiones medias y exigir el requisito de un protocolo de enlace de tres vías. Cuando se habilita el modo TCP estricto en una directiva de firewall en particular y se utiliza una regla de bloqueo ANY-ANY predeterminada se descartan los paquetes que no completan los requisitos de conexión de protocolo de tres vías y que coinciden con una regla basada en TCP en esta sección. El modo TCP estricto solo se aplica a las reglas de TCP con estado y se habilita en el nivel de la directiva de firewall de puerta de enlace. TCP estricto no se aplica a los paquetes que coinciden con el permiso ANY-ANY predeterminado, sin especificar ningún servicio TCP.
    Con estado Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall.
    Bloqueado La directiva se puede bloquear para impedir que varios usuarios realicen cambios en las mismas secciones. Al bloquear una sección, debe incluir un comentario.
  8. Haga clic en Publicar.
    Se pueden agregar varias directivas y, a continuación, publicarlas al mismo tiempo.
    La nueva directiva se muestra en la pantalla.
  9. Seleccione una sección de directiva y haga clic en Agregar regla.
  10. Introduzca un nombre para la regla. Se admiten las direcciones IPv4 e IPv6.
  11. En la columna Orígenes, haga clic en el icono de edición y seleccione el origen de la regla. Para el cuadro de origen de una regla de IDFW, se pueden usar grupos con miembros de Active Directory. Consulte Agregar un grupo.
  12. En la columna Destinos, haga clic en el icono de edición y seleccione el destino de la regla. Si no está definido, el destino coincidirá con cualquiera. Consulte Agregar un grupo.
  13. En la columna Servicios, haga clic en el icono de lápiz y seleccione los servicios. Si no está definido, el servicio coincidirá con cualquiera. Consulte Agregar un servicio.
  14. Para las puertas de enlace de nivel 1, en la columna Perfiles, haga clic en el icono editar y seleccione un perfil de contexto o un perfil de acceso de capa 7. O bien, cree perfiles nuevos. Consulte Perfiles.
    • Una regla de seguridad puede contener un perfil de contexto o un perfil de acceso de capa 7, pero no ambos.
    • Los perfiles de contexto y los perfiles de acceso de capa 7 no se admiten en la directiva de firewall de puerta de enlace de nivel 0.
    • Las reglas de firewall de puerta de enlace no admiten perfiles de contexto con el tipo de atributo Nombre de dominio (FQDN).
    • Las reglas de firewall de puerta de enlace admiten perfiles de acceso de capa 7 con el tipo de atributo Identificador de aplicación, Categoría de URL, URL personalizada y Reputación de URL. El tipo de atributo Identificador de aplicación admite varios subatributos.
    Se pueden utilizar varios perfiles de contexto de identificador de aplicación en una regla de firewall con servicios establecidos en Cualquiera. Solo se puede utilizar un perfil de acceso de capa 7 dentro de una misma regla de firewall de puerta de enlace.
  15. Haga clic en Aplicar.
  16. Haga clic en el icono de lápiz de la columna Se aplica a para cambiar el ámbito de aplicación por regla. En el cuadro de diálogo Se aplica a | Nueva regla, haga clic en el menú desplegable Categorías para filtrar por tipo de objeto, como interfaces, etiquetas y VTI, para seleccionar esos objetos específicos.
    De forma predeterminada, las reglas de firewall de puerta de enlace se aplican a todos los vínculos superiores e interfaces de servicio disponibles en una puerta de enlace seleccionada.

    Para el filtrado de URL, Se aplica a solo pueden ser puertas de enlace de nivel 1.

  17. En la columna Acción, seleccione una acción.
    Opción Descripción
    Permitir Permite todo el tráfico con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente.

    La acción de la regla con un perfil de acceso de capa 7 debe ser Allow.

    Quitar Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos.
    Rechazar

    Rechaza paquetes con el origen, destino y protocolo especificados. Al rechazar un paquete, se envía al remitente un mensaje de destino inaccesible. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Después de un intento, se envía una notificación a la aplicación de envío para indicarle que no se puede establecer conexión.

  18. Haga clic en el botón de alternancia de estado para activar o desactivar la regla.
  19. Haga clic en el icono de engranaje para establecer el registro, la dirección, el protocolo IP y los comentarios.
    Opción Descripción
    Registro

    El registro se puede desactivar o activar. Los registros de firewall de puerta de enlace proporcionan el enrutamiento y reenvío virtual de la puerta de enlace e información de la interfaz de la puerta de enlace, junto con los detalles de flujo Los registros del firewall de puerta de enlace pueden encontrarse en el archivo denominado firewallpkt.log en el directorio /var/log.

    Dirección Las opciones son Entrada, Salida y Entrada/salida. El valor predeterminado es Entrada/salida. Este campo hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. Entrada significa que solo se comprueba el tráfico que entra al objeto, Salida significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones.
    Protocolo IP Las opciones son IPv4, IPv6 e IPv4_IPv6. El valor predeterminado es IPv4_IPv6.
    Nota: Haga clic en el icono de gráfico para ver las estadísticas de flujo de la regla de firewall. Puede ver información como la cantidad de bytes, el recuento de paquetes y las sesiones.
  20. Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo.
  21. En cada sección de la directiva, haga clic en el icono de información para ver el estado actual de las reglas de firewall de Edge que se envían a los nodos de Edge. También se muestran las alarmas generadas cuando se insertan las reglas en los nodos de Edge.
  22. Para ver el estado consolidado de las reglas de directiva que se aplican a los nodos de Edge, realice la llamada API.
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true