La tabla de reglas de firewall implementa la directiva de NSX Security que se puede crear mediante la GUI de NSX Manager o el marco de la REST API.

Estos son los pasos de alto nivel para comprender y prepararse para definir la directiva de seguridad.
  • VM Inventory Collection: puede identificar y organizar una lista de todas las cargas de trabajo virtualizadas alojadas en los nodos de transporte de NSX-T. El inventario se recopila y guarda de forma dinámica mediante NSX Manager como nodos ( ESXi o KVM que se agregan como nodos de transporte de NSX-T). Para ver una lista de inventarios, desplácese hasta el menú Inventario > Máquinas virtuales.
  • Tag: NSX-T permite etiquetar la máquina virtual, el segmento y el puerto de segmento. Para etiquetar cada uno de estos objetos, vaya a la página de objetos relevante o vaya a Inventario > Etiquetas. Los objetos pueden tener una o varias etiquetas. Por ejemplo, una máquina virtual puede tener Tag = PROD, Tag = HR-APP o Tag = WEB-Tier.
  • Group Workloads: puede utilizar la construcción de agrupación lógica de NSX-T con criterios de pertenencia dinámica o estática en función del nombre de la máquina virtual, las etiquetas, el segmento, el puerto de segmentos, las direcciones IP u otros atributos.
  • Define Security Policy: puede definir la directiva de seguridad mediante la tabla de reglas de firewall distribuido disponible en Seguridad > Firewall distribuido. Puede organizar la directiva en función de categorías predefinidas, como Ethernet, emergencia, infraestructura, entorno y aplicación.

Para obtener más información, consulte Guía de administración de NSX-T Data Center.

Agregar etiquetas

Puede seleccionar las etiquetas existentes que están disponibles en el inventario o crear nuevas etiquetas para agregarlas a un objeto.

Procedimiento

  1. Con privilegios de usuario admin, inicie sesión en NSX Manager.
  2. Edite un objeto para las etiquetas. Los objetos pueden ser máquinas virtuales, segmentos o puertos de segmentos. Puede utilizar el inventario de cada objeto para etiquetar el objeto o ir a Inventario > Etiquetas para crear y asignar etiquetas.
    Para etiquetar los objetos directamente, por ejemplo, máquinas virtuales, haga clic en Inventario > Máquinas virtuales . Junto a la máquina virtual que desee editar, haga clic en el menú Acciones y, a continuación, en Editar.
  3. En el menú desplegable Etiqueta, introduzca un nombre de etiqueta. Cuando haya terminado, haga clic en Agregar elemento(s).
    La longitud máxima del nombre de una etiqueta es de 256 caracteres.

    Si hay etiquetas en el inventario, el menú desplegable Etiqueta mostrará una lista de todas las etiquetas disponibles y su ámbito. La lista de etiquetas disponibles incluye etiquetas definidas por el usuario, etiquetas definidas por el sistema y etiquetas detectadas. Puede seleccionar una de las etiquetas del menú desplegable y agregarla a la máquina virtual.

  4. (opcional) Introduzca el ámbito de la etiqueta.
    Por ejemplo, supongamos que desea etiquetar las máquinas virtuales en función de su sistema operativo (Windows, Mac, Linux). Cree tres etiquetas, por ejemplo Windows, Linux y Mac, y establezca el ámbito de cada etiqueta como SO.
    La longitud máxima del ámbito es de 128 caracteres.

    Si seleccionó una de las etiquetas del inventario, el ámbito de la etiqueta seleccionada se aplicará automáticamente. De lo contrario, podrá introducir un ámbito para la nueva etiqueta que vaya a crear.

  5. Haga clic en el icono +.
    La etiqueta se agregará a la máquina virtual.
  6. (opcional) Repita los pasos del 3 al 5 para agregar más etiquetas a la máquina virtual.
  7. Haga clic en Guardar.

Agregar grupos

Los grupos incluyen distintos objetos que se agregan tanto de forma estática como dinámica y pueden utilizarse como origen y destino de una regla de firewall.

Procedimiento

  1. Seleccione Inventario > Grupos en el panel de navegación.
  2. Haga clic en Agregar grupo y asígnele un nombre al grupo.
  3. Haga clic en Establecer.
  4. En la ventana Configurar miembros, seleccione el Tipo de grupo.
    Tabla 1.
    Tipo de grupo Descripción
    Genérico

    Este tipo de grupo es la selección predeterminada. Una definición de grupo genérico puede constar de una combinación de criterios de pertenencia, miembros agregados manualmente, direcciones IP, direcciones MAC y grupos Active Directory.

    Cuando se definen criterios de pertenencia en el grupo, los miembros se agregan dinámicamente al grupo en función de uno o varios criterios. Los miembros agregados manualmente incluyen objetos, como puertos de segmentos, puertos distribuidos, grupos de puertos distribuidos, VIF, máquinas virtuales, etc.
    Solo direcciones IP

    Este tipo de grupo solo contiene direcciones IP (IPv4 o IPv6). Los grupos Solo direcciones IP solo con direcciones IP agregadas manualmente no se pueden usar en reglas Se aplica a en DFW. Es posible crear la regla, pero no se aplicará.

    Después de que un grupo de tipo Solo direcciones IP se haya realizado en NSX-T Data Center, no se podrá cambiar el tipo de grupo a Genérico. Sin embargo, si el tipo de grupo es Genérico, podrá editar el tipo de grupo en Solo direcciones IP. En este caso, solo se conservan las direcciones IP en el grupo. Se perderán todos los criterios de pertenencia del grupo y otras definiciones del grupo.
  5. En la página Criterios de pertenencia, haga clic en Agregar criterio para agregar miembros al grupo de forma dinámica en función de uno o varios criterios de pertenencia.
  6. Haga clic en Miembros para agregar miembros estáticos al grupo.
  7. (opcional) Haga clic en Direcciones IP/MAC para agregar direcciones IP y MAC como miembros del grupo. Se admiten direcciones IPv4, IPv6 y de multidifusión.
    Haga clic en Acción > Importar para importar direcciones IP/MAC desde un archivo TXT o CSV con valores de direcciones IP/MAC separados por comas.
  8. Haga clic en Grupos de AD para agregar grupos de Active Directory. Esto se usa para el firewall de identidad. Los grupos con miembros de Active Directory se pueden utilizar en el origen de una regla de firewall distribuido para el firewall de identidad. Los grupos pueden contener tanto miembros de equipos como de AD.
  9. (opcional) Introduzca una descripción y una etiqueta.
  10. Haga clic en Aplicar.
    Se muestra una lista de grupos, con una opción para ver los miembros y donde se utiliza el grupo.

Directiva de firewall distribuido

El firewall distribuido incluye categorías predefinidas para las reglas de firewall. Las categorías permiten organizar las directivas de seguridad.

Las categorías se evalúan de izquierda a derecha (Ethernet > Emergencia > Infraestructura > Entorno > Aplicación) y las reglas de firewall distribuido dentro de la categoría se evalúan de arriba abajo.

Tabla 2. Categorías de reglas de firewall distribuido
Ethernet

Se recomienda incluir reglas de Capa 2 para esta categoría.

 Emergencia

Se recomienda incluir cuarentena y permitir reglas para esta categoría.

 Infraestructura

Le recomendamos que incluya reglas que definan el acceso a los servicios compartidos de esta categoría. Por ejemplo:

  • AD
  • DNS
  • NTP
  • DHCP
  • Copia de seguridad
  • Servidores de administración
 Entorno

Le recomendamos que incluya reglas entre zonas para esta categoría. Por ejemplo:

  • Producción frente a desarrollo
  • PCI frente a no PCI
  • Reglas entre unidades de negocio
 Aplicación

Le recomendamos que incluya reglas entre:

  • Aplicaciones
  • Niveles de aplicación
  • Microservicios

Agregar una directiva de firewall distribuido

El firewall distribuido supervisa todo el tráfico este-oeste en las máquinas virtuales.

Procedimiento

  1. Con privilegios de usuario admin, inicie sesión en NSX Manager.
  2. Seleccione Seguridad > Firewall distribuido en el panel de navegación.
  3. Compruebe que se encuentra en la categoría predefinida correcta y haga clic en Agregar directiva.
  4. En Nombre, escriba un nombre para la nueva sección de directiva.
  5. (opcional) Use Se aplica a para aplicar las reglas de la directiva a un grupo seleccionado. De forma predeterminada, el campo Se aplica a de la directiva se establece como DFW y las reglas de la directiva se aplican en todas las cargas de trabajo. Cuando cambie el valor predeterminado, si tanto el nivel de directiva como sus reglas tienen configurado Se aplica a en un grupo, Se aplica a en el nivel de directiva tendrá prioridad sobre Se aplica a en el nivel de regla.
    Nota: Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.

    Se aplica a define el alcance de la implementación por directiva, y se utiliza principalmente para la optimización de los recursos en hosts ESXi y KVM. Esto ayuda a definir una directiva dirigida para zonas, aplicaciones o tenants específicos sin interferir con otra directiva definida para otros tenants, aplicaciones y zonas.

  6. Para configurar los siguientes ajustes de directiva, haga clic en el icono de rueda dentada.
  7. Haga clic en Publicar. Se pueden agregar varias directivas y, a continuación, publicarlas al mismo tiempo.
    La nueva directiva se muestra en la pantalla.
  8. Seleccione una sección de directiva, haga clic en Agregar regla e introduzca un nombre de la regla.
  9. En la columna Orígenes, haga clic en el icono de edición y seleccione el origen de la regla. Para el cuadro de texto de origen de una regla de IDFW, se pueden usar grupos con miembros de Active Directory.
  10. En la columna Destinos, haga clic en el icono de edición y seleccione el destino de la regla. Si no está definido, el destino coincidirá con cualquiera.
  11. En la columna Servicios, haga clic en el icono de edición y seleccione los servicios. Si no está definido, el servicio coincidirá con cualquiera.
  12. La columna Perfiles no está disponible cuando se agrega una regla a la categoría Ethernet. Para todas las demás categorías de regla, en la columna Perfiles, haga clic en el icono de edición y seleccione un perfil de contexto, o bien haga clic en Agregar nuevo perfil de contexto. Consulte #GUID-654F5332-2978-49F8-BE83-297E5C69C22F
    Este parámetro se utiliza para el filtrado de ID de aplicación de Capa 7 y el filtrado de FQDN.
  13. Haga clic en Aplicar para hacer efectivo el perfil de contexto en la regla.
  14. Use Se aplica a para aplicar la regla a un grupo seleccionado. Al crear una regla de DFW mediante Guest Introspection, asegúrese de que el campo Se aplica a se aplique al grupo de destino. De forma predeterminada, la columna Se aplica a se establece como DFW y la regla se aplica en todas las cargas de trabajo. Cuando cambie el valor predeterminado, si tanto el nivel de directiva como sus reglas tienen configurado Se aplica a en Grupos, Se aplica a en el nivel de directiva tendrá prioridad sobre Se aplica a en el nivel de regla.
    Nota: Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.
  15. En la columna Acción, seleccione una acción.
    Opción Descripción
    Permitir Permite el acceso directo de todo el tráfico de Capa 3 y Capa 2 con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente.
    Quitar Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos.
    Rechazar Rechaza paquetes con el origen, destino y protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito.
    Ir a aplicación A partir de NSX-T Data Center 3.1. Esta acción solo está disponible para la categoría Entorno.

    Permite que el tráfico que coincide con las reglas de la categoría Entorno continúe para que se apliquen las reglas de la categoría Aplicación. Utilice esta acción cuando el tráfico coincida con las reglas y salidas de la categoría Entorno, pero es recomendable que aplique las reglas de la categoría Aplicación.

    Por ejemplo, si hay una regla de categoría Entorno con la acción Permitir para un origen específico, y hay una regla de categoría de aplicación con la acción Descartar para el mismo origen, los paquetes que coincidan con la categoría Entorno se permitirán a través del firewall y ya no se aplicarán otras reglas. Con la acción Ir a la aplicación, los paquetes coinciden con la regla de la categoría Entorno, pero continúa con las reglas de la categoría Aplicación y el resultado es que dichos paquetes se descartan.
  16. Haga clic en el botón de alternancia de estado para habilitar o deshabilitar la regla.
  17. Haga clic en el icono de engranaje para configurar las siguientes opciones de regla:
    Opción Descripción
    Registro El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log en los hosts ESXi y KVM.
    Dirección Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. ENTRADA significa que solo se comprueba el tráfico que entra al objeto, SALIDA significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones.
    Protocolo IP Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6.
    Etiqueta de registro

    La etiqueta de registro se incluye en el registro del firewall cuando el registro está habilitado. Solo se admiten los primeros 31 caracteres en el registro generado, aunque puede introducir una etiqueta más larga.
  18. Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo.
  19. El estado de realización de la ruta de datos de la directiva con los detalles de los nodos de transporte se muestra en el lado derecho de la tabla de directivas.

Agregar directiva de IDS / IPS distribuida

Las reglas de IDS/IPS se crean del mismo modo que las reglas de firewall distribuido (DFW). Primero, cree una directiva de IDS y, a continuación, cree reglas para esta directiva.

Procedimiento

  1. Desplácese hasta Seguridad > IDS/IPS > Reglas de firewall distribuido.
  2. Haga clic en Agregar directiva para crear una directiva e introduzca un nombre de directiva.
  3. Haga clic en el icono de engranaje para establecer la configuración de directiva requerida:
    Opción Descripción
    Con estado Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall.
    Bloqueado La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Cuando bloquea una sección, debe incluir un comentario.

    Algunas funciones, como administrador de organización, tienen credenciales de acceso completo y no se pueden bloquear.

  4. Haga clic en Agregar regla para agregar una regla y asígnele un nombre.
  5. Configure el origen, el destino y los servicios para determinar qué tráfico necesita la inspección de IDS. IDS admite cualquier tipo de grupo para el origen y el destino.
  6. En la columna Perfiles de seguridad, seleccione el perfil requerido para la regla.
  7. En la columna Se aplica a, seleccione la opción adecuada para limitar el ámbito de las reglas. De forma predeterminada, la columna Se aplica a se establece como DFW y la regla se aplica en todas las cargas de trabajo. También puede aplicar las reglas o las directivas a grupos seleccionados. Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.
  8. Seleccione el Modo requerido de las siguientes opciones:
    • Solo detectar: detecta intrusiones contrastando firmas y no realiza ninguna acción.
    • Detectar y evitar: detecta intrusiones contrastando firmas y toma medidas para descartarlas o rechazarlas según lo especificado en la firma a través del perfil o mediante la configuración global.
  9. Haga clic en el icono de engranaje para configurar las siguientes opciones de regla.
    Opción Descripción
    Registro El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log de los hosts KVM y ESXi.
    Dirección Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. IN significa que solo se comprobará el tráfico hacia el objeto. OUT significa que solo se comprobará el tráfico procedente del objeto. In-Out significa que se comprobará el tráfico en ambas direcciones.
    Protocolo IP Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6.
    Etiqueta de registro La etiqueta de registro se incluye en el registro del firewall cuando el registro está habilitado.
  10. Haga clic en Publicar. Cuando las reglas se insertan correctamente en el host, el estado se mostrará como Correcto.
  11. Haga clic en el icono de gráfico para ver
    • Estado de la directiva: las reglas se enviaron correctamente a los hosts
    • Estado y errores del nodo de transporte
    Para obtener información sobre la configuración avanzada de directivas, consulte Guía de administración de NSX-T Data Center.

Directiva de firewall de puerta de enlace

Puede configurar el firewall de puerta de enlace agregando reglas en una sección de directiva de firewall que pertenezca a una categoría predefinida.

Procedimiento

  1. Vaya a Seguridad > Firewall de puerta de enlace > Reglas específicas de la puerta de enlace.
  2. Seleccione Puerta de enlace T0 y haga clic en Agregar directiva.
    Agregar directiva de GFW
  3. Agregue la regla.
  4. Agregue un servicio para la regla.
  5. Proporcione detalles como el origen, el destino, los servicios y la puerta de enlace, y seleccione la acción.
  6. Publique la directiva y la regla.