Un firewall es un sistema de seguridad de red que supervisa y controla el tráfico de red entrante y saliente en función de las reglas de firewall predeterminadas.

Por qué y cuándo se efectúa esta tarea

Las reglas de firewall se agregan al ámbito de NSX Manager. Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.

Nota:

De forma predeterminada, una regla coincide con los elementos predeterminados de las reglas de origen, destino y servicio, coincidiendo con todas las interfaces y direcciones de tráfico. Si desea restringir el efecto de la regla en interfaces o direcciones de tráfico determinadas, debe especificar la restricción en la regla.

Requisitos

Para utilizar un grupo de direcciones, primero asocie de forma manual la dirección IP y MAC de cada máquina virtual con su conmutador lógico.

Procedimiento

  1. Seleccione Firewall (Firewall) en el panel de navegación.

    Asegúrese de estar en la pestaña General para agregar una regla de Capa 3. Haga clic en la pestaña Ethernet para agregar una regla de Capa 2.

  2. Para agregar una regla, en la primera columna, haga clic en el icono de la rueda (icono de rueda) y, al final de la lista, seleccione Agregar regla (Add Rule).

    Aparece una nueva fila para definir la regla de firewall.

    Nota:

    Si el tráfico intenta acceder a través del firewalll, la información del paquete está sujeta a las reglas en el orden que aparece en la Tabla de reglas (Rules table), comenzando por el principio hasta las reglas predeterminadas situadas al final. En algunos casos, el orden de prioridad de dos o más reglas puede ser importante a la hora de determinar la disposición del paquete.

  3. Se agregará una nueva regla en la parte superior de la sección. Si desea agregar una regla en un lugar específico de la sección, seleccione una regla. En la primera columna, haga clic en el icono de la rueda (icono de rueda) y seleccione Insertar regla arriba (Insert Rule Above) o Insertar regla abajo (Insert Rule Below).

    Aparece una nueva fila para definir la regla de firewall.

  4. En la esquina superior derecha de la columna Nombre (Name), haga clic en el icono del lápiz. Introduzca el nombre de la regla en el cuadro de diálogo Editar nombre (Edit Name).

    Aparece una regla con el nombre especificado.

  5. Coloque el puntero sobre la celda Origen (Source) de la nueva regla, haga clic en el icono del lápiz y seleccione el origen de la regla. El origen coincidirá con cualquiera si no está definido. Aparece el cuadro de diálogo Editar orígenes (Edit Sources).
    Nota:

    Al crear una nueva regla de firewall, puede arrastrar y soltar los objetos que desee utilizar para los campos Origen (Source), Destino (Destination), Servicio (Service) y Se aplica a (Applied To), en lugar de seleccionarlos cada vez. Esto puede ayudar a acelerar el proceso de creación de reglas, especialmente cuando se vuelven a utilizar los mismos objetos.

    Para realizar este procedimiento, haga clic en Objetos (Objects) en la esquina izquierda de la ventana de reglas de firewall, seleccione el tipo de objeto de la lista y arrastre y suelte el objeto requerido en el campo adecuado, por ejemplo, Orígenes (Sources) en la regla de firewall.

    Tabla 1. Ventana Editar orígenes (Edit Sources)

    Opción

    Descripción

    Dirección IP o MAC (IP Address or MAC Address)

    Introduzca varias direcciones IP o MAC en una lista separada por comas. La lista puede contener hasta 255 caracteres. Son compatibles los formatos IPv4 y IPv6.

    Objetos (Objects)

    Haga clic en la flecha y seleccione el objeto.

    1. Seleccione el conjunto de direcciones IP, el puerto lógico, el conmutador lógico y el grupo NS.

      Aparecen los objetos disponibles del contenedor seleccionado.

    2. Seleccione uno o varios objetos y haga clic en la flecha. Para seleccionar todos los objetos disponibles, haga clic en la casilla de verificación junto a Disponible (Available) y, a continuación, haga clic en la flecha.

    3. Los objetos se mueven a la columna seleccionada.

    4. Haga clic en Aceptar (OK).

  6. Coloque el puntero sobre la celda Destinos (Destinations) de la nueva regla. El destino coincidirá con cualquiera si no está definido. Aparece el cuadro de diálogo Editar destinos (Edit Destinations).
    Tabla 2. Ventana Editar destinos (Edit Destinations)

    Opción

    Descripción

    Dirección IP o MAC (IP Address or MAC address)

    Puede introducir varias direcciones IP o MAC en una lista separada por comas. La lista puede contener hasta 255 caracteres. Son compatibles los formatos IPv4 y IPv6.

    Objetos (Objects)

    Haga clic en la flecha y seleccione el objeto.

    1. Seleccione el conjunto de direcciones IP, el puerto lógico, el conmutador lógico y el grupo NS.

      Aparecen los objetos disponibles del contenedor seleccionado.

    2. Seleccione uno o varios objetos y haga clic en la flecha. Para seleccionar todos los objetos disponibles, haga clic en la casilla de verificación junto a Disponible (Available) y, a continuación, haga clic en la flecha.

    3. Los objetos se mueven a la columna seleccionada.

    4. Haga clic en Aceptar (OK).

  7. Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. El servicio coincidirá con cualquiera si no está definido.

    Aparece el cuadro de diálogo Editar servicios (Edit Services). La lista ya muestra varios servicios predefinidos, pero no se limita a esas opciones.

  8. Para seleccionar un servicio predefinido, seleccione uno o varios objetos disponibles y haga clic en la flecha. Haga clic en Aceptar (OK).
  9. Para definir un nuevo servicio, haga clic en Nuevo (New). Aparece el cuadro de diálogo NSService.

    Opción

    Descripción

    Nombre (Name)

    Nombre del nuevo servicio.

    Descripción (Description)

    Descripción del nuevo servicio.

    Tipo de servicio (Type of Service)

    • ALG

    • ICMP

    • IP

    • Conjunto de puertos de Capa 4

    • IGMP

    Protocolo (Protocolo)

    Seleccione uno de los protocolos disponibles.

    Puertos de origen (Source Ports)

    Introduzca el puerto de origen.

    Puertos de destino (Destination Ports)

    Seleccione el puerto de destino.

    Agrupar los servicios existentes (Group existing services)

    Haga clic en el botón de opción para agregar un servicio de grupo existente.

  10. Coloque el puntero sobre la celdaAcción (Action) y haga clic en el icono del lápiz. Este parámetro es obligatorio. Aparece el cuadro de diálogo Editar acción (Edit Action).

    Opción

    Descripción

    Permitir (Allow)

    Permite el acceso directo de todo el tráfico de Capa 3 y Capa 2 con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla, y que se acepten, atravesarán el sistema como si el firewall no estuviera presente.

    Descartar (Drop)

    Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos.

    Rechazar (Reject)

    Rechaza paquetes con el origen, destino y protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar (Reject) es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito.

  11. Coloque el puntero sobre la celda Se aplica a (Applied To) y haga clic en el icono del lápiz. Aparece el cuadro de diálogo Editar se aplica a (Edit Applied To).

    Seleccione el tipo de objeto en la lista desplegable. Haga clic en Aceptar (OK).

  12. Coloque el puntero sobre la celda Registrar (Log) y haga clic en el icono del lápiz. El registro se desactiva de forma predeterminada. Seleccione (Yes) para habilitar el registro o No para deshabilitarlo. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log en los hosts ESX y KVM. También puede escribir notas aquí. Tenga en cuenta que, si selecciona (Yes), se registrarán todas las sesiones que coincidan con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.
  13. Para que se apliquen la regla o las reglas, haga clic en Guardar (Save).

    Es posible agregar varias reglas antes de hacer clic en Guardar (Save).