NSX-T utiliza reglas de firewall para especificar el control de tráfico dentro y fuera de la red.

Firewall presenta varios conjuntos de reglas de configuración: reglas de Capa 3 (pestaña General) y reglas de Capa 2 (pestaña Ethernet). Las reglas de firewall de Capa 2 se procesan antes que las reglas de Capa 3. La pestaña Configuración (Configuration) incluye la lista de exclusión, que contiene los conmutadores lógicos, puertos lógicos y grupos que deben excluirse de la aplicación de firewall.

Las reglas de firewall se aplican de la siguiente manera:

  • Las reglas se procesan siguiendo un orden de arriba a abajo.

  • Cada paquete se compara con la regla principal de la tabla antes de bajar a las reglas subsiguientes de esa tabla.

  • Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico.

No se pueden aplicar las reglas subsiguientes, ya que la búsqueda en ese paquete finaliza. Debido a este comportamiento, se recomienda siempre colocar las directivas más pormenorizadas al principio de la tabla. Esto garantizará que se apliquen antes que otras reglas más específicas.

La regla predeterminada, situada al final de la tabla, es una regla catch-all que aplicará los paquetes que no coincidan con ninguna otra regla. Tras la operación de preparación del host, la acción de la regla predeterminada se establece como Permitir (Allow). Esto asegura que la comunicación de máquina virtual a máquina virtual no se interrumpa durante las fases de almacenamiento o migración. Se recomienda cambiar la acción de la regla predeterminada a Bloquear (Block) y aplicar el control de acceso mediante un modelo de control positivo (por ejemplo, que solo el tráfico especificado en la regla de firewall se permita en la red).

Para acceder a las opciones de las reglas de firewall, haga clic en la flecha desplegable junto a las Columnas (Columns) y seleccione las columnas que desee incluir en la ventana de reglas de firewall. Las siguientes opciones están disponibles.

Tabla 1. Columnas en la pantalla de las reglas de firewall

Nombre de la columna

Definición

Nombre (Name)

Nombre de la regla de firewall.

Orígenes (Sources)

El origen de la regla puede ser tanto una dirección IP o MAC como un objeto diferente. El origen coincidirá con cualquiera si no está definido. IPv6 no es compatible con el rango de origen o destino.

ID

Identificador único generado por el sistema para cada regla.

Dirección (Direction)

El elemento de dirección de la regla coincide con la dirección a la que se dirige el paquete mientras recorre la interfaz. Una dirección de entrada corresponde con la entrada de tráfico a través del firewall. Una dirección de salida corresponde con la salida de tráfico a través del firewall. De forma predeterminada, la dirección será de entrada y salida (ambas direcciones).

Protocolo IP (IP Protocol)

Se aplica solo a las reglas de Capa 3. Son compatibles los formatos IPv4 e IPv6. Ambos son el valor predeterminado.

Destinos (Destinations)

La dirección/máscara de red IP o MAC de destino de la conexión afectada por la regla. El destino coincidirá con cualquiera si no está definido. IPv6 no es compatible con el rango de origen o destino.

Servicios (Services)

El servicio puede ser una combinación de protocolos de puertos predeterminados para la Capa 3. Para la Capa 2 puede ser EtherType. Para las Capas 2 y 3, es posible definir de forma manual un nuevo servicio o grupo de servicio. El servicio coincidirá con cualquiera si no se especificó.

Acción (necesaria) (Action required)

La acción que aplica la regla puede ser Permitir, Bloquear o Rechazar (Allow, Block, or Reject).

Se aplica a (Applied To)

Define el ámbito de aplicación de la regla. Si no está definido el ámbito incluirá todos los puertos lógicos. Si agregó "Se aplica a" a una sección, se sobrescribirá la regla.

Registrar (Log)

Se puede activar o desactivar el registro. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log en los hosts ESX y KVM.

Estadísticas (Stats)

El campo de lectura muestra el byte, el recuento de paquetes y las sesiones.

Notas (Notes)

Comentarios de la regla.

A continuación se encuentra la regla de firewall predeterminada con una parte que muestra la opción de columnas.

Figura 1. Ventana de reglas de firewall (Firewall Rules Window)
Ventana principal donde se crean las reglas de firewall.