Distributed Firewall es un firewall integrado en el kernel del hipervisor que proporciona visibilidad y control para las redes y las cargas de trabajo virtualizadas. Puede crear directivas de control de acceso basadas en objetos de VMware vCenter, como centros de datos y clústeres, así como nombres de máquinas virtuales; construcciones de red como direcciones IP o IPSet, VLAN (grupos de puertos DVS), VXLAN (conmutadores lógicos), grupos de seguridad e identidad de grupos de usuarios desde Active Directory. Las reglas de firewall se aplican en el nivel de la vNIC de cada máquina virtual individual para proporcionar control de acceso consistente incluso cuando se la máquina virtual se mueve con vMotion. La naturaleza de la integración en el hipervisor del firewall proporciona una capacidad de proceso cercana a la velocidad de línea para permitir una mayor consolidación de la carga de trabajo en servidores físicos. La naturaleza distribuida del firewall proporciona una arquitectura de escalabilidad horizontal que extiende automáticamente la capacidad del firewall cuando se agregan hosts adicionales a un centro de datos.

En el caso de los paquetes de Capa 2, el Distributed Firewall crea una memoria caché para aumentar el rendimiento. Los paquetes de Capa 3 se procesan en la secuencia siguiente:

  1. Se verifica el estado actual de todos los paquetes. Esto también se realiza en los SYN para poder detectar los SYN falsos o retransmitidos de las sesiones existentes.

  2. Si se encuentra una coincidencia de estado, se procesan los paquetes.

  3. Si no se encuentra una coincidencia de estado, el paquete se procesa por medio de las reglas hasta encontrar una coincidencia.

    • En el caso de los paquetes TCP, se establece el estado solo para los paquetes con la marca SYN. Sin embargo, las reglas que no especifican un protocolo (servicio CUALQUIERA [ANY]), pueden buscar coincidencias de los paquetes TCP con cualquier combinación de marcas.

    • En el caso de los paquetes UDP, se extraen los detalles de la 5-tupla del paquete. Si no existe un estado en la tabla de estado, se crea uno nuevo con los detalles de la 5-tupla extraídos. Posteriormente, se buscan coincidencias de los paquetes recibidos con el estado que se acaba de crear.

    • En el caso de los paquetes ICMP, se utilizan el tipo, el código y la dirección del paquete ICMP para crear un estado.

El Distributed Firewall también puede ayudar a crear reglas basadas en la identidad. Los administradores pueden aplicar el control de acceso en función de la pertenencia al grupo del usuario como se define en Active Directory empresarial. A continuación encontrará algunas situaciones en las que se pueden utilizar las reglas de firewall basadas en la identidad:

  • Un usuario que accede a aplicaciones virtuales con un equipo portátil o un dispositivo móvil en el que se utiliza AD para la autenticación del usuario.

  • Un usuario que accede a aplicaciones virtuales mediante la infraestructura de VDI donde las máquinas virtuales están basadas en Microsoft Windows.

Si tiene implementada una solución de firewall de proveedor externo en el entorno, consulte Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico.

No se ha validado la ejecución de VMware Tools abierto con un Distributed Firewall en máquinas virtuales invitadas o de carga de trabajo.

Parámetros de umbral de ESXi para la utilización de recursos de Distributed Firewall

Cada host ESXi se configura con tres parámetros de umbral para la utilización de recursos de DFW: CPU, RAM y conexiones por segundo (CPS). Se activa una alarma si el umbral respectivo se supera 20 veces consecutivas en un período de 200 segundos. Se toma una muestra cada 10 segundos.

100 % de CPU corresponde a la CPU total disponible en el host.

100 % de RAM corresponde a la memoria asignada para un Distributed Firewall ("tamaño máximo total"), que depende de la cantidad total de RAM instalada en el host.

Tabla 1. Tamaño máximo total

Memoria física

Tamaño máximo total (MB)

0 - 8 GB

160

8 GB - 32 GB

608

32 GB - 64 GB

992

64 GB - 96 GB

1.920

96 GB - 128 GB

2.944

128 GB

4.222

La memoria se utiliza en las estructuras de datos internos de un Distributed Firewall, que incluyen filtros, reglas, contenedores, estados de conexión, direcciones IP detectadas y flujos de descarte. Estos parámetros pueden manipularse con la llamada API siguiente:

https://NSX-MGR-IP/api/4.0/firewall/stats/eventthresholds

Request body:

<eventThresholds>
  <cpu>
    <percentValue>100</percentValue> 
  </cpu>
  <memory>
    <percentValue>100</percentValue> 
  </memory>
  <connectionsPerSecond>
    <value>100000</value> 
  </connectionsPerSecond>
</eventThresholds>