Las reglas de firewall se agregan en el ámbito de NSX Manager. Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.

Antes de empezar

Compruebe que el estado de Distributed Firewall de NSX no esté en modo de compatibilidad con versiones anteriores. Para comprobar el estado actual, utilice la llamada API de REST GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. Si el estado actual es el modo de compatibilidad con versiones anteriores, puede cambiar el estado al modo de reenvío mediante la llamada API de REST PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. No intente publicar una regla de Distributed Firewall cuando el Distributed Firewall esté en modo de compatibilidad con versiones anteriores.

Si agrega reglas de firewall universales, consulte Agregar una regla de firewall universal

Si agrega una regla de firewall basada en identidad, garantice que:

  • Se hayan registrado uno o varios dominios en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

  • Se haya creado un grupo de seguridad basado en objetos de Active Directory que pueda utilizarse como origen o destino de la regla. Consulte Crear un grupo de seguridad.

Si va a agregar una regla basada en un objeto de VMware vCenter, asegúrese de que VMware Tools esté instalado en las máquinas virtuales. Consulte Guía de instalación de NSX.

Por qué y cuándo se efectúa esta tarea

Los siguientes objetos de vCenter pueden especificarse como origen o destino de una regla de firewall:

Tabla 1. Objetos admitidos para reglas de firewall

Origen o destino

Se aplica a

  • clúster

  • centro de datos

  • grupo de puertos distribuidos

  • conjunto de direcciones IP

  • grupo de puertos heredados

  • conmutador lógico

  • grupo de recursos

  • grupo de seguridad

  • vApp

  • máquina virtual

  • vNIC

  • dirección IP (IPv4 o IPv6)

  • todos los clústeres en los cuales se instaló el Distributed Firewall (en otras palabras, todos los clústeres que se prepararon para la virtualización de red)

  • todas las puertas de enlace Edge instaladas en clústeres preparados

  • clúster

  • centro de datos

  • grupo de puertos distribuidos

  • Edge

  • grupo de puertos heredados

  • conmutador lógico

  • grupo de seguridad

  • máquina virtual

  • vNIC

Procedimiento

  1. En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
  2. Asegúrese de estar en la pestaña General para agregar una regla de Capa 3. Haga clic en la pestaña Ethernet para agregar una regla de Capa 2.
  3. En la sección en la que agrega una regla, haga clic en el icono Agregar regla (Add rule) (icono Agregar).
  4. Haga clic en Publicar cambios (Publish Changes).

    Se agregará una nueva regla de permiso "any any" en la parte superior de la sección. Si la regla definida por el sistema es la única regla en la sección, la regla nueva se agrega arriba de la regla predeterminada.

    Si desea agregar una regla en un lugar específico de la sección, seleccione una regla. En la columna N.º (No.), haga clic en y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).

    regla

  5. Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en editar.
  6. Escriba el nombre de la nueva regla.
  7. Coloque el puntero sobre la celda Origen (Source) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.

    Opción

    Descripción

    Haga clic en IP

    Para especificar el origen como una dirección IP.

    1. Seleccione el formato de dirección IP.

      El firewall admite los formatos IPv4 e IPv6.

    2. Escriba la dirección IP.

      Puede introducir varias direcciones IP en una lista separada por comas. La lista puede contener hasta 255 caracteres.

    Haga clic en

    Para especificar el origen como un objeto que no sea una dirección IP específica.

    1. En Ver (View), seleccione el contenedor desde el cual se originó la comunicación.

      Aparecen los objetos del contenedor seleccionado.

    2. Seleccione uno o varios objetos y haga clic en agregar.

      Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna Origen (Source) de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Objetos de seguridad y red.

    3. Para excluir un origen de la regla, haga clic en Opciones avanzadas (Advanced options).

    4. Seleccione Negar origen (Negate Source) para excluir este origen de la regla.

      Si se selecciona Negar origen (Negate Source), la regla se aplica al tráfico proveniente de todas las fuentes, salvo la especificada en el paso anterior.

      Si no se selecciona Negar origen (Negate Source), la regla se aplica al tráfico proveniente del origen especificado en el paso anterior.

    5. Haga clic en Aceptar (OK).

  8. Coloque el puntero sobre la celda Destino (Destination) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.

    Opción

    Descripción

    Haga clic en IP

    Para especificar el destino como una dirección IP.

    1. Seleccione el formato de dirección IP.

      El firewall admite los formatos IPv4 e IPv6.

    2. Escriba la dirección IP.

      Puede introducir varias direcciones IP en una lista separada por comas. La lista puede contener hasta 255 caracteres.

    Haga clic en

    Para especificar el destino como un objeto que no sea una dirección IP específica.

    1. En Ver (View), seleccione el contenedor de destino de la comunicación.

      Aparecen los objetos del contenedor seleccionado.

    2. Seleccione uno o varios objetos y haga clic en agregar.

      Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna Destino (Destination) de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Objetos de seguridad y red.

    3. Para excluir un puerto de destino, haga clic en Opciones avanzadas (Advanced options).

    4. Seleccione Negar destino (Negate Destination) para excluir este destino de la regla.

      Si se selecciona Negar destino (Negate Destination), la regla se aplica al tráfico dirigido a todos los destinos, salvo el especificado en el paso anterior.

      Si no se selecciona Negar destino (Negate Destination), la regla se aplica al tráfico dirigido al destino especificado en el paso anterior.

    5. Haga clic en Aceptar (OK).

  9. Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.

    Opción

    Descripción

    Haga clic en puerto

    Para especificar el servicio como una combinación de protocolo de puertos.

    1. Seleccione el protocolo de servicio.

      Distributed Firewall admite ALG (Application Level Gateway) para los siguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC.

      Edge admite solo ALG para FTP.

    2. Escriba el número de puerto y haga clic en Aceptar (OK).

    Haga clic en

    Para seleccionar un servicio o un grupo de servicios predefinido, o para definir uno nuevo.

    1. Seleccione uno o varios objetos y haga clic en agregar.

      Puede crear un servicio o un grupo de servicios nuevos. Una vez creado el nuevo objeto, se agrega a la columna Objetos seleccionados (Selected Objects) de forma predeterminada.

    2. Haga clic en Aceptar (OK).

    Para proteger la red contra saturaciones ACK o SYN, puede establecer el servicio con el valor TCP-all_ports o UDP-all_ports y establecer la acción de bloqueo para la regla predeterminada. Para obtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla de Distributed Firewall predeterminada.

  10. Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en editar. Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).

    Acción

    Resultado

    Permitir (Allow)

    Permite tráfico desde o hacia los orígenes, los destinos y los servicios especificados.

    Bloquear (Block)

    Bloquea el tráfico desde o hacia los orígenes, los destinos y los servicios especificados.

    Rechazar (Reject)

    Envía un mensaje de rechazo para paquetes no aceptados.

    Se envían paquetes RST para conexiones TCP.

    Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP.

    Registrar (Log)

    Registra todas las sesiones que coinciden con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.

    No registrar (Do not log)

    No registra las sesiones.

  11. En Se aplica a (Applied To), defina el ámbito al cual se aplica esta regla. Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).

    Para aplicar una regla a

    Hacer lo siguiente

    Todos los clústeres preparados en el entorno

    Seleccione Aplicar esta regla en todos los clústeres donde está habilitado el Distributed Firewall (Apply this rule on all clusters on which Distributed Firewall is enabled). Después de hacer clic en Aceptar (OK), la columna Se aplica a (Applied To) para esta regla muestra Distributed Firewall (Distributed Firewall).

    Todas las puertas de enlace NSX Edge en el entorno

    Seleccione Aplicar esta regla en todas las puertas de enlace Edge (Apply this rule on all Edge gateways). Después de hacer clic en Aceptar (OK), la columna Se aplica a (Applied To) para esta regla muestra Todos las instancias de Edge (All Edges).

    Si las dos opciones anteriores están seleccionadas, la columna Se aplica a (Applied To) muestra Cualquiera (Any).

    Uno o varios clústeres, centros de datos, grupos de puertos virtuales distribuidos, instancias de NSX Edge, redes, máquinas virtuales, vNIC o conmutadores lógicos

    1. En Tipo de contenedor (Container type), seleccione el objeto apropiado.

    2. En la lista Disponibles (Available), seleccione uno o varios objetos y haga clic en agregar.

    Si la regla contiene máquinas virtuales o vNIC en los campos de origen y destino, debe agregar las máquinas virtuales o vNIC de origen y destino a Se aplica a (Applied To) para que la regla funcione correctamente.

  12. Haga clic en Publicar cambios (Publish Changes).

    Después de unos minutos, aparece un mensaje que indica si la operación de publicación se completó correctamente. Si se produce algún error, se muestra un listado de los hosts donde no se aplicó la regla. Para obtener detalles adicionales sobre una publicación con errores, desplácese hasta Instancias de NSX Manager (NSX Managers) > NSX_Manager_IP_Address > Supervisar (Monitor) > Eventos del sistema (System Events).

    Al hacer clic en Publicar cambios (Publish Changes), se guarda automáticamente la configuración del firewall. Para obtener información sobre cómo revertir a una configuración anterior, consulte Cargar configuración de firewall.

Qué hacer a continuación

  • Para deshabilitar una regla, haga clic en deshabilitar; para habilitarla, haga clic en habilitar regla.

  • Para mostrar columnas adicionales en la tabla de reglas, haga clic en seleccionar columnas y seleccione las columnas correspondientes.

    Nombre de la columna

    Información que se muestra

    Identificador de reglas

    Identificador único generado por el sistema para cada regla

    Registrar (Log)

    El tráfico para esta regla se registra o no

    Estadísticas (Stats)

    Al hacer clic en estadísticas, se muestra el tráfico relacionado con esta regla (tamaño y paquetes de tráfico)

    Comentarios (Comments)

    Comentarios de la regla

  • Para buscar las reglas, escriba texto en el campo Buscar (Search).

  • Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.

  • Para combinar las secciones, haga clic en el icono Combinar sección (Merge section) y seleccione Combinar con la sección anterior (Merge with above section) o Combinar con la sección siguiente (Merge with below section).