En un entorno de Cross-vCenter NSX, las reglas universales hacen referencia a las reglas de Distributed Firewall que se definieron en la instancia principal de NSX Manager en la sección de reglas universales. Estas reglas se replican a todas las instancias secundarias de NSX Manager en el entorno, lo que permite mantener una directiva de firewall coherente dentro de los límites de vCenter. Las reglas de Edge Firewall no son compatibles con vMotion entre varias instancias de vCenter Server.

Por qué y cuándo se efectúa esta tarea

La instancia principal de NSX Manager puede contener varias secciones universales para las reglas universales de Capa 2 y varias secciones universales para las reglas universales de Capa 3. Las secciones universales están encima de todas las secciones de Service Composer y locales. En las instancias secundarias de NSX Manager, las secciones universales y las reglas universales se pueden ver pero no editar. La ubicación de la sección universal con respecto a la sección local no afecta la prioridad de las reglas.

Tabla 1. Objetos compatibles con las reglas de firewall universales

Origen y destino

Se aplica a

Servicio (Service)

  • conjunto de direcciones MAC universales

  • conjunto de direcciones IP universales

  • grupo de seguridad universal, que puede contener una etiqueta de seguridad universal, un conjunto de direcciones IP o MAC, o un grupo de seguridad universal

  • conmutador lógico universal

  • grupo de seguridad universal, que puede contener una etiqueta de seguridad universal, un conjunto de direcciones IP o MAC, o un grupo de seguridad universal

  • conmutador lógico universal

  • Distributed Firewall: las reglas se aplican a todos los clústeres en los que se instaló el Distributed Firewall

  • servicios universales creados previamente y grupos de servicios

  • servicios universales creados por el usuario y grupos de servicios

Tenga en cuenta que no se admiten otros objetos de vCenter para las reglas universales.

Requisitos

Para poder crear reglas universales, primero se debe crear una sección de reglas universales. Consulte Agregar una sección de regla de firewall.

Procedimiento

  1. En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
  2. En NSX Manager, asegúrese de seleccionar la instancia principal de NSX Manager.

    Solo se pueden agregar reglas universales a la instancia principal de NSX Manager.

  3. Para agregar una regla universal de Capa 3, asegúrese de estar en la pestaña General. Para agregar una regla universal de Capa 2, haga clic en la pestaña Ethernet.
  4. En la sección universal, haga clic en el icono Agregar regla (Add rule) (icono agregar) y seleccione Publicar cambios (Publish Changes).

    Se agregará una nueva regla de permiso "any any" en la parte superior de la sección universal.

  5. Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en . Introduzca un nombre para la regla.
  6. Coloque el puntero sobre la celda Origen (Source) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.

    Opción

    Descripción

    Haga clic en IP

    Para especificar el origen como una dirección IP.

    1. Seleccione el formato de dirección IP.

      El firewall admite los formatos IPv4 e IPv6.

    2. Escriba la dirección IP.

    Haga clic en

    Para especificar un IPSet, un MACSet o un grupo de seguridad universal como el origen.

    1. En Tipo de objeto (Object Type), seleccione el contenedor desde el cual se originó la comunicación.

      Aparecen los objetos del contenedor seleccionado.

    2. Seleccione uno o varios objetos y haga clic en agregar.

      Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna Origen (Source) de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Objetos de seguridad y red.

    3. Para excluir un origen de la regla, haga clic en Opciones avanzadas (Advanced options).

    4. Seleccione Negar origen (Negate Source) para excluir este origen de la regla.

      Si se selecciona Negar origen (Negate Source), la regla se aplica al tráfico proveniente de todas las fuentes, salvo la especificada en el paso anterior.

      Si no se selecciona Negar origen (Negate Source), la regla se aplica al tráfico proveniente del origen especificado en el paso anterior.

    5. Haga clic en Aceptar (OK).

  7. Coloque el puntero sobre la celda Destino (Destination) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.

    Opción

    Descripción

    Haga clic en IP

    Para especificar el destino como una dirección IP.

    1. Seleccione el formato de dirección IP.

      El firewall admite los formatos IPv4 e IPv6.

    2. Escriba la dirección IP.

    Haga clic en

    Para especificar un IPSet, un MACSet o un grupo de seguridad universal como el destino.

    1. En Tipo de objeto (Object Type), seleccione el contenedor hacia donde se dirige la comunicación.

      Aparecen los objetos del contenedor seleccionado.

    2. Seleccione uno o varios objetos y haga clic en agregar.

      Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna Destino (Destination) de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Objetos de seguridad y red.

    3. Para excluir un destino de la regla, haga clic en Opciones avanzadas (Advanced options).

    4. Seleccione Negar destino (Negate Destination) para excluir este destino de la regla.

      Si se selecciona Negar destino (Negate Destination), la regla se aplica al tráfico dirigido a todos los destinos, salvo el especificado en el paso anterior.

      Si no se selecciona Negar destino (Negate Destination), la regla se aplica al tráfico dirigido al destino especificado en el paso anterior.

    5. Haga clic en Aceptar (OK).

  8. Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.

    Opción

    Descripción

    Haga clic en puerto

    Para especificar un servicio como una combinación puerto-protocolo.

    1. Seleccione el protocolo de servicio.

      Distributed Firewall admite ALG (Application Level Gateway) para los siguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC.

    2. Escriba el número de puerto y haga clic en Aceptar (OK).

    Haga clic en

    Para seleccionar un servicio universal o un grupo de servicio universal definido previamente, o definir uno nuevo.

    1. Seleccione uno o varios objetos y haga clic en agregar.

      Puede crear un servicio o un grupo de servicios nuevos. Una vez creado el nuevo objeto, se agrega a la columna Objetos seleccionados (Selected Objects) de forma predeterminada.

    2. Haga clic en Aceptar (OK).

    Para proteger la red contra saturaciones ACK o SYN, puede establecer el servicio con el valor TCP-all_ports o UDP-all_ports y establecer la acción de bloqueo para la regla predeterminada. Para obtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla de Distributed Firewall predeterminada.

  9. Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en . Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).

    Acción

    Resultado

    Permitir (Allow)

    Permite tráfico desde o hacia los orígenes, los destinos y los servicios especificados.

    Bloquear (Block)

    Bloquea el tráfico desde o hacia los orígenes, los destinos y los servicios especificados.

    Rechazar (Reject)

    Envía un mensaje de rechazo para paquetes no aceptados.

    Se envían paquetes RST para conexiones TCP.

    Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP.

    Registrar (Log)

    Registra todas las sesiones que coinciden con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.

    No registrar (Do not log)

    No registra las sesiones.

  10. En la celda Se aplica a (Applied To), acepte la opción de configuración predeterminada (Distributed Firewall) para aplicar la regla a todos los clústeres con el Distributed Firewall habilitado o bien, haga clic en el icono Editar para seleccionar los conmutadores lógicos universales a los que se deberá aplicar la regla.
  11. Haga clic en Publicar cambios (Publish Changes).

Resultados

La regla universal se replicará a todas las instancias secundarias de NSX Manager. El identificador de la regla será el mismo en todas las instancias de NSX. Para ver el identificador de la regla, haga clic en seleccionar columnas y seleccione Identificador de regla (Rule ID).

Las reglas universales pueden editarse en la instancia principal de NSX Manager, pero son de solo lectura en las instancias secundarias de NSX Manager.

Reglas de firewall con sección universal de Capa 3 y sección predeterminada de Capa 3:

Reglas de firewall

Qué hacer a continuación

  • Para deshabilitar una regla, haga clic en deshabilitar en la columna N.º (No.) y, para habilitarla, haga clic en habilitar regla.

  • Para mostrar columnas adicionales en la tabla de reglas, haga clic en seleccionar columnas y seleccione las columnas correspondientes.

    Nombre de la columna

    Información que se muestra

    Identificador de reglas

    Identificador único generado por el sistema para cada regla

    Registrar (Log)

    El tráfico para esta regla se registra o no

    Estadísticas (Stats)

    Al hacer clic en estadísticas, se muestra el tráfico relacionado con esta regla (tamaño y paquetes de tráfico)

    Comentarios (Comments)

    Comentarios de la regla

  • Para buscar las reglas, escriba texto en el campo Buscar (Search).

  • Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.