Es posible establecer la opción "Se aplica a" (Applied to) para todas las reglas del firewall creadas a través de Service Composer para el Distributed Firewall o las directivas de los grupos de seguridad. De forma predeterminada, "Se aplica a" (Applied to) se configura para el Distributed Firewall.

Por qué y cuándo se efectúa esta tarea

Cuando las reglas del firewall de Service Composer tienen una opción de "Se aplica a" (Applied to) para configurar el firewall distribuido, las reglas se aplican a todos los clústeres en los que dicho firewall esté instalado. Si se configuraron las reglas del firewall para aplicarse a los grupos de seguridad de la directiva, cuenta con más control granular sobre las reglas del firewall, pero puede necesitar varias directivas de seguridad o reglas del firewall para conseguir el resultado deseado.,

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security), en Service Composer y, por último, en la pestaña Directivas de seguridad (Security Policies).
  3. Haga clic en Acciones > Editar configuración de directiva de firewall (Actions > Edit Firewall Policy Settings). Seleccione una configuración predeterminada para "Se aplica a" (Applied to) y haga clic en Aceptar (OK).

    Opción

    Descripción

    Distributed Firewall

    Las reglas del firewall se aplican a todos los clústeres en los que el Distributed Firewall está instalado.

    Directivas de grupos de seguridad

    Las reglas del firewall se aplican a los grupos de seguridad a los que se aplique la directiva de seguridad.

    La configuración predeterminada de "Se aplica a" (Applied to) también se puede ver y se puede cambiar a través de la API. Consulte la Guía de NSX API.

Comportamiento de "Se aplica a" (Applied to)

En este escenario de ejemplo, la acción predeterminada de la regla de firewall está configurada para el bloqueo. Existen dos grupos de seguridad: web-servers y app-servers, que contienen las máquinas virtuales. Cree una directiva de seguridad, allow-ssh-from-web, que incluya la siguiente regla de firewall y aplíquela a app-servers del grupo de seguridad.

  • Nombre: allow-ssh-from-web

  • Origen: web-servers

  • Destino: directivas de grupos de seguridad

  • Servicio: ssh

  • Acción: permitir

Si la regla de firewall se aplica al Distributed Firewall, podrá realizar la acción ssh desde una máquina virtual en web-servers del grupo de seguridad a una máquina virtual de app-servers del grupo de seguridad.

Si la regla del firewall se aplica al grupo de seguridad de la directiva, no podrá realizar la acción ssh ya que el tráfico se bloquea para alcanzar los servidores de la aplicación. Será necesario crear una directiva de seguridad adicional para permitir la acción ssh para los servidores de la aplicación y aplicar esta directiva a web-servers del grupo de seguridad.

  • Nombre: allow-ssh-to-app

  • Origen: grupo de seguridad de la directiva

  • Destino: app-servers

  • Servicio: ssh

  • Acción: permitir