Distributed Firewall es un firewall integrado en el kernel del hipervisor que proporciona visibilidad y control para las redes y las cargas de trabajo virtualizadas.

Puede crear directivas de control de acceso basadas en objetos de VMware vCenter, como centros de datos y clústeres, así como nombres de máquinas virtuales; construcciones de red como direcciones IP o IPSet, VLAN (grupos de puertos DVS), VXLAN (conmutadores lógicos), grupos de seguridad e identidad de grupos de usuarios desde Active Directory. Las reglas de firewall se aplican en el nivel de la vNIC de cada máquina virtual individual para proporcionar control de acceso consistente incluso cuando se la máquina virtual se mueve con vMotion.

NSX Distributed Firewall es un firewall con estado, lo que significa que supervisa el estado de las conexiones activas y utiliza esta información para determinar qué paquetes de red pueden pasar a través del firewall. Un flujo se identifica por lo siguiente:

  • Dirección de origen

  • Puerto de origen

  • Dirección de destino

  • Puerto de destino

  • Protocolo (Protocol)

Una instancia de Distributed Firewall en un host ESXi (una instancia por máquina virtual vNIC) contiene dos tablas: una tabla de reglas para almacenar las reglas de las directivas, y una tabla de seguimiento de la conexión para almacenar las entradas de flujo con la acción de permitir. Las reglas de DFW se aplican de arriba a abajo. El tráfico que tiene que pasar a través de un firewall se compara con una lista de reglas de firewall. Cada paquete se compara con la regla principal de la tabla antes de bajar a las reglas subsiguientes de esa tabla. Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico. La última regla de la tabla es la regla de la directiva predeterminada de DFW: a los paquetes que no coincidan con ninguna regla que esté por encima de la regla predeterminada se les aplicará la regla predeterminada.

De forma predeterminada, NSX Distributed Firewall funciona en modo estricto de TCP y, cuando se utiliza una regla de bloqueo de forma predeterminada, descarta los paquetes que no cumplen los requisitos de conexión. Una conexión comienza con un protocolo de enlace de tres vías (SYN, SYN-ACK, ACK) y, por lo general, termina con un intercambio de dos vías (FIN, ACK)

Por ejemplo, si un paquete IP (primer paquete, pkt1) flujo 3 que coincide con la regla número 2 se envía a través de la máquina virtual, se realiza la siguiente búsqueda de directivas y el siguiente flujo de paquete:

  1. La búsqueda se lleva a cabo en la tabla de seguimiento de conexión para comprobar si ya existe una entrada para el flujo

  2. Debido a que el flujo 3 no está presente en la tabla de seguimiento de conexión (es decir, omisión de resultado), se realiza una búsqueda en la tabla de reglas para identificar qué regla se aplica al flujo de 3. Se aplicará la primera regla que coincida con el flujo.

  3. La regla 2 coincide con el flujo 3.

  4. Debido a que la acción configurada para el flujo 3 es "Permitir" (Allow), se creará una nueva entrada dentro de la tabla de seguimiento de la conexión. A continuación, se transmite el paquete fuera del firewall distribuido.

En el caso de los paquetes de Capa 2, el Distributed Firewall crea una memoria caché para aumentar el rendimiento. Los paquetes de Capa 3 se procesan en la secuencia siguiente:

  1. Se verifica el estado actual de todos los paquetes. Esto también se realiza en los SYN para poder detectar los SYN falsos o retransmitidos de las sesiones existentes.

  2. Si se encuentra una coincidencia de estado, se procesan los paquetes.

  3. Si no se encuentra una coincidencia de estado, el paquete se procesa por medio de las reglas hasta encontrar una coincidencia.

    • En el caso de los paquetes TCP, se establece el estado solo para los paquetes con la marca SYN. Sin embargo, las reglas que no especifican un protocolo (servicio CUALQUIERA [ANY]), pueden buscar coincidencias de los paquetes TCP con cualquier combinación de marcas.

    • En el caso de los paquetes UDP, se extraen los detalles de la 5-tupla del paquete. Si no existe un estado en la tabla de estado, se crea uno nuevo con los detalles de la 5-tupla extraídos. Posteriormente, se buscan coincidencias de los paquetes recibidos con el estado que se acaba de crear.

    • En el caso de los paquetes ICMP, se utilizan el tipo, el código y la dirección del paquete ICMP para crear un estado.

El Distributed Firewall también puede ayudar a crear reglas basadas en la identidad. Los administradores pueden aplicar el control de acceso en función de la pertenencia al grupo del usuario como se define en Active Directory empresarial. A continuación encontrará algunas situaciones en las que se pueden utilizar las reglas de firewall basadas en la identidad:

  • Un usuario que accede a aplicaciones virtuales con un equipo portátil o un dispositivo móvil en el que se utiliza AD para la autenticación del usuario.

  • Un usuario que accede a aplicaciones virtuales mediante la infraestructura de VDI donde las máquinas virtuales están basadas en Microsoft Windows.

Si tiene implementada una solución de firewall de proveedor externo en el entorno, consulte Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico.