La pestaña Firewall de Edge (Edge Firewall) muestra las reglas creadas en la pestaña Firewall centralizado (Centralized Firewall) en modo de solo lectura. Cualquier regla que agregue aquí no se muestra en la pestaña Firewall centralizado (Centralized Firewall).

Por qué y cuándo se efectúa esta tarea

Puede agregar varias interfaces de NSX Edge o grupos de direcciones IP como origen y destino para las reglas de firewall.

Figura 1. Regla de firewall para que el tráfico fluya de una interfaz de NSX Edge a un servidor HTTP
regla

Figura 2. Regla de firewall para que el tráfico fluya de todas las interfaces internas (subredes en grupos de puertos conectados a interfaces internas) de una instancia de NSX Edge a un servidor HTTP
regla

Nota:

Si selecciona interna (internal) como el origen, la regla se actualiza automáticamente cuando configura interfaces internas adicionales.

Figura 3. Regla de firewall para que el tráfico permita SSH en m/c en una red interna
regla

Procedimiento

  1. En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Instancias de NSX Edge (NSX Edges).
  2. Haga doble clic en un dispositivo NSX Edge.
  3. Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña Firewall.
  4. Realice uno de los siguientes pasos.

    Opción

    Descripción

    Para agregar una regla en un lugar específico de la tabla de firewall

    1. Seleccione una regla.

    2. En la columna N.º (No.), haga clic en editar y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).

    Se agregará una nueva regla de permiso "any any" debajo de la regla seleccionada Si la regla definida por el sistema es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.

    Para agregar una regla copiando una regla

    1. Seleccione una regla.

    2. Haga clic en el icono Copiar (copiar).

    3. Seleccione una regla.

    4. En la columna N.º haga clic en editar y seleccione Pegar arriba (Paste Above) o Pegar abajo (Paste Below).

    Para agregar una regla en cualquier lugar en la tabla de firewall

    1. Haga clic en el icono Agregar (Add) (agregar) .

    Se agregará una nueva regla de permiso "any any" debajo de la regla seleccionada. Si la regla definida por el sistema es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.

    La nueva regla está habilitada de forma predeterminada.

  5. Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en editar.
  6. Escriba el nombre de la nueva regla.
  7. Coloque el puntero sobre la celda Origen (Source) de la nueva regla y haga clic en editar o .

    Si hizo clic en , escriba una dirección IP.

    1. Seleccione un objeto del menú desplegable y, a continuación, realice las selecciones adecuadas.

      Si selecciona Grupo de vNIC (vNIC Group) y, a continuación, selecciona vse, la regla se aplica al tráfico generado por NSX Edge. Si selecciona interna (internal) o externa (external), la regla se aplica al tráfico que viene de cualquier interfaz interna o de vínculo superior de la instancia de NSX Edge seleccionada. La regla se actualiza automáticamente cuando se configuran interfaces adicionales. Observe que las reglas de firewall en interfaces internas no funcionan para un enrutador lógico.

      Si selecciona Conjuntos de direcciones IP (IP Sets), puede crear un grupo de direcciones IP nuevo. Una vez que creado, el nuevo grupo se agrega a la columna Origen (Source) automáticamente. Para obtener información sobre cómo crear un conjunto de direcciones IP, consulte Crear un grupo de direcciones IP.

    2. Haga clic en Aceptar (OK).
  8. Coloque el puntero sobre la celda Destino (Destination) de la nueva regla y haga clic en editar o .
    1. Seleccione un objeto del menú desplegable y, a continuación, realice las selecciones adecuadas.

      Si selecciona Grupo de vNIC (vNIC Group) y, a continuación, selecciona vse, la regla se aplica al tráfico generado por NSX Edge. Si selecciona interna (internal) o externa (external), la regla aplica al tráfico que va a cualquier interfaz interna o de vínculo superior de la instancia de NSX Edge seleccionada. La regla se actualiza automáticamente cuando se configuran interfaces adicionales. Observe que las reglas de firewall en interfaces internas no funcionan para un enrutador lógico.

      Si selecciona Conjuntos de direcciones IP (IP Sets), puede crear un grupo de direcciones IP nuevo. Una vez que creado, el nuevo grupo se agrega a la columna Origen (Source) automáticamente. Para obtener información sobre cómo crear un conjunto de direcciones IP, consulte Crear un grupo de direcciones IP.

    2. Haga clic en Aceptar (OK).
  9. Coloque el puntero sobre la celda Servicio (Service) de la nueva regla y haga clic en editar o .
    • Si hizo clic en editar, seleccione un servicio. Para crear un servicio o un grupo de servicios nuevos, haga clic en Nuevo (New). Una vez creado, el nuevo servicio se agrega a la columna Servicio (Service) automáticamente. Para obtener más información sobre cómo crear un nuevo servicio, consulte Crear un servicio.

    • Si hizo clic en , seleccione un protocolo. Puede especificar el puerto de origen haciendo clic en la flecha junto a Opciones avanzadas (Advanced Options). VMware recomienda evitar especificar el puerto de origen en la versión 5.1 y posteriores. En cambio, se puede crear un servicio para una combinación de protocolo-puerto.

    Nota:

    NSX Edge solo es compatible con los servicios definidos con los protocolos de Capa 3.

  10. Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en editar. Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).

    Acción seleccionada

    Resultado

    Permitir (Allow)

    Permite el tráfico desde o hasta el origen y el destino especificados.

    Bloquear (Block)

    Bloquea el tráfico desde o hasta el origen y el destino especificados.

    Rechazar (Reject)

    Envía un mensaje de rechazo para paquetes no aceptados.

    Se envían paquetes RST en lugar de paquetes TCP.

    Se envían paquetes ICMP a los que no se puede acceder (con restricción administrativa) en lugar de otros paquetes.

    Registrar (Log)

    Registra todas las sesiones que coinciden con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.

    No registrar (Do not log)

    No registra las sesiones.

    Comentarios (Comments)

    Escriba comentarios, si es necesario.

    Opciones avanzadas (Advanced Options) > Coincidencia con traducción (Match on Translated)

    Aplica la regla a los servicios y las direcciones IP traducidas para una regla NAT.

    Habilitar dirección de regla (Enable Rule Direction)

    Indica si la regla es entrante o saliente.

    VMware no recomienda especificar la dirección de las reglas de firewall.

  11. Haga clic en Publicar cambios (Publish Changes) para transmitir la nueva regla a la instancia de NSX Edge.

Qué hacer a continuación

  • Deshabilite una regla haciendo clic en deshabilitar junto al número de regla en la columna N.° (No.).

  • Oculte las reglas generadas o las reglas previas (reglas agregadas en la pestaña Firewall centralizado [Centralized Firewall]). Para ello, haga clic en Ocultar reglas generadas (Hide Generated Rules) u Ocultar reglas previas (Hide Pre Rules).

  • Para mostrar columnas adicionales en la tabla de reglas, haga clic en seleccionar columnas y seleccione las columnas correspondientes.

    Nombre de la columna

    Información que se muestra

    Etiqueta de regla (Rule Tag)

    Identificador único generado por el sistema para cada regla

    Registrar (Log)

    El tráfico para esta regla se registra o no

    Estadísticas (Stats)

    Si hace clic en estadísticas se muestra el tráfico afectado por esta regla (cantidad de sesiones, paquetes de tráfico y tamaño).

    Comentarios (Comments)

    Comentarios de la regla

  • Para buscar las reglas, escriba texto en el campo Buscar (Search).