Requisitos previos
Para activar el firewall de puerta de enlace, seleccione la pestaña Configuración. Haga clic en ACTIVAR para el firewall de puerta de enlace de nivel 1 o nivel 0 que desea activar.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Seleccione Seguridad > Firewall de puerta de enlace.
- Haga clic en Agregar directiva .
- En Nombre, escriba un nombre para la nueva sección de directiva.
- En Destino, seleccione el destino de la directiva.
- Haga clic en el icono de engranaje para establecer la siguiente configuración de directiva:
Configuración Descripción TCP estricto De forma predeterminada, el firewall de puerta de enlace funciona en modo TCP estricto. El modo TCP estricto solo se aplica a las reglas de TCP con estado y se habilita en el nivel de la directiva de firewall de puerta de enlace. TCP estricto no se aplica a los paquetes que coinciden con el permiso ANY-ANY predeterminado, sin especificar ningún servicio TCP. Con estado De forma predeterminada, Con estado está activado. Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall. Bloqueado De forma predeterminada, Bloqueado está desactivado. La directiva se puede bloquear para impedir que varios usuarios realicen cambios en las mismas secciones. Al bloquear una sección, debe incluir un comentario. - Haga clic en Publicar.
Se pueden agregar varias directivas y, a continuación, publicarlas al mismo tiempo.La nueva directiva se muestra en la pantalla.
- Seleccione una sección de directiva y haga clic en Agregar regla.
- Introduzca un nombre para la regla. Se admiten las direcciones IPv4 e IPv6.
- En la columna Orígenes, haga clic en el icono de edición y seleccione el origen de la regla. Para el cuadro de origen de una regla de IDFW, se pueden usar grupos con miembros de Active Directory. Consulte Agregar un grupo.
- En la columna Destinos, haga clic en el icono de edición y seleccione el destino de la regla. Si no está definido, el destino coincidirá con cualquiera. Consulte Agregar un grupo.
- En la columna Servicios, haga clic en el icono de lápiz y seleccione los servicios. Si no está definido, el servicio coincidirá con cualquiera. Consulte Agregar un servicio.
- Para las puertas de enlace de nivel 1, en la columna Perfiles, haga clic en el icono editar y seleccione un perfil de contexto o un perfil de acceso de capa 7. O bien, cree perfiles nuevos. Consulte Perfiles.
- Una regla de seguridad puede contener un perfil de contexto o un perfil de acceso de capa 7, pero no ambos.
- Los perfiles de contexto y los perfiles de acceso de capa 7 no se admiten en la directiva de firewall de puerta de enlace de nivel 0.
- Las reglas de firewall de puerta de enlace no admiten perfiles de contexto con el tipo de atributo Nombre de dominio (FQDN).
- Las reglas de firewall de puerta de enlace admiten perfiles de acceso de capa 7 con el tipo de atributo Identificador de aplicación, Categoría de URL, URL personalizada y Reputación de URL. El tipo de atributo Identificador de aplicación admite varios subatributos.
- Haga clic en Aplicar.
- Haga clic en el icono de lápiz de la columna Se aplica a para cambiar el ámbito de aplicación por regla. En el cuadro de diálogo Se aplica a | Nueva regla, haga clic en el menú desplegable Categorías para filtrar por tipo de objeto, como interfaces, etiquetas y VTI, para seleccionar esos objetos específicos.
De forma predeterminada, las reglas de firewall de puerta de enlace se aplican a todos los vínculos superiores e interfaces de servicio disponibles en una puerta de enlace seleccionada.
Para el filtrado de URL, Se aplica a solo pueden ser puertas de enlace de nivel 1.
- En la columna Acción, seleccione una acción.
Opción Descripción Permitir Permite todo el tráfico con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente. La acción de la regla con un perfil de acceso de capa 7 debe ser Allow.
Quitar Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos. Rechazar Rechaza paquetes con el origen, destino y protocolo especificados. Al rechazar un paquete, se envía al remitente un mensaje de destino inaccesible. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Después de un intento, se envía una notificación a la aplicación de envío para indicarle que no se puede establecer conexión.
- Haga clic en el botón de alternancia de estado para activar o desactivar la regla.
- Haga clic en el icono de engranaje para establecer el registro, la dirección, el protocolo IP y los comentarios.
Opción Descripción Registro El registro se puede desactivar o activar. Los registros de firewall de puerta de enlace proporcionan el enrutamiento y reenvío virtual de la puerta de enlace e información de la interfaz de la puerta de enlace, junto con los detalles de flujo Los registros del firewall de puerta de enlace pueden encontrarse en el archivo denominado firewallpkt.log en el directorio /var/log.
Dirección Las opciones son Entrada, Salida y Entrada/salida. El valor predeterminado es Entrada/salida. Este campo hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. Entrada significa que solo se comprueba el tráfico que entra al objeto, Salida significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones. Protocolo IP Las opciones son IPv4, IPv6 e IPv4_IPv6. El valor predeterminado es IPv4_IPv6. Nota: Haga clic en el icono de gráfico para ver las estadísticas de flujo de la regla de firewall. Puede ver información como la cantidad de bytes, el recuento de paquetes y las sesiones. - Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo.
- En cada sección de la directiva, haga clic en el icono de información para ver el estado actual de las reglas de firewall de Edge que se envían a los nodos de Edge. También se muestran las alarmas generadas cuando se insertan las reglas en los nodos de Edge.
- Para ver el estado consolidado de las reglas de directiva que se aplican a los nodos de Edge, realice la llamada API.
GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true