Los usuarios de un proyecto pueden crear sus propias directivas de firewall distribuido para proteger el flujo del tráfico de este a oeste dentro del proyecto. Las reglas de firewall distribuido de un proyecto no afectan a las cargas de trabajo fuera del proyecto.

Reglas de DFW predeterminadas en un proyecto

Para cada proyecto que se agrega a NSX, el sistema crea una directiva de DFW predeterminada en el proyecto. La directiva predeterminada aparece en la parte inferior de la lista de directivas en la categoría Firewall de aplicaciones. La directiva predeterminada define el comportamiento de las máquinas virtuales dentro del proyecto si no se encuentra ninguna otra regla.

La siguiente convención de nomenclatura se utiliza para identificar la directiva de DFW predeterminada en un proyecto:

ORG-default PROJECT-<Nombre_Proyecto> Default Layer 3 section

Nombre_Proyecto se reemplaza por el valor real en su sistema.

Por ejemplo, la siguiente captura de pantalla muestra las reglas de directiva de DFW predeterminadas en un proyecto.


Esta imagen se describe en el texto adyacente.

Como se muestra en esta captura de pantalla, la directiva predeterminada se aplica a DFW y contiene las siguientes reglas de firewall:

  • La regla 1017 permite el tráfico IPv6-ICMP.
  • La regla 1018 permite la comunicación con el servidor y el cliente DHCPv4.
  • La regla 1019 permite la comunicación con el servidor y el cliente DHCPv6. (Se introdujo en NSX 4.1.1)
  • La regla 1020 permite la comunicación entre las máquinas virtuales de carga de trabajo dentro del proyecto.
  • La regla 1021 descarta las demás comunicaciones que no coinciden con ninguna de las reglas anteriores.

La directiva de DFW predeterminada garantiza que las máquinas virtuales de un proyecto solo puedan acceder a otras máquinas virtuales del mismo proyecto, incluido el servidor DHCP. La comunicación con las máquinas virtuales fuera del proyecto está bloqueada. Las máquinas virtuales que están conectadas a los segmentos dentro del proyecto no pueden hacer ping a su puerta de enlace predeterminada. Si se requiere una comunicación de este tipo, deberá agregar nuevas reglas o modificar las reglas existentes en la directiva de DFW predeterminada.

Reglas de DFW creadas por el usuario en un proyecto

Las categorías de firewall de DFW Infraestructura, Entorno y Aplicación son compatibles con los proyectos dentro de la organización. Dentro de cada categoría de firewall, las reglas de DFW se aplican en el siguiente orden de prioridad:
  1. Reglas de DFW en el espacio predeterminado (prioridad más alta)
  2. Reglas de DFW en el proyecto
  3. (A partir de NSX 4.1.1): las reglas de firewall E-O en las VPC de NSX dentro del proyecto (prioridad más baja)

Las reglas de DFW en el espacio predeterminado pueden extenderse a un proyecto.

Nota: Las reglas de DFW en el espacio predeterminado se aplican a todas las máquinas virtuales de la implementación de NSX, incluidas las máquinas virtuales de los proyectos. Sin embargo, para restringir el ámbito de las reglas en el espacio predeterminado, seleccione la opción Grupos en el ajuste Se aplica a de la interfaz de usuario.

Por ejemplo, puede aplicar las reglas al grupo predeterminado del proyecto (ORG-default-PROJECT-<Nombre_proyecto>). El grupo predeterminado del proyecto contiene solo las máquinas virtuales de carga de trabajo de un proyecto.

Las reglas de DFW dentro de un proyecto pueden acceder a los siguientes grupos:
  • Grupos que se crean en el proyecto.
  • Grupos que se comparten con el proyecto.

Los grupos que se comparten con los proyectos solo se pueden utilizar en los campos Origen o Destino de las reglas de firewall, y no en el campo Se aplica a de las reglas de firewall.

(A partir de NSX 4.1.1): si se agregan varias VPC de NSX a un proyecto, los grupos predeterminados creados por el sistema en las VPC de NSX se podrán utilizar en los campos Origen, Destino y Se aplica a de las reglas de firewall del proyecto. Sin embargo, los grupos creados por el usuario en las VPC de NSX no se podrán usar en las reglas de firewall del proyecto.

Las reglas de firewall de un proyecto solo se aplican a las máquinas virtuales del proyecto, es decir, a las máquinas virtuales que están conectadas a los segmentos del proyecto. Las reglas de firewall dentro de un proyecto, incluidas las reglas Cualquiera-Cualquiera que se aplican a DFW, no afectan a las cargas de trabajo fuera del proyecto.

Agregar una directiva de DFW en un proyecto

El flujo de trabajo de la interfaz de usuario para agregar una directiva de DFW a un proyecto sigue siendo el actual para agregar directivas en la vista Predeterminado (espacio predeterminado) de la implementación de NSX.

La única diferencia es que, en la interfaz de usuario, deberá seleccionar primero un proyecto en el menú desplegable del selector de proyectos en la barra de aplicaciones situada en la parte superior y, a continuación, ir a Seguridad > Firewall distribuido para agregar directivas de DFW en el proyecto seleccionado.