Antes de crear reglas de firewall de aplicación en el firewall de puerta de enlace de nivel 0, es importante agregar manualmente reglas de firewall de puerta de enlace para permitir protocolos de enrutamiento, como BGP, OSPF y el protocolo de detección de errores BFD. Estas reglas deben agregarse antes que las reglas de aplicación para garantizar que el protocolo de detección de errores correspondiente al emparejamiento de enrutamiento no se vea afectado al cambiar las reglas de firewall de aplicaciones.
Requisitos previos
Para activar el firewall de puerta de enlace, seleccione Seguridad > Firewall de puerta de enlace > Configuración. Haga clic en ACTIVAR para el firewall de puerta de enlace de nivel 1 o nivel 0 que desea activar.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Seleccione Seguridad > Firewall de puerta de enlace.
- Seleccione la pestaña Todas las reglas compartidas o Reglas específicas de la puerta de enlace. Haga clic en Agregar directiva. Consulte Firewall de puerta de enlace para obtener más información sobre las categorías de reglas.
- En Nombre, escriba un nombre para la nueva sección de directiva.
- Haga clic en el icono de engranaje para establecer la siguiente configuración de directiva:
Configuración Descripción TCP estricto De forma predeterminada, el firewall de puerta de enlace funciona en modo TCP estricto. El modo TCP estricto solo se aplica a las reglas de TCP con estado y se habilita en el nivel de la directiva de firewall de puerta de enlace. TCP estricto no se aplica a los paquetes que coinciden con el permiso ANY-ANY predeterminado, sin especificar ningún servicio TCP. Con estado De forma predeterminada, con estado está activado. Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall. Bloqueado De forma predeterminada, bloqueado está desactivado. La directiva se puede bloquear para impedir que varios usuarios realicen cambios en las mismas secciones. Al bloquear una sección, debe incluir un comentario. - Seleccione una sección de directiva y haga clic en Agregar regla.
- Introduzca un nombre para la regla.
- En la columna Orígenes, haga clic en el icono de lápiz y seleccione Grupos o Direcciones IP. Para las direcciones IP, puede introducir una dirección IP, un CIDR o un rango de direcciones IP. Para el cuadro de origen de una regla de IDFW, se pueden usar grupos con miembros de Active Directory. Consulte Agregar un grupo.
- En la columna Destinos, haga clic en el icono de lápiz y seleccione Grupos o Direcciones IP. Para las direcciones IP, puede introducir una dirección IP, un CIDR o un rango de direcciones IP. Si no está definido, el destino coincidirá con cualquiera. Consulte Agregar un grupo.
- En la columna Servicios, haga clic en el icono de lápiz y seleccione los servicios. Si no está definido, el servicio coincidirá con cualquiera. Consulte Agregar un servicio.
- Para las puertas de enlace de nivel 1, en la columna Perfiles, haga clic en el icono del lápiz y seleccione un perfil de contexto o un perfil de acceso de capa 7. O bien, cree perfiles nuevos. Consulte Perfiles. Consulte Flujo de trabajo de reglas de firewall de Capa 7 para obtener directrices de diseño para perfiles de contexto.
- Una regla de firewall de puerta de enlace puede contener un perfil de contexto o un perfil de acceso de capa 7, pero no ambos.
- Las reglas de firewall de puerta de enlace no admiten perfiles de contexto con el tipo de atributo Nombre de dominio (FQDN).
- Solo se puede utilizar un perfil de acceso de capa 7 dentro de una misma regla de firewall de puerta de enlace.
- En 4.1.2 y versiones posteriores, para las puertas de enlace de nivel 0, en la columna Perfiles, haga clic en el icono de lápiz y seleccione un perfil de acceso de capa 7. Consulte Perfiles de acceso de capa 7. Los perfiles de contexto no se admiten en la directiva de firewall de puerta de enlace de nivel 0.
- Haga clic en Aplicar.
- Haga clic en el icono de lápiz de la columna Se aplica a para cambiar el ámbito de aplicación por regla. En el cuadro de diálogo Se aplica a, haga clic en el menú desplegable Categoría para filtrar por tipo de objeto, como interfaces, etiquetas y VTI, para seleccionar esos objetos específicos.
De forma predeterminada, las reglas de firewall de puerta de enlace se aplican a todos los vínculos superiores e interfaces de servicio disponibles en una puerta de enlace seleccionada.
Para el filtrado de URL, Se aplica a solo pueden ser puertas de enlace de nivel 1.
- En la columna Acción, seleccione una acción.
Opción Descripción Permitir Permite todo el tráfico con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente. La acción de la regla con un perfil de acceso de capa 7 debe ser Allow.
Descartar Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos. Rechazar Rechaza paquetes con el origen, destino y protocolo especificados. Al rechazar un paquete, se envía al remitente un mensaje de destino inaccesible. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Después de un intento, se envía una notificación a la aplicación de envío para indicarle que no se puede establecer conexión.
- Haga clic en el botón de alternancia de estado para activar o desactivar la regla.
- Haga clic en el icono de engranaje para establecer el registro, la dirección, el protocolo IP y los comentarios.
Opción Descripción Registro El registro se puede desactivar o activar. Los registros de firewall de puerta de enlace proporcionan el enrutamiento y reenvío virtual de la puerta de enlace e información de la interfaz de la puerta de enlace, junto con los detalles de flujo Los registros del firewall de puerta de enlace pueden encontrarse en el archivo denominado firewallpkt.log en el directorio /var/log.
Dirección Las opciones son Entrada, Salida y Entrada/salida. El valor predeterminado es Entrada/salida. Este campo hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. Entrada significa que solo se comprueba el tráfico que entra al objeto, Salida significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones. Protocolo IP Las opciones son IPv4, IPv6 e IPv4_IPv6. El valor predeterminado es IPv4_IPv6. Etiqueta de registro La etiqueta de registro es el nombre del registro cuando el registro está activado. El número máximo de caracteres es 39. Comentarios Agregue comentarios a la regla de firewall. Nota: Haga clic en el icono de gráfico para ver las estadísticas de flujo de la regla de firewall. Puede ver información como la cantidad de bytes, el recuento de paquetes y las sesiones. - Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo.
- En cada sección de la directiva, haga clic en el icono de información para ver el estado actual de las reglas de firewall de Edge que se envían a los nodos de Edge. También se muestran las alarmas generadas cuando se insertan las reglas en los nodos de Edge.
- Para ver el estado consolidado de las reglas de firewall de puerta de enlace que se aplican a los nodos de Edge, realice la llamada a la API.
GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true