Puede crear directivas y reglas de firewall de puerta de enlace que se apliquen a varias ubicaciones o interfaces seleccionadas para ubicaciones específicas desde el Administrador global.
Las puertas de enlace de nivel 0 o nivel 1 creadas a partir del Global Manager abarcan todas las ubicaciones o un conjunto de ellas. Tiene algunas opciones al aplicar las reglas de firewall de puerta de enlace creadas a partir del Global Manager: las reglas de firewall de puerta de enlace se pueden aplicar a todas las ubicaciones incluidas en el grupo de la puerta de enlace, a todas las interfaces de una ubicación concreta o a interfaces específicas de una o varias ubicaciones.
En el Local Manager, las reglas se aplican en el siguiente orden:- En primer lugar, se aplican las reglas creadas a partir de un Global Manager que se realicen correctamente en el Local Manager.
- A continuación, se aplican las reglas creadas a partir del Local Manager.
- La última regla aplicada es la regla de firewall de puerta de enlace predeterminada. Esta es la regla allow-all o deny-all que se aplica a todas las ubicaciones y todas las cargas de trabajo. Puede editar el comportamiento de esta regla predeterminada en el Global Manager.
Procedimiento
- En un explorador, acceda a https://<dirección-ip-de-global-manager> e inicie sesión en el Administrador global con privilegios de usuario admin de organización o de seguridad.
- Seleccione Seguridad > Firewall de puerta de enlace.
- Asegúrese de que está en la categoría predefinida correcta. Solo se admiten las categorías Reglas previas, Puerta de enlace local y Predeterminado en Global Manager. Para definir la directiva en la categoría Puerta de enlace local, haga clic en el nombre de la categoría en la pestaña Todas las reglas compartidas, o bien haga clic directamente en la pestaña Reglas específicas de la puerta de enlace.
Seleccione una puerta de enlace de nivel 0 o de nivel 1 en el menú desplegable situado junto a Puerta de enlace. La extensión de la puerta de enlace de nivel 0 o nivel 1 que seleccionó se convertirá en el intervalo predeterminado de la regla y la directiva de firewall de puerta de enlace. Puede reducir el intervalo, pero no expandirlo.
- Haga clic en Agregar directiva.
- En Nombre, escriba un nombre para la nueva sección de directiva.
- (opcional) Haga clic en el icono de engranaje para establecer la siguiente configuración de directiva:
Configuración Descripción TCP estricto Una conexión TCP comienza con un protocolo de enlace de tres vías (SYN, SYN-ACK y ACK) y, por lo general, termina con un intercambio de dos vías (FIN y ACK). En determinadas circunstancias, es posible que el firewall no vea el protocolo de enlace de tres vías para un flujo concreto (por ejemplo, debido al tráfico asimétrico). De forma predeterminada, el firewall obliga a un protocolo de enlace de tres vías y realizará sesiones de recogida que ya estén establecidas. Se puede habilitar el modo TCP estricto en cada sección para desactivar la recogida de sesiones medias y exigir el requisito de un protocolo de enlace de tres vías. Cuando se habilita el modo TCP estricto en una directiva de firewall en particular y se utiliza una regla de bloqueo ANY-ANY predeterminada se descartan los paquetes que no completan los requisitos de conexión de protocolo de tres vías y que coinciden con una regla basada en TCP en esta sección. El modo TCP estricto solo se aplica a las reglas de TCP con estado y se habilita en el nivel de la directiva de firewall de puerta de enlace. TCP estricto no se aplica a los paquetes que coinciden con el permiso ANY-ANY predeterminado, sin especificar ningún servicio TCP. Con estado Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall. Bloqueado La directiva se puede bloquear para impedir que varios usuarios realicen cambios en las mismas secciones. Al bloquear una sección, debe incluir un comentario. - Haga clic en Publicar. Se pueden agregar varias directivas y, a continuación, publicarlas al mismo tiempo.
La nueva directiva se muestra en la pantalla.
- Seleccione una sección de directiva y haga clic en Agregar regla.
- Introduzca un nombre para la regla.
- En la columna Orígenes, haga clic en el icono de edición y seleccione el origen de la regla. El grupo de origen debe tener el mismo intervalo que la puerta de enlace o un subconjunto de este.
- En la columna Destinos, haga clic en el icono de edición y seleccione el destino de la regla. Si no está definido, el destino coincidirá con cualquiera. El grupo de destino debe tener el mismo intervalo que la puerta de enlace o un subconjunto de este.
- En la columna Servicios, haga clic en el icono de lápiz y seleccione los servicios. Si no está definido, el servicio coincidirá con cualquiera. Haga clic en Aplicar para guardar.
- En la columna Perfiles, haga clic en el icono de edición y seleccione un perfil de contexto, o bien haga clic en Agregar nuevo perfil de contexto. Consulte Perfiles de contexto.
Nota: Los perfiles de contexto no se admiten para las puertas de enlace de nivel 0. Puede aplicar perfiles de contexto de Capa 7 a las puertas de enlace de nivel 1.
- Haga clic en el icono del lápiz en la columna Se aplica a. En el cuadro de diálogo Se aplica a:
Selección de Se aplica a Resultado Seleccione Aplicar regla a la puerta de enlace La regla de firewall de puerta de enlace se aplica a todas las ubicaciones cubiertas por el intervalo de la puerta de enlace. Si agrega otra ubicación a la puerta de enlace, esta regla de firewall de puerta de enlace se aplicará automáticamente a la ubicación. Seleccione una ubicación y, a continuación, seleccione Aplicar regla a todas las entidades. Aplique esta regla a todas las interfaces de la ubicación seleccionada. Seleccione una ubicación y, a continuación, seleccione las interfaces para esa ubicación. Aplique la regla solo a las interfaces seleccionadas en una o varias ubicaciones. Nota: No hay ninguna selección predeterminada para Se aplica a. Debe realizar una selección para poder publicar esta regla. - En la columna Acción, seleccione una acción.
Opción Descripción Permitir Permite todo el tráfico con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente. Quitar Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos. Rechazar Rechaza paquetes con el origen, destino y protocolo especificados. Al rechazar un paquete, se envía al remitente un mensaje de destino inaccesible. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Después de un intento, se envía una notificación a la aplicación de envío para indicarle que no se puede establecer conexión.
- Haga clic en el botón de alternancia de estado para habilitar o deshabilitar la regla.
- Haga clic en el icono de engranaje para establecer el registro, la dirección, el protocolo IP, las etiquetas y las notas.
Opción Descripción Registro Se puede activar o desactivar el registro. Puede acceder a los registros mediante el siguiente comando de la CLI de NSX en NSX Edge: get log-file syslog | find datapathd.firewallpkt
Los registros también se pueden enviar a un servidor syslog externo.Dirección Las opciones son Entrada, Salida y Entrada/salida. El valor predeterminado es Entrada/salida. Este campo hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. Entrada significa que solo se comprueba el tráfico que entra al objeto, Salida significa que solo se comprueba el tráfico que sale del objeto y Entrada/salida significa que se comprueba el tráfico en ambas direcciones. Protocolo IP Las opciones son IPv4, IPv6 e IPv4_IPv6. El valor predeterminado es IPv4_IPv6. Etiqueta de registro La etiqueta de registro que se han agregado a la regla. Nota: Haga clic en el icono de gráfico para ver las estadísticas de flujo de la regla de firewall. Puede ver información como la cantidad de bytes, el recuento de paquetes y las sesiones. - Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo.
- Haga clic en Comprobar estado para ver el estado de realización de la directiva aplicada a las puertas de enlace a través de los nodos de Edge en diferentes ubicaciones. Puede hacer clic en Correcto o Error para abrir la ventana de estado de la directiva.