Las listas de exclusión de firewall se componen de grupos que se pueden excluir de una regla de firewall basada en la pertenencia a grupos.

NSX Manager admite grupos excluidos del sistema y grupos excluidos del usuario:

  • Los grupos excluidos por el sistema están administrados por el sistema y son de solo lectura para los usuarios. Los grupos excluidos por el sistema incluyen SVM de Prevención de malware e Inserción de servicios, así como NSX Managers y dispositivos de NSX Edge implementados a través de un administrador de equipos configurado.
  • El usuario administra los grupos excluidos y están vacíos de forma predeterminada.

    Las máquinas virtuales, como equilibradores de carga, firewalls, funciones de red virtual (enrutamiento, conmutación, etc.) y cualquier máquina virtual que requiera el modo promiscuo deben estar en una lista de exclusión de DFW. VMware no permite agregar esas máquinas virtuales a DFW; se deben agregar manualmente a los grupos excluidos por el usuario.

En el clúster de NSX Manager, el primer nodo debe agregarse manualmente a la lista de exclusión del firewall distribuido.

Los grupos definidos por el usuario se pueden excluir de las reglas de firewall, pudiendo incluir en la lista un máximo de 100 grupos. Los conjuntos de direcciones IP, los conjuntos de direcciones MAC y los grupos de Active Directory no se pueden incluir como miembros de un grupo que se utiliza en una lista de exclusión de firewall.

Las listas de exclusión se admiten en un Administrador global (GM) en Federación de NSX. En un Administrador local (LM), habrá dos listas de exclusión: una del GM y la propia lista de exclusión del LM. Se excluyen todos los miembros de ambas listas.

Los grupos de Antrea no se admiten en una lista de exclusión de firewall.

Procedimiento

  1. Desplácese hasta Seguridad > Firewall distribuido > Configuración.
  2. Para ver la lista de exclusión de solo lectura, seleccione la pestaña Máquinas virtuales excluidas del sistema.
  3. Seleccione el sitio local específico de NSX Manager que desee ver. Puede filtrar la lista de máquinas virtuales excluidas por el sistema de la siguiente forma:
    • nombre
    • sistema operativo
    • estado de energía
    • origen
    • etiqueta
    • ámbito de etiqueta
  4. Para ver o editar las máquinas virtuales excluidas por el usuario, seleccione la pestaña Grupos excluidos.
  5. Para agregar un grupo definido por el usuario a la lista de exclusión de firewall, haga clic en Lista de exclusiones de firewall.

    Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en listas de exclusión.

  6. Busque o cree el grupo que se debe excluir, asegúrese de que la casilla de verificación correspondiente esté seleccionada y haga clic en Guardar. Tenga en cuenta que agregar, editar o eliminar un grupo no cambia su pertenencia a la lista de exclusión.
    1. Para crear un grupo, haga clic en Agregar grupo. Consulte Agregar un grupo.
    2. Para editar un grupo, haga clic en la casilla de verificación situada junto al grupo que desea editar y, a continuación, haga clic en el menú de tres puntos y seleccione Editar.
    3. Para eliminar un grupo, haga clic en la casilla de verificación situada junto al grupo que desea eliminar y, a continuación, haga clic en el menú de tres puntos y seleccione Eliminar.
    4. Para mostrar los detalles del grupo, haga clic en la flecha lateral.
  7. Haga clic en Guardar.