Cuando un proyecto de NSX se realiza correctamente, el sistema crea reglas de firewall distribuido y firewall de puerta de enlace predeterminados para controlar el comportamiento predeterminado del tráfico norte-sur y este-oeste para las cargas de trabajo en el proyecto de NSX.

Información general

Las reglas de firewall de un proyecto se aplican solo a las máquinas virtuales del proyecto. Es decir, las máquinas virtuales que están conectadas a los segmentos del proyecto. Las reglas de firewall de un proyecto no afectan a las cargas de trabajo fuera del proyecto.

En las siguientes subsecciones, el término "licencia base" hace referencia a cualquiera de las siguientes dos licencias:

  • NSX Networking for VMware Cloud Foundation
  • Solution License for VCF
Firewall distribuido

La licencia base autoriza al sistema a utilizar solo las funciones de red de NSX. No se puede configurar la función de seguridad del firewall distribuido. Para agregar o editar reglas de firewall distribuido en un proyecto de NSX, debe aplicar una licencia de seguridad adecuada en el sistema.

Si no se aplica una licencia de seguridad, las reglas de firewall distribuido predeterminadas creadas por el sistema no se activarán en el proyecto. Las reglas de firewall predeterminadas estarán en el proyecto, pero inactivas. No puede editar las reglas de firewall predeterminadas ni tampoco puede activarlas en el proyecto.

Firewall de puerta de enlace

La licencia base autoriza al sistema a agregar o editar solo reglas de firewall de puerta de enlace sin estado en el proyecto. Para agregar o editar reglas de firewall de puerta de enlace tanto con estado como sin estado en un proyecto, debe aplicar una licencia de seguridad adecuada en el sistema.

La directiva de firewall de puerta de enlace predeterminada de un proyecto es una directiva con estado. Cuando no se aplica una licencia de seguridad en el sistema, solo se puede editar la acción de la regla de firewall de puerta de enlace con estado. No se permiten otras modificaciones en la regla predeterminada. No se puede cambiar el estado de la directiva de firewall de puerta de enlace predeterminada de "con estado" a "sin estado".

Reglas de DFW predeterminadas en un proyecto

La directiva de firewall distribuido (DFW) predeterminada aparece en la parte inferior de la lista de directivas en la categoría Firewall de aplicaciones. La directiva predeterminada define el comportamiento de las máquinas virtuales dentro del proyecto si no se encuentra ninguna otra regla.

La siguiente convención de nomenclatura se utiliza para identificar la directiva de DFW predeterminada en un proyecto:

PROJECT-<Nombre-Proyecto>-Default Layer 3 section

Nombre_Proyecto se reemplaza por el valor real en su sistema.

Por ejemplo, la siguiente captura de pantalla muestra las reglas de directiva de DFW predeterminadas en un proyecto.


Esta captura de pantalla se describe en el texto adyacente.

Como se muestra en esta captura de pantalla, la directiva predeterminada se aplica a DFW y contiene las siguientes reglas de firewall:

  • La regla 1002 permite el tráfico IPv6-ICMP.
  • La regla 1003 permite la comunicación con el servidor y el cliente DHCPv4.
  • La regla 1004 permite la comunicación con el servidor y el cliente DHCPv6. (Se introdujo en NSX 4.1.1)
  • La regla 1005 permite la comunicación entre las máquinas virtuales de carga de trabajo dentro del proyecto.
  • La regla 1006 descarta las demás comunicaciones que no coinciden con ninguna de las reglas anteriores.

La directiva de DFW predeterminada garantiza que las máquinas virtuales de un proyecto solo puedan acceder a otras máquinas virtuales del mismo proyecto, incluido el servidor DHCP. La comunicación con las máquinas virtuales fuera del proyecto está bloqueada. Las máquinas virtuales que están conectadas a los segmentos dentro del proyecto no pueden hacer ping a su puerta de enlace predeterminada. Si se requiere una comunicación de este tipo, deberá agregar nuevas reglas o modificar las reglas existentes en la directiva de DFW predeterminada.

Reglas de DFW creadas por el usuario en un proyecto

Las categorías de firewall de DFW Infraestructura, Entorno y Aplicación son compatibles con los proyectos dentro de la organización. Dentro de cada categoría de firewall, las reglas de DFW se aplican en el siguiente orden de prioridad:
  1. Reglas de DFW en el espacio predeterminado (prioridad más alta)
  2. Reglas de DFW en el proyecto
  3. Reglas de firewall E-O en las VPC de NSX en el proyecto (prioridad más baja)

Las reglas de DFW en el espacio predeterminado pueden extenderse a un proyecto.

Nota: Las reglas de DFW en el espacio predeterminado se aplican a todas las máquinas virtuales de la implementación de NSX, incluidas las máquinas virtuales de los proyectos. Sin embargo, para restringir el ámbito de las reglas en el espacio predeterminado, seleccione la opción Grupos en el ajuste Se aplica a de la interfaz de usuario.

Por ejemplo, puede aplicar las reglas al grupo predeterminado del proyecto (PROJECT-<Nombre_Proyecto>-default). El grupo predeterminado del proyecto contiene solo las máquinas virtuales de carga de trabajo de un proyecto.

Las reglas de DFW dentro de un proyecto pueden acceder a los siguientes grupos:
  • Grupos que se crean en el proyecto.
  • Grupos que se comparten con el proyecto.

Los grupos que se comparten con los proyectos solo se pueden utilizar en los campos Origen o Destino de las reglas de firewall, y no en el campo Se aplica a de las reglas de firewall.

Si se agregan varias VPC de NSX a un proyecto, los grupos predeterminados creados por el sistema en las VPC de NSX se podrán utilizar en los campos Origen, Destino y Se aplica a de las reglas de firewall del proyecto. Sin embargo, los grupos creados por el usuario en las VPC de NSX no se podrán usar en las reglas de firewall del proyecto.

Agregar una directiva de DFW en un proyecto

El flujo de trabajo de la interfaz de usuario para agregar una directiva de DFW a un proyecto sigue siendo el actual para agregar directivas en la vista Predeterminado (espacio predeterminado) de la implementación de NSX.

La única diferencia es que, en la interfaz de usuario, deberá seleccionar primero un proyecto en el menú desplegable del selector de proyectos en la barra de aplicaciones situada en la parte superior y, a continuación, ir a Seguridad > Firewall distribuido para agregar directivas de DFW en el proyecto seleccionado.

Regla de firewall de puerta de enlace predeterminada en un proyecto

La directiva de firewall de puerta de enlace predeterminada de un proyecto es una directiva con estado, que contiene una sola regla de firewall, como se muestra en la siguiente captura de pantalla.


Esta imagen se describe en el texto adyacente.

La regla predeterminada permite todo el tráfico a través del firewall de puerta de enlace del proyecto de forma predeterminada. Solo puede modificar la acción de regla de esta regla predeterminada. Los demás campos de esta regla no se pueden editar.

Como se mencionó anteriormente en la sección Descripción general de esta documentación, la licencia base autoriza al sistema a agregar o editar solo reglas de firewall de puerta de enlace sin estado en un proyecto. Para agregar o editar reglas de firewall de puerta de enlace tanto con estado como sin estado en un proyecto, debe aplicar una licencia de seguridad adecuada en el sistema.

Agregar una directiva de firewall de puerta de enlace a un proyecto

El flujo de trabajo de la interfaz de usuario para agregar una directiva de firewall de puerta de enlace a un proyecto sigue siendo el actual para agregar directivas de firewall de puerta de enlace en la vista Predeterminado (espacio predeterminado) de su implementación de NSX.

La única diferencia es que, en la interfaz de usuario, deberá seleccionar primero un proyecto en el menú desplegable del selector de proyectos en la barra de aplicaciones situada en la parte superior y, a continuación, ir a Seguridad > Firewall de puerta de enlace > Reglas específicas de la puerta de enlace para agregar directivas de firewall de puerta de enlace a la puerta de enlace de nivel 1 del proyecto seleccionado.