Cuando una NSX VPC se realiza correctamente, el sistema crea reglas de firewall norte-sur y este-oeste predeterminadas para controlar el comportamiento del firewall predeterminado de las cargas de trabajo en la NSX VPC.
Información general
Las reglas de firewall N-S son reglas centralizadas que se aplican al tráfico entrante y saliente de la NSX VPC.
Las reglas de firewall E-O son reglas distribuidas que se aplican a las cargas de trabajo que se ejecutan dentro de la NSX VPC.
Las reglas de firewall de una NSX VPC se aplican solo a las máquinas virtuales de la VPC. Es decir, las máquinas virtuales que están conectadas a las subredes de la NSX VPC. Las reglas de firewall de una NSX VPC no afectan a las cargas de trabajo fuera de la VPC.
En las siguientes subsecciones, el término "licencia base" hace referencia a cualquiera de las siguientes dos licencias:
- NSX Networking for VMware Cloud Foundation
- Solution License for VCF
- Firewall Este-Oeste
-
La licencia base autoriza al sistema a utilizar solo las funciones de red. No se puede configurar la función de seguridad de firewall este-oeste en una NSX VPC. Para agregar o editar reglas de firewall E-O en una NSX VPC, debe aplicar una licencia de seguridad adecuada en el sistema.
Si no se aplica una licencia de seguridad, las reglas de firewall E-O predeterminadas creadas por el sistema no se activarán en la NSX VPC. Las reglas E-O predeterminadas estarán en la NSX VPC, pero estarán inactivas en la NSX VPC. No puede editar las reglas E-O predeterminadas ni tampoco activarlas en la NSX VPC.
- Firewall Norte-Sur
-
La licencia base autoriza al sistema a agregar o editar solo reglas de firewall N-S sin estado en una NSX VPC. Para agregar o editar reglas de firewall N-S tanto con estado como sin estado en una NSX VPC, debe aplicar una licencia de seguridad adecuada en el sistema.
La directiva de firewall N-S predeterminada en una NSX VPC es una directiva con estado. Cuando no se aplica una licencia de seguridad en el sistema, solo se puede editar la acción de la regla de firewall N-S predeterminada. No se permiten otras modificaciones en la regla predeterminada. No se puede cambiar el estado de la directiva de firewall N-S predeterminada de "con estado" a "sin estado".
Reglas de firewall este-oeste predeterminadas en una NSX VPC
Para cada NSX VPC que se agrega al proyecto, el sistema crea una directiva de firewall E-O predeterminada en la NSX VPC. La siguiente convención de nomenclatura se utiliza para identificar la directiva de firewall E-O predeterminada en una NSX VPC:
PROJECT-<Nombre_Proyecto> VPC-<Nombre_VPC>-default-layer3-sectionNombre_Proyecto y Nombre_VPC se reemplazan por valores reales en el sistema.
Por ejemplo, la siguiente captura de pantalla muestra las reglas de directiva de firewall E-O predeterminadas en una NSX VPC.
Las tres reglas de firewall E-O predeterminadas de una NSX VPC tienen establecido el valor DFW en Se aplica a. Aunque Se aplica a esté establecido en DFW, las reglas de firewall solo se aplicarán en las máquinas virtuales de carga de trabajo que están conectadas a las subredes de la NSX VPC. Las máquinas virtuales de carga de trabajo que están fuera de la NSX VPC no se ven afectadas por estas reglas de firewall. Si es necesario, los usuarios de las VPC pueden establecer Se aplica a como Grupos y seleccionar solo los grupos que se crearon en la NSX VPC.
- La regla 1030 permite todo el tráfico saliente de las subredes de la NSX VPC. El destino del tráfico saliente puede ser cargas de trabajo dentro de la NSX VPC o fuera de la VPC. Si es necesario, puede modificar esta regla predeterminada.
- La regla 1031 permite todo el tráfico DHCP. Si es necesario, puede modificar esta regla predeterminada.
- La regla 1032 descarta todo el tráfico que no coincida con las dos reglas anteriores. Esta regla establece implícitamente que todo el tráfico entrante a la NSX VPC se descartará de forma predeterminada. Solo puede modificar la acción de regla de esta regla predeterminada. Los demás campos de esta regla no se pueden editar.
Regla de firewall norte-sur predeterminada en una NSX VPC
Para cada NSX VPC que se agrega al proyecto, el sistema crea una directiva de firewall N-S predeterminada en la NSX VPC. Por ejemplo, la siguiente captura de pantalla muestra las reglas de directiva N-S predeterminadas en una NSX VPC. Contiene solo una regla de firewall.
La regla permite todo el tráfico a través del firewall N-S de la VPC de forma predeterminada. Solo puede modificar la acción de regla de esta regla predeterminada. Los demás campos de esta regla no se pueden editar.
Como se mencionó anteriormente en la sección Descripción general de esta documentación, la licencia base autoriza al sistema a agregar o editar solo reglas de firewall N-S sin estado en una NSX VPC. Para agregar o editar reglas de firewall N-S tanto con estado como sin estado en una NSX VPC, debe aplicar una licencia de seguridad adecuada en el sistema.
Comunicación dentro de una NSX VPC
De forma predeterminada, se permite el tráfico este-oeste entre cargas de trabajo dentro de una NSX VPC.
Por ejemplo, el siguiente diagrama muestra tres máquinas virtuales de carga de trabajo en una NSX VPC. De forma predeterminada, la máquina virtual 1 de la subred pública puede comunicarse con la máquina virtual 2 de la subred privada en cualquier dirección.
De forma predeterminada, las máquinas virtuales en subredes aisladas no pueden comunicarse con las máquinas virtuales en subredes privadas o públicas. Sin embargo, en este diagrama, la máquina virtual 2 de la subred privada también está conectada a la subred aislada. Por tanto, la máquina virtual 2 de la subred privada puede comunicarse con la máquina virtual 3 de la subred aislada en cualquier dirección.
Comunicación de salida desde una NSX VPC
Como se explicó anteriormente en este tema, de forma predeterminada se permite todo el tráfico saliente desde una NSX VPC.
Las cargas de trabajo conectadas a subredes públicas pueden enviar paquetes fuera de la NSX VPC, independientemente de si la opción Servicios N-S está activada o desactivada para la NSX VPC. A las cargas de trabajo en subredes públicas se les asignan direcciones IP de los bloques de IPv4 externos de la NSX VPC. Se puede acceder a las direcciones IP externas fuera de la NSX VPC.
Las cargas de trabajo conectadas a subredes privadas pueden enviar paquetes fuera de la NSX VPC solo cuando se cumplan las siguientes condiciones:
- La opción Servicios N-S está activada para la NSX VPC.
- La opción NAT saliente predeterminada está activada para la NSX VPC.
Cuando la opción NAT saliente predeterminada está activada, se crea una regla SNAT predeterminada para que la NSX VPC permita que el tráfico de las cargas de trabajo de la subred privada se enrute fuera de la NSX VPC. De forma similar, si esta opción está desactivada, no se creará la regla SNAT predeterminada y el tráfico de las subredes privadas no se podrá enrutar fuera de la NSX VPC.
Por ejemplo, en el siguiente diagrama se muestra una NSX VPC en la que la opción NAT saliente predeterminada está desactivada. El tráfico de la máquina virtual 1 en la subred pública puede dirigirse directamente al usuario 1.1.1.1, que está fuera de la NSX VPC. Sin embargo, el tráfico de salida de la máquina virtual 2 en la subred privada está bloqueado.
En el siguiente diagrama se muestra una NSX VPC en la que la opción NAT saliente predeterminada está activada. En este caso, el sistema configura automáticamente una regla SNAT predeterminada en el firewall N-S de la VPC. La dirección IP de la máquina virtual 2 en la subred privada se traduce en una IP externa, que asigna el sistema desde el bloque de IPv4 externo. La máquina virtual 2 de la subred privada ahora puede enviar tráfico al usuario 1.1.1.1 que está fuera de la NSX VPC. La máquina virtual 1 de la subred pública puede seguir enviando tráfico fuera de la NSX VPC sin pasar por NAT en el firewall N-S de la VPC.
Comunicación de entrada en una NSX VPC
Como se mencionó anteriormente en este tema, la regla E-O predeterminada (regla 1035) descarta todo el tráfico entrante de la NSX VPC.
- Tráfico procedente de cargas de trabajo que se ejecutan en otras VPC de NSX que se encuentran en el mismo proyecto o en un proyecto diferente.
- Tráfico procedente de cargas de trabajo que se ejecutan en cualquier red dentro del centro de datos.
- Tráfico procedente de Internet.
Por ejemplo, en el siguiente diagrama se muestra que el tráfico del usuario 1.1.1.1, que está conectado a una puerta de enlace de nivel 0/VRF, está bloqueado para que llegue a la máquina virtual 1 en la subred pública y a la máquina virtual 2 en la subred privada.
Para permitir que el tráfico entrante procedente de fuera de la NSX VPC llegue a las cargas de trabajo en las subredes públicas, deberá agregar una directiva de firewall E-O personalizada o modificar la regla E-O en la directiva de firewall predeterminada de la NSX VPC. Recuerde que la regla N-S predeterminada de la NSX VPC permite todo el tráfico a través del firewall N-S de la VPC de forma predeterminada.
Para permitir que el tráfico entrante procedente de fuera de la NSX VPC llegue a las cargas de trabajo en las subredes privadas, siga estos pasos:
- Asegúrese de que la opción Servicios N-S esté activada para la NSX VPC.
- Agregue una regla NAT con una acción reflexiva o una acción DNAT en la NSX VPC.
En la regla NAT, asigne una dirección IPv4 válida desde el bloque de IPv4 externo para que el sistema pueda asignar la dirección IP de la máquina virtual en la subred privada a esta dirección IPv4 externa. Por ejemplo, si va a crear una regla NAT con acción reflexiva, especifique la dirección IPv4 externa en el cuadro de texto IP traducida de la definición de regla. La dirección IPv4 debe pertenecer al bloque de IPv4 externo de la NSX VPC y debe estar disponible para su asignación; de lo contrario, se mostrará un mensaje de error. Actualmente, en el cuadro de texto IP traducida, solo se admite una única dirección IPv4. No se admite un bloque CIDR.
Realice este paso para habilitar el tráfico de entrada para cada máquina virtual de carga de trabajo que esté asociada a la subred privada. Por ejemplo, si hay cuatro máquinas virtuales de carga de trabajo asociadas a la subred privada, cree cuatro reglas NAT independientes.
- Agregue una directiva de firewall E-O personalizada o modifique la regla E-O en la directiva de firewall predeterminada de la NSX VPC para permitir que el tráfico llegue a las cargas de trabajo en las subredes privadas.
Después de completar estos pasos, se permite todo el tráfico entrante en las cargas de trabajo de las subredes privadas. Como se mencionó en la subsección anterior, se recomienda a los usuarios de VPC que agreguen reglas de firewall N-S personalizadas en sus NSX VPC para restringir el tráfico entrante a puertos específicos según sus requisitos de seguridad.
Por ejemplo, en el siguiente diagrama se muestra que el tráfico del usuario 1.1.1.1, que está conectado a una puerta de enlace de nivel 0/VRF, pasa por NAT en el firewall N-S de la VPC y, a continuación, llega a la máquina virtual 2 en la subred privada.
En este ejemplo, la configuración de la regla NAT es la siguiente:
- IP de origen: 10.5.0.5 (dirección IP privada de la máquina virtual 2)
- IP traducida: 5.5.100.100 (dirección IP del bloque de direcciones IPv4 externas asignado a la máquina virtual 2)
- Acción: Reflexivo