Una sección de regla de firewall se edita y guarda de manera independiente; se utiliza para aplicar diferentes configuraciones de firewall en los tenants.

Requisitos previos

Compruebe que el modo Manager esté seleccionado en la interfaz de usuario de NSX Manager. Consulte NSX Manager. Si no ve los botones de los modos Directiva y Manager, consulte Configurar los ajustes de la interfaz de usuario.

Procedimiento

  1. Seleccione Seguridad > Firewall distribuido.
  2. Haga clic en la pestaña General para las reglas de Capa 3 o en la pestaña Ethernet para las reglas de Capa 2.
  3. Haga clic en una regla o una sección.
  4. Haga clic en el icono de la sección en la barra de menús y seleccione Agregar sección de arriba o Agregar sección de abajo.
    Nota: Si el tráfico intenta acceder a través del firewalll, la información del paquete está sujeta a las reglas en el orden que aparece en la Tabla de reglas, comenzando por el principio hasta las reglas predeterminadas situadas al final. En algunos casos, el orden de prioridad de dos o más reglas puede ser importante a la hora de determinar la disposición del paquete.
  5. Escriba el nombre de la sección.
    Nota: De forma predeterminada, las secciones de reglas de firewall (y sus reglas) están configuradas como con estado. En un firewall con estado, se crea y se mantiene una memoria caché para los flujos de tráfico que coinciden con una regla de firewall en la que la acción es PERMITIR. Después de validar el primer paquete de un nuevo flujo con el conjunto de reglas de firewall, ya no es necesario comprobar los siguientes paquetes de red que pertenecen a ese flujo. Eso provocará una menor latencia de flujo y un mejor rendimiento general del firewall con cargas de tráfico más altas. Los firewalls con estado también son mejores a la hora de identificar tráfico de red no autorizadas o falsificado.

    Para algunas aplicaciones, es posible que se requiera un firewall sin estado. En un firewall sin estado, cada paquete de un flujo se valida con el conjunto de reglas. No se mantiene ninguna memoria caché para los flujos sin estado. Para cambiar una sección de reglas de firewall para que incluya solo reglas sin estado, consulte el paso 6; de lo contrario, continúe con el paso 7.

  6. (opcional) Para configurar el firewall sin estado, seleccione el botón Habilitar firewall sin estado. Esta opción solo se aplica a la capa 3.
    No es posible alternar entre con o sin estado una vez definido.
  7. Seleccione uno o varios objetos para aplicarlos a la sección.
    Los tipos de objetos son puertos lógicos, conmutadores lógicos y NSGroups. Si selecciona un grupo NSGroup, este debe contener uno o varios conmutadores lógicos o puertos lógicos. El grupo NSGroup se ignorará si solo contiene conjuntos de direcciones IP o de direcciones MAC.
    Nota: Si tanto la sección como las reglas de tienen establecido Se aplica a en NSGroup, Se aplica a en una sección reemplazará cualquier configuración de Se aplica a en las reglas de esa sección. Esto se debe a que el nivel de la sección de firewall de Se aplica a tiene prioridad sobre Se aplica a en el nivel de regla.
  8. Haga clic en Aceptar.

Qué hacer a continuación

Agregue reglas de firewall a la sección.