Un firewall es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente, y decide si se permite o se bloquea un tráfico específico en función de un conjunto definido de reglas de seguridad. SD-WAN Orchestrator es compatible con la configuración de firewalls con y sin estado para los perfiles y las instancias de Edge.

Para obtener más información sobre los firewalls, consulte Configurar el firewall.

Para configurar el firewall con la nueva interfaz de usuario de Orchestrator:
  1. En el portal de empresas, haga clic en la opción Abrir nueva interfaz de usuario de Orchestrator (Open New Orchestrator UI) disponible en la parte superior de la ventana.
  2. Haga clic en Iniciar nueva interfaz de usuario de Orchestrator (Launch New Orchestrator UI) en la ventana emergente.
  3. La interfaz de usuario se abre en una pestaña nueva que muestra las opciones de supervisión y configuración.
  4. En la nueva interfaz de usuario, haga clic en Configurar (Configure) > Perfiles (Profiles). La página Perfiles (Profiles) muestra los perfiles existentes.
  5. Para configurar un perfil, haga clic en el vínculo al perfil o haga clic en el vínculo Ver (View) de la columna Dispositivo (Device) del perfil. Las opciones de configuración se muestran en la pestaña Dispositivo (Device).
  6. Haga clic en la pestaña Firewall.

    En la página Perfiles (Profiles), puede desplazarse directamente a la página Firewall (Firewall) si hace clic en el vínculo Ver (View) de la columna Firewall.

  7. La pestaña Firewall muestra lo siguiente:
    • Acceso de Edge (Edge Access): permite configurar un perfil para el acceso de Edge. Debe asegurarse de seleccionar la opción adecuada para el acceso de soporte, el acceso a la consola, el acceso a puertos USB, el acceso SNMP y el acceso de interfaz de usuario web local en la configuración del firewall, cuyo objetivo es que la instancia de Edge sea más segura. Esto evitará que cualquier usuario malintencionado acceda a Edge. De forma predeterminada, el acceso de soporte, el acceso a la consola, el acceso SNMP y el acceso de interfaz de usuario web local se encuentran desactivados por motivos de seguridad. Para obtener más información, consulte Configurar el acceso de Edge.
    • Estado del firewall (Firewall Status): permite activar o desactivar las reglas de firewall, configurar los ajustes del firewall y las ACL entrantes para todas las instancias de Edge asociadas con el perfil.
      Nota: Para desactivar la función Firewall en Perfiles (Profiles), coloque la opción Estado del firewall (Firewall Status) en DESACTIVADO (OFF).
    • Enrutamiento de Syslog (Syslog Forwarding): de forma predeterminada, la función Enrutamiento de Syslog (Syslog Forwarding) está desactivada para una empresa. Para recopilar los registros de firewall y los eventos enlazados de SD-WAN Orchestrator procedentes de las instancias de SD-WAN Edge de la empresa en uno o varios recopiladores de Syslog remotos centralizados (servidores), un usuario empresarial debe activar esta función en el nivel empresarial. Para configurar los detalles del recopilador syslog por segmento en SD-WAN Orchestrator, consulte Configurar ajustes de Syslog para perfiles.
      Nota: En un servidor syslog basado en IPv4 se pueden ver los detalles de registro de firewall tanto de IPv4 como de IPv6.
    • Reglas de firewall (Firewall Rules): se muestran las reglas de firewall predefinidas existentes. Puede hacer clic en + NUEVA REGLA (+ NEW RULE) para crear una regla de firewall nueva. Para obtener más información, consulte Configurar una regla de firewall con la nueva interfaz de usuario de Orchestrator. Para eliminar las reglas de firewall existentes, seleccione las casillas de verificación que están antes de las reglas y haga clic en ELIMINAR (DELETE). Para duplicar una regla de firewall, seleccione la regla y haga clic en CLONAR (CLONE).
    • Firewall con estado (Stateful Firewall): de forma predeterminada, la función Firewall con estado (Stateful Firewall) está activada para una empresa. Para desactivar la función Firewall con estado (Stateful Firewall) en una empresa, póngase en contacto con un operador que tenga permiso de superusuario. Para obtener más información, consulte Configurar ajustes del firewall con estado.
    • Protección de red y contra inundaciones (Network & Flood Protection): para proteger todos los intentos de conexión en una red empresarial, VMware SD-WAN Orchestrator permite configurar los ajustes de protección contra redes e inundaciones en los niveles de perfil y Edge con el fin de brindar protección frente a los diversos tipos de ataques. Para obtener más información, consulte Configurar ajustes de protección de red y contra inundaciones.
De forma predeterminada, todas las instancias de Edge heredan las reglas de firewall, la configuración de firewall con estado, la configuración de protección de red y contra inundaciones y las configuraciones de acceso de Edge del perfil asociado. En la pestaña Firewall del cuadro de diálogo Configuración de Edge (Edge Configuration), se pueden ver todas las reglas de firewall heredadas en el área Regla del perfil (Rule From Profile). De forma opcional, en el nivel de Edge, también es posible anular las reglas de firewall del perfil y la configuración de acceso de Edge con los pasos siguientes.
  1. En la nueva interfaz de usuario, haga clic en Configurar (Configure) > Edges (Instancias de Edge).
  2. Seleccione la instancia de Edge para la que desea anular la configuración heredada del firewall y haga clic en la pestaña Firewall.
  3. Seleccione la casilla de verificación Anular (Override) si desea modificar las reglas de perfil heredadas y la configuración del firewall para la instancia de Edge.
    Nota: Las reglas de anulación aparecerán en el área Anulaciones de Edge (Edge Overrides). Las reglas de anulación de Edge tendrán prioridad sobre las reglas heredadas del perfil para la instancia de Edge. Si un valor de anulación de firewall coincide con una regla de firewall del perfil, ese valor reemplazará la regla del perfil.
  4. En el nivel de Edge, puede configurar las reglas de IPv4 o IPv6 para el enrutamiento de puertos y NAT 1:1 de forma individual. Para ello, desplácese hasta Configuración adicional (Additional Settings) > ACL entrantes (Inbound ACLs). Para obtener información detallada sobre cómo configurar las reglas del enrutamiento de puertos y NAT 1:1, consulte Configurar el firewall para instancias de Edge.
    Nota: Cuando configure las reglas de IPv6 para el enrutamiento de puertos y NAT 1:1, solo puede introducir una dirección IP global o de unidifusión, y no puede introducir la dirección local del vínculo.