Saltar al contenido

Firewall implementado en vCloud Director 8.20: características de la solución

Uso de la opción Administrar firewall para controlar DFW

Cortafuegos distribuido, o DFW (Cortafuegos distribuido), es una característica popular de NSX. Con el lanzamiento de vCloud Director 8.20, la herramienta estuvo disponible para los clientes junto con una nueva interfaz HTML5 y API. El firewall se administra a nivel de vDC de organización.

Uso de la opción Administrar firewall para controlar DFW

Si hace clic en el enlace Administrar el firewall en las propiedades del centro de datos virtual, se abrirá la ventana de control DFW, que se ve así:

Ventana de control de firewall distribuido

Ventana de control de firewall distribuido

Como se indica en la documentación oficial, Distributed Firewall es un firewall implementado en el nivel del kernel del hipervisor que proporciona control sobre la red y la carga virtualizada. Aquí puede crear políticas basadas en objetos de VMware vCenter, como centros de datos, clústeres, máquinas virtuales, utilizando combinaciones de direcciones IP o conjuntos de direcciones IP, VLAN, VXLAN, grupos de seguridad, incluidos los objetos de Active Directory. Las reglas del firewall operan a nivel de una sola máquina virtual y son independientes de la topología de la red, lo que garantiza un control de acceso constante incluso cuando la VM ingresa al modo vMotion. Esta «natividad» con el hipervisor ofrece grandes beneficios al firewall, ya que proporciona un rendimiento máximo y una mayor consolidación de la carga de trabajo en los servidores físicos. Además, el firewall admite una arquitectura escalable, que aumenta automáticamente el rendimiento del firewall a medida que se agregan nuevos nodos al centro de datos.

Comparación de cortafuegos

Tenga en cuenta que en vCloud Director 8.20 puede trabajar con una puerta de enlace Edge y un firewall distribuido. Para comprender la diferencia entre ellos, echemos un vistazo a algunos ejemplos.

Ejemplo con varios vDC de organización

Ejemplo con varios vDC de organización

Gateway Edge a nivel de vDC de organización

La figura anterior muestra dos vDC de organización con diferentes topologías de red. Org vDC 1 usa Org vDC Edge Gateway que, además de ser un firewall, realiza otros servicios de red (equilibrio de carga, VPN, NAT, enrutamiento, etc.). Tenga en cuenta que en este nivel, el firewall solo monitorea los paquetes enrutados a través de la puerta de enlace fronteriza.

Puerta de enlace Edge a nivel de VApp

Bajando un nivel, vemos contenedores de vApp con bordes de vApp. Son responsables del enrutamiento, el firewall y la NAT entre la red de vApp enrutada y la red de vDC de la organización.

Cortafuegos distribuido

Un firewall distribuido funciona en el nivel vNIC de las máquinas virtuales. Esto significa que aquí se implementa el control del tráfico de VM entrante / saliente y no hay dependencia de la topología de la red.

Especificaciones de derechos de acceso de firewall distribuido

Especificaciones de derechos de acceso de firewall distribuido

VCloud Director 8.20 presenta nuevos derechos de acceso relacionados con el firewall distribuido:

  • gestión de firewall distribuida;
  • configuración de reglas de firewall distribuidas;
  • Ver reglas de firewall distribuidas
  • habilitar / deshabilitar el firewall distribuido.

Este último derecho se extiende a los administradores del sistema de forma predeterminada, y el proveedor de la nube controla qué clientes pueden usar DFW. Dadas estas capacidades, se puede proporcionar un firewall distribuido como un servicio de valor agregado. El proveedor habilita de forma selectiva DFW para los vDC de organizaciones individuales, después de lo cual el cliente configura y administra el firewall por su cuenta.

Cómo crear una nueva regla en DFW

Antes de poder usar el portal de vCloud Director para trabajar con un firewall distribuido, debe habilitar (habilitar) el firewall distribuido en el nivel de organización de VDC.

Ventana de activación de firewall distribuido

Ventana de activación de firewall distribuido

¡Un punto importante! Las reglas creadas en DFW se aplican al centro de datos virtual de la organización de forma predeterminada.

Descripción general de las propiedades de la regla

Descripción general de las propiedades de la regla

En el campo Aplicado a puede cambiar los criterios de aplicabilidad. Al mismo tiempo, pueden estar presentes varios objetos en las propiedades de una regla, lo que permite reducir el número total de reglas creadas. Por ejemplo, si desea permitir el tráfico http en la red internal1, internal2, internal3, solo necesita crear una regla que defina las redes en cuestión, en lugar de crear tres líneas separadas.

Creemos una nueva regla. Para hacer esto, abra vCloud Director, haga clic en Org vDC, en el menú contextual, seleccione Administrar el firewall – Se abre una ventana de firewall distribuida separada.

Ejemplo de una regla de autorización predeterminada creada por defecto

Ejemplo de una regla de autorización predeterminada creada por defecto

A continuación, debe decidir el tipo de regla. Tenga en cuenta que en el marcador General puedes crear reglas de nivel 3 y en el tablero Ethernet – Reglas de nivel 2. Para agregar una regla un nivel más bajo que el existente, haga clic en la fila de la regla y luego haga clic en el botón «+». Aparecerá una nueva línea debajo de la regla seleccionada. Si hay una sola regla creada de forma predeterminada en la página del cortafuegos distribuido (regla de permiso predeterminada), cualquier regla recién creada se colocará un nivel más arriba.

Un ejemplo de creación de una nueva regla

Un ejemplo de creación de una nueva regla

Cualquier cadena de reglas contiene campos Busca el destino es Servicio, donde el valor se escribe automáticamente durante la creación Lo quey la regla misma determina la acción permisiva. Estos valores se pueden cambiar según sea necesario. Observe que la regla contiene un campo Nombre de pila, que no debería estar vacío. En las celdas fuente es Destino Se especifican direcciones IP individuales, rangos de IP o valores CIDR.

Ejemplo de cambio de campos de reglas

Ejemplo de cambio de campos de reglas

Al hacer clic en «+» en la celda fuente o Destino, puede agregar un nuevo objeto: red de organización de vDC, máquina virtual, especificar el rango de IP y usar filtros.

Un ejemplo de selección de objetos en las propiedades de una regla DFW

Un ejemplo de selección de objetos en las propiedades de una regla DFW

Se deben guardar los cambios en las reglas de DFW. Para hacer esto, use el botón Salvar cambios

Botón guardar cambios

Conclusión

En este artículo, nos familiarizamos con las peculiaridades de un firewall distribuido, describimos la diferencia entre Edge Gateway y Distributed Firewall, y también aprendimos cómo crear reglas. Esté atento a los nuevos contenidos del primer blog IaaS de Enterprise. En el próximo artículo hablaremos sobre el procedimiento para aplicar las reglas, después de considerar casos específicos, y aprenderemos cómo realizar cambios en una configuración ya existente.