Tablas de firewall

Una tabla de firewall enumera las reglas para filtrar el tráfico de red desde los recursos de nube privada y hacia ellos. Las reglas de firewall controlan el tráfico de red entre una red de origen o una dirección IP y una red de destino o dirección IP.

Después de configurar la tabla y las reglas de firewall, puedes adjuntar la tabla a una subred para aplicar las reglas correspondientes. Puedes aplicar una tabla de firewall a varias subredes, pero una subred solo se puede asociar con una tabla de firewall.

Las tablas de firewall se usan para controlar el acceso a las direcciones IP externas. Para todos los demás controles de acceso, administra la configuración del firewall en el centro de datos de NSX-T. Para obtener más detalles, consulta Firewall en modo de administrador.

Crea una tabla de firewall

  1. Accede al portal de Google Cloud VMware Engine.
  2. Ve a Red > Tablas de Firewall.
  3. Haz clic en Crear tabla de firewall nueva.
  4. Ingresa un nombre para la tabla.
  5. De manera opcional, agrega reglas de firewall. Cada tabla de firewall comienza con un conjunto de reglas de firewall predeterminadas.
  6. Haz clic en Listo para guardar la tabla de firewall.

Conecta una tabla de firewall a una subred

Después de definir una tabla de firewall, puedes especificar las subredes que están sujetas a las reglas de la tabla.

  1. En la página Network > Firewall tables, selecciona la tabla de firewall.
  2. Selecciona la pestaña Subredes conectadas.
  3. Haz clic en Attach to a subnet.
  4. Selecciona la nube privada a la que deseas adjuntar la tabla de firewall.
  5. Selecciona la subred NsxtEdgeUplink1 de esa nube privada.
  6. Haga clic en Submit.
  7. Repite los pasos anteriores para la subred NsxtEdgeUplink2 de esa nube privada.

Reglas de firewall

Las reglas de firewall determinan la forma en la que el firewall trata tipos específicos de tráfico. La pestaña Rules de una tabla de firewall seleccionada enumera todas las reglas asociadas.

Para crear una regla de firewall, sigue estos pasos:

  1. Ve a Red > Tablas de Firewall.
  2. Selecciona la tabla de firewall.
  3. Haz clic en Crear regla nueva.
  4. Configura las propiedades de reglas de firewall que desees.
  5. Haz clic en Listo para guardar la regla y agregarla a la lista de reglas de la tabla de firewall.

Reglas con estado

Una regla de firewall con estado hace un seguimiento de las conexiones que pasan por ella. Una regla con estado crea un registro de flujo para las conexiones existentes. Se permite o rechaza la comunicación según el estado de conexión del registro de flujo. Usa este tipo de regla para las direcciones IP públicas con el fin de filtrar el tráfico de Internet.

Reglas de firewall predeterminadas

Cada tabla de firewall tiene las siguientes reglas de firewall predeterminadas:

Prioridad Nombre Dirección Tipo de tráfico Protocolo Origen Puerto de origen Destino Puerto de destino Acción
65000 Permitir TCP a Internet Saliente IP pública o tráfico de Internet TCP Cualquiera Cualquiera Cualquiera Cualquiera Permitir
65001 allow-udp-to-internet Saliente IP pública o tráfico de Internet UDP Cualquiera Cualquiera Cualquiera Cualquiera Permitir
65002 allow-icmp-to-internet Saliente IP pública o tráfico de Internet ICMP Cualquiera Cualquiera Cualquiera Cualquiera Permitir
65100 deny-all-from-internet Entrante IP pública o tráfico de Internet Todos los protocolos Cualquiera Cualquiera Cualquiera Cualquiera Denegar
65101 allow-all-to-intranet Saliente Tráfico de VPN o nube privada interna Todos los protocolos Cualquiera Cualquiera Cualquiera Cualquiera Permitir
65102 allow-all-from-intranet Entrante Tráfico de VPN o nube privada interna Todos los protocolos Cualquiera Cualquiera Cualquiera Cualquiera Permitir

Propiedades de las reglas de firewall

En la siguiente tabla, se describen los parámetros en una regla de firewall.

Propiedad Descripción
Name Un nombre que identifique de forma única la regla de firewall y su propósito.
Prioridad Un número entre 100 y 4,096, con 100 como la prioridad más alta. Las reglas se procesan en orden de prioridad. Cuando el tráfico se encuentra con una coincidencia de regla, el procesamiento de reglas se detiene. No se procesan las reglas con prioridades más bajas que tengan los mismos atributos que las reglas con prioridades más altas. Asegúrate de evitar las reglas en conflicto.
Protocol Es el protocolo de Internet que cubre la regla.
Dirección Indica si la regla se aplica al tráfico entrante o saliente. Debes definir reglas independientes para el tráfico entrante y saliente.
Acción Permite o rechaza el tipo de tráfico definido en la regla.
Origen Una dirección IP, un bloque de enrutamiento entre dominios sin clases (CIDR) (10.0.0.0/24, por ejemplo) o Cualquiera. Especificar un rango, una etiqueta de servicio o un grupo de seguridad para aplicaciones te permite crear menos reglas de seguridad.
Rango de puertos de origen Puerto desde el que se origina el tráfico de red. Puedes especificar un puerto individual o un rango de puertos, como 8000-8080 o 443. Especificar un rango te permite crear menos reglas de seguridad.
Destino Una dirección IP, un bloque CIDR (10.0.0.0/24, por ejemplo) o Cualquiera. Especificar un rango, una etiqueta de servicio o un grupo de seguridad para aplicaciones te permite crear menos reglas de seguridad.
Rango de puertos de destino Puerto al que fluye el tráfico de red. Puedes especificar un puerto individual o un rango de puertos, como 8000-8080 o 443. Especificar un rango te permite crear menos reglas de seguridad.