Primeiro, adicione uma regra de firewall distribuído ao escopo do centro de dados virtual da organização. Em seguida, você pode restringir o escopo ao qual deseja aplicar a regra. O firewall distribuído permite adicionar vários objetos aos níveis de origem e de destino para cada regra, o que ajuda a reduzir o número total de regras de firewall a serem adicionadas.
Para obter informações sobre os serviços e os grupos de serviços predefinidos que você pode usar em uma regra, consulte Exibir serviços disponíveis para regras de firewall e Exibir grupos de serviços disponíveis para regras de firewall.
Pré-requisitos
n Habilitar o firewall distribuído em um data center virtual de organização usando o portal do tenant
n Se você quiser usar um conjunto de IPs como origem ou destino em uma regra, Criar um conjunto de IPs para uso em regras de firewall e configuração de retransmissão DHCP.
n Se você quiser usar um conjunto de MACs como origem ou destino em uma regra, Criar um conjunto de MACs para uso em regras de firewall.
n Se você quiser usar um grupo de segurança como origem ou destino em uma regra, Criar um grupo de segurança.
Procedimentos
1 Na tela do painel Data Centers Virtuais, clique no cartão do data center virtual que você deseja explorar e, em Rede, selecione Segurança.
2 Selecione a rede de VDC de serviços de segurança cujas regras de firewall você deseja modificar e clique em Configurar Serviços.
A tela Serviços de Segurança é exibida.
3 Selecione o tipo de regra que deseja criar. Você tem a opção de criar uma regra geral ou uma regra de Ethernet.
As regras da camada 3 (L3) são configuradas na guia Geral. As regras da camada 2 (L2) são configuradas na guia Ethernet.
4 Para adicionar uma regra abaixo de uma regra existente na tabela de firewall, clique na linha existente e, em seguida, clique no botão Criar ( ).
Uma linha para a nova regra é adicionada abaixo da regra selecionada e são atribuídos qualquer destino, qualquer serviço e a ação Permitir por padrão. Quando a regra de permissão padrão definida pelo sistema é a única regra na tabela de firewall, a nova regra é adicionada acima da regra padrão.
6 Clique na célula Origem e use os ícones visíveis agora para selecionar uma origem a ser adicionada à regra:
Ação Descrição
Clique no ícone IP. Aplicável a regras definidas na guia Geral.
Digite o valor de origem que deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall distribuído oferece suporte apenas ao formato IPv4.
Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
n Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
n Para excluir uma origem da regra, adicione-a a essa regra usando a janela
Selecionar objetos e selecione o ícone de exclusão de alternância a fim de excluir essa origem dessa regra.
Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.
7 Clique na célula Destino e execute uma das seguintes ações:
Ação Descrição
Clique no ícone IP. Aplicável a regras definidas na guia Geral.
Digite o valor de destino que você deseja usar. Os valores válidos podem ser o endereço IP, o CIDR, o intervalo de IPs ou a palavra-chave any. O firewall distribuído oferece suporte apenas ao formato IPv4.
Clique no ícone + Use o ícone + para especificar a origem como um objeto diferente de um endereço IP específico:
n Use a janela Selecionar objetos para adicionar objetos que correspondem às suas seleções e clique em Manter para adicioná-los à regra.
n Para excluir uma origem da regra, adicione-a a essa regra usando a janela Selecionar objetos e, em seguida, selecione o ícone de exclusão de alternância para excluir essa origem dessa regra.
Quando a exclusão de alternância é selecionada na origem, a regra é aplicada ao tráfego proveniente de todas as origens, exceto para a origem excluída. Quando a exclusão de alternância não é selecionada, a regra se aplica ao tráfego proveniente da origem especificada na janela Selecionar objetos.
8 Clique na célula Serviço da nova regra e execute uma das seguintes ações:
Ação Descrição
Clique no ícone IP. Para especificar o serviço como uma combinação de porta e protocolo: a Selecione o protocolo de serviço.
b Digite os números para as portas de origem e de destino ou especifique any
e clique em Manter.
Clique no ícone + Para selecionar um serviço ou um grupo de serviços predefinido ou definir um novo:
a Selecione um ou mais objetos e adicione-os ao filtro. b Clique em Manter.
9 Na célula Ação da nova regra, configure a ação para a regra.
Opção Descrição
Permitir Permite o tráfego de ou para origens, destinos e serviços especificados.
Negar Bloqueia o tráfego de ou para origens, destinos e serviços especificados.
10 Na célula Direção da nova regra, selecione se a regra se aplica a tráfego de entrada, tráfego de saída ou a ambos.
11 Se esta for uma regra na guia Geral, na célula Tipo de Pacote da nova regra, selecione um tipo de pacote: Qualquer , IPV4 ou IPV6.
12 Selecione a célula Aplicada A e use o ícone + para definir o escopo do objeto ao qual essa regra é aplicável.
Observação Quando a regra contém máquinas virtuais nas células Origem e Destino, você deve adicionar as máquinas virtuais de origem e de destino à regra Aplicado A para que a regra funcione corretamente.
13 Clique em Salvar Alterações.