NSX Edge Gateway (también conocido como vShield Edge) es un firewall perimetral que permite el control de acceso a máquinas virtuales y servicios alojados. Con cada instancia de servicios Cloud Datacenter o Cloud Flex se crea una instancia de NSX Edge Gateway que soporta las funcionalidades de red y seguridad descritos en este artículo.
Establecer reglas de firewall es necesario para controlar el acceso desde Internet a las aplicaciones y los datos albergados por las máquinas virtuales, pero hay otra serie de medidas que deben ser consideradas para evitar accesos no autorizados a los recursos o información albergada en una solución Cloud.
Será necesario establecer un elemento de protección perimetral adicional (firewall dedicado o firewall compartido) si se quiere contar con características como establecimiento de reglas firewall salientes, o detección y bloqueo de ataques de saturación y/o volumen (p.e. syn flooding, número de conexiones excesivas, etc.).
A continuación se describen el proceso para la configuración de servicios en NSX Edge Gateway:
Paso 1. Accede a vCloud Director
Paso 2. En el menú lateral izquierdo de vCloud Director, despliega la sección de Redes.
Paso 3. A continuación, pulsa sobre Instancias de Edge:
Paso 4. Se mostrarán diferentes Instancias de Edge que podrás ir configurando, tras seleccionar una Instancia de Edge y pulsar el botón superior Configurar servicios:
Paso 5. Al hacerlo, se mostrará una nueva ventana de gestión que incluye todas las opciones de configuración que se pueden ejecutar dentro del EDGE seleccionado:
En la zona superior de la ventana, se mostrarán las siguientes pestañas que podrás ir gestionando:
- Firewall: Permite configurar las reglas de entrada, para aumentar la seguridad de tus servidores.
- DHCP: Permite configurar el servidor de asignaciones de IP dinámicas. La pestaña de DHCP permite habilitar la asignación automática de direcciones IP dentro de la red ruteada. Del mismo modo, puede configurarse el rango de direcciones IP que se podrán asignar, el tiempo por defecto que tendrás dichas IPs (en segundos).
-
NAT: Es necesario para establecer la traducción de IPs publicas a IPs privadas y así dar conectividad a las máquinas con IPs privadas. Para poder mapear una dirección IP interna de la red ruteada, primero tendrás que tener asignada una o varias direcciones IP externas. En esta pestaña se pueden ver las direcciones IP externas que ha asignado acens y que se pueden utilizar en la opción de NAT – External IP Mapping. Desde el botón Agregar regla DNAT podrás crear una nueva regla para la que tendrás que incorporar los siguientes campos:
- IP rango original: Direcciones IP externas que tienes asignadas.
-
Protocolo: Protocolo o protocolos que deseas mapear: TCP, UDP y ICMP
-
Puerto original: Puertos, 21, 22 y 80 por defecto. Aparte podrás seleccionar * para usar todos los puertos, o poner manualmente los que necesites.
-
IP rango traducido: Dirección IP interna que deseas mapear.
- Equilibrador de carga: Permite balancear el tráfico entre varios servidores de un grupo de balanceo.
- VPN: Permite configurar túneles privados.
- Objetos de agrupamiento: Permite simplificar la gestión ya que es posible agrupar IPs o servidores bajo un mismo identificador y realizar acciones para un mismo grupo.
- Estadísticas: Muestra estadísticas de tráfico.