NSX Edge Gateway (también conocido como vShield Edge) es un firewall, a nivel de grupo de puertos del switch virtual, que permite proteger y aislar máquinas virtuales sin tener que usar VLANs. Cada vez que se crea una nueva red NAT-ruteada en la organización, se crea automáticamente un nuevo Edge. El esquema de funcionamiento de Edge es el siguiente:
Establecer reglas de firewall es necesario para controlar el acceso desde Internet a las aplicaciones y los datos albergados por las máquinas virtuales, pero hay otra serie de medidas que deben ser consideradas para evitar accesos no autorizados a los recursos o información albergada en una solución Cloud.
Será necesario establecer un elemento de protección perimetral adicional (firewall dedicado o firewall compartido) si se quiere contar con características como establecimiento de reglas firewall salientes, o detección y bloqueo de ataques de saturación y/o volumen (p.e. syn flooding, número de conexiones excesivas, etc.).
Paso 1. Accede a vCloud Director
Paso 2. En el menú lateral izquierdo de vCloud Director, despliega la sección de Redes.
Paso 3. A continuación, pulsa sobre Instancias de Edge:
Paso 4. Se mostrarán diferentes Instancias de Edge que podrás ir configurando, tras seleccionar una Instancia de Edge y pulsar el botón superior Configurar servicios:
Paso 5. Al hacerlo, se mostrará una nueva ventana de gestión que incluye todas las opciones de configuración que se pueden ejecutar dentro del EDGE seleccionado:
En la zona superior de la ventana, se mostrarán las siguientes pestañas que podrás ir gestionando:
- Firewall: Permite configurar las reglas de entrada, para aumentar la seguridad de tus servidores.
- DHCP: Permite configurar el servidor de asignaciones de IP dinámicas. La pestaña de DHCP permite habilitar la asignación automática de direcciones IP dentro de la red ruteada. Del mismo modo, puede configurarse el rango de direcciones IP que se podrán asignar, el tiempo por defecto que tendrás dichas IPs (en segundos).
- NAT: Es necesario para establecer la traducción de IPs publicas a IPs privadas y así dar conectividad a las máquinas con IPs privadas. Para poder mapear una dirección IP interna de la red ruteada, primero tendrás que tener asignada una o varias direcciones IP externas. En esta pestaña se pueden ver las direcciones IP externas que ha asignado acens y que se pueden utilizar en la opción de NAT – External IP Mapping. Desde el botón Agregar regla DNAT podrás crear una nueva regla para la que tendrás que incorporar los siguientes campos:
- IP rango original: Direcciones IP externas que tienes asignadas.
-
Protocolo: Protocolo o protocolos que deseas mapear: TCP, UDP y ICMP
-
Puerto original: Puertos, 21, 22 y 80 por defecto. Aparte podrás seleccionar * para usar todos los puertos, o poner manualmente los que necesites.
-
- Equilibrador de carga: Permite balancear el tráfico entre varios servidores de un grupo de balanceo.
- VPN: Permite configurar túneles privados.
- Objetos de agrupamiento: Permite simplificar la gestión ya que es posible agrupar IPs o servidores bajo un mismo identificador y realizar acciones para un mismo grupo.
- Estadísticas: Muestra estadísticas de tráfico.