FortiGateFortiOSGuías técnicas

Conectores para VMWare NSX

Con la introducción de FOS 6.0 y los Fabric Connectors, se abre la posibilidad de aplicar politicas de seguridad dinámicas en FortiGate. Uno de los conectores disponibles es el de VMware NSX.

Existe un producto específico para la protección dentro del hypervisor de VMware (Fortigate-VMX y Fortigate-SVM), que habilita la microsegmentación dentro del entorno virtual. Ahora también es posible de forma adicional aplicar políticas de protección en el perímetro del datacenter aprendiendo objetos dinámicos de VMware NSX en FortiGate.

Para establecer la conexión, hay que crear una nueva instancia del Fabric Connector NSX:

Security Fabric -> Fabric Connectors -> VMware NSX

Es necesario introducir los parámetros de conexión a NSX (IP, username, password)

Si la conexión es satisfactoria, aparecerá con la fleche en verde:

También se puede verificar la conectividad con el conector de NSX mediante el CLI:

FGT1 # diagnose sys sdn status
SDN Connector Type Status
———————————————————–
myNSX nsx connected
FGT1 #

Para descubrir los objetos de VMware NSX (los Security Tags) y las direcciones IP asociadas a los mismos, existe el siguiente comando por CLI:

FGT1 # execute nsx group
delete Delete NSX Security Groups.
import Import NSX Security Groups.
list List NSX Security Groups.

Mediante el commando “execute nsx group list” se muestran los objetos disponibles en el conector sdn NSX.
FGT1 # execute nsx group list
[1] 13 myNSXTags-DbServers:
Name:myNSXTags-DbServers
Address:10.0.0.2
[2] 10 myNSXTag-WebServers:
Name:myNSXTag-WebServers
Address:10.0.0.1
Address:10.0.0.2
[4] 12 myNSXTags-AppServers:
Name:myNSXTags-AppServers
Address:10.0.0.1

Es posible crear automáticamente objetos del tipo Address en Fortigate mediante el comando “execute nsx group import <vdom>”:
FGT1 # execute nsx group import root
[1] 13 myNSXTags-DbServers:
Name:myNSXTags-DbServers
Address:10.0.0.2
[2] 10 myNSXTag-WebServers:
Name:myNSXTag-WebServers
Address:10.0.0.1
Address:10.0.0.2
[3] 1 Activity Monitoring Data Collection:
Name:Activity Monitoring Data Collection
[4] 12 myNSXTags-AppServers:
Name:myNSXTags-AppServers
Address:10.0.0.1

Una vez importados los Security Tags, estos aparecen en la lista de direcciones (Addresses):

Una vez importadas las direcciones dinámicas, es posible crear políticas de seguridad en base a estas:

 

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *