Comme décrit dans la documentation NSX Data Center for vSphere, les paramètres de pare-feu par défaut s'appliquent au trafic qui ne correspond pas aux règles de pare-feu définies par l'utilisateur. Dans le VMware Cloud Director Tenant Portal, la règle de pare-feu distribué par défaut est étiquetée Règle d'autorisation par défaut.

La fonctionnalité de pare-feu distribué doit être activée sur un centre de données virtuel d'organisation avant que vous puissiez gérer les paramètres de pare-feu distribué à l'aide du VMware Cloud Director Tenant Portal.

La règle de pare-feu distribué par défaut est configurée pour autoriser tout le trafic de couche 3 et de couche 2 à passer par le centre de données virtuel d'organisation. Ce paramètre est indiqué par l'option Autoriser définie dans la colonne Action de l'interface utilisateur. La règle par défaut se situe toujours en bas du tableau de règles.

Important : Vous ne pouvez pas supprimer ou modifier les règles de pare-feu distribué par défaut.

Ajouter une règle de pare-feu distribué

Commencez par ajouter des règles de Distributed Firewall à l'échelle du centre de données virtuel de l'organisation. Vous pouvez ensuite réduire l'étendue à laquelle vous souhaitez appliquer la règle. Le pare-feu distribué vous permet d'ajouter plusieurs objets aux niveaux source et destination pour chaque règle ce qui contribue à réduire le nombre de règles de pare-feu à ajouter.

Pour plus d'informations sur les services et les groupes de services prédéfinis que vous pouvez utiliser dans une règle, consultez Afficher les services disponibles pour les règles de pare-feu et Afficher les groupes de services disponibles pour les règles de pare-feu.

Conditions préalables

Procédure

  1. Dans l'écran du tableau de bord Centre de données virtuel, cliquez sur la carte du centre de données virtuel que vous souhaitez explorer et, sous Mise en réseau, sélectionnez Sécurité.
  2. Sélectionnez le réseau VDC de services de sécurité pour lequel vous souhaitez modifier les règles de pare-feu, puis cliquez sur Configurer des services.
    L'écran Services de sécurité s'affiche.
  3. Sélectionnez le type de règle que vous souhaitez créer. Vous pouvez créer une règle générale ou une règle Ethernet.
    Les règles de la couche 3 (L3) sont configurées dans l'onglet Général. Les règles de la couche 2 (L2) sont configurées dans l'onglet Ethernet.
  4. Pour ajouter une règle sous une règle existante dans le tableau du pare-feu, cliquez sur la ligne existante, puis cliquez sur le bouton Créer (bouton Créer).
    Une ligne destinée à la nouvelle règle est ajoutée sous la règle sélectionnée ; par défaut, elle se voit attribuer n'importe quelle destination, n'importe quel service et l'action Autoriser. Si la règle Autoriser définie par défaut par le système est l'unique règle du tableau du pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut.
  5. Cliquez dans la cellule Nom et entrez un nom.
  6. Cliquez dans la cellule Source et utilisez les icônes désormais visibles pour sélectionner la source à ajouter à la règle :
    Action Description
    Cliquez sur l'icône IP Applicable aux règles définies dans l'onglet Général.

    Saisissez la valeur source que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu distribué prend uniquement en charge le format IPv4.

    Cliquez sur l'icône + Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
    • Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
    • Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.

    Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets

  7. Cliquez sur la cellule Destination et effectuez l'une des actions suivantes :
    Action Description
    Cliquez sur l'icône IP Applicable aux règles définies dans l'onglet Général.

    Saisissez la valeur de destination que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, un routage CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu distribué prend uniquement en charge le format IPv4.

    Cliquez sur l'icône + Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
    • Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
    • Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.

    Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets

  8. Cliquez sur la cellule Service de la nouvelle règle et effectuez l'une des actions suivantes :
    Action Description
    Cliquez sur l'icône IP Pour spécifier le service en tant que combinaison port-protocole :
    1. Sélectionnez le protocole de service.
    2. Tapez les numéros de port pour les ports source et destination, ou spécifiez tous, puis cliquez sur Conserver.
    Cliquez sur l'icône + Pour sélectionner un service prédéfini ou un groupe de services, ou en définir un nouveau :
    1. Sélectionnez un ou plusieurs objets et ajoutez-les au filtre.
    2. Cliquez sur Conserver.
  9. Dans la cellule Action de la nouvelle règle, configurez l'action de la règle.
    Option Description
    Autoriser Autorise le trafic depuis ou vers les sources, les destinations et les services spécifiés.
    Refuser Bloque le trafic depuis ou vers les sources, les destinations et les services spécifiés.
  10. Dans la cellule Direction de la nouvelle règle, indiquez si la règle s'applique au trafic entrant, sortant ou aux deux.
  11. S'il s'agit d'une règle de l'onglet Général, dans la cellule Type de paquet de la nouvelle règle, sélectionnez le type de paquet Tous, IPV4 ou IPV6.
  12. Sélectionnez la cellule Appliqué à et utilisez l'icône + pour définir la portée de l'objet auquel s'applique cette règle.
    Si la règle contient des machines virtuelles dans les cellules Source et Destination, vous devez ajouter les machines virtuelles source et de destination à l'option Appliqué à de la règle pour que celle-ci fonctionne correctement.
    Important : Les groupes d'adresses IP (ensembles d'adresses IP), les groupes d'adresses MAC (ensembles d'adresses Mac) et les groupes de sécurité contenant des ensembles d'adresses IP ou des ensembles d'adresses MAC ne sont pas des paramètres d'entrée valides.
  13. Cliquez sur Enregistrer les modifications.

Modifier une règle de pare-feu distribué

Dans un environnement VMware Cloud Director, pour modifier une règle de pare-feu distribué existante d'un centre de données virtuel d'organisation, utilisez l'écran Pare-feu distribué.

Pour plus d'informations sur les paramètres disponibles pour les différentes cellules d'une règle, reportez-vous à la section Ajouter une règle de pare-feu distribué.

Procédure

  1. Dans l'écran du tableau de bord Centre de données virtuel, cliquez sur la carte du centre de données virtuel que vous souhaitez explorer et, sous Mise en réseau, sélectionnez Sécurité.
  2. Sélectionnez le réseau VDC de services de sécurité pour lequel vous souhaitez modifier les règles de pare-feu, puis cliquez sur Configurer des services.
    L'écran Services de sécurité s'affiche.
  3. Les actions suivantes vous permettent de gérer les règles de pare-feu distribué :
    • Pour désactiver une règle, cliquez sur la coche verte dans la cellule .

      La coche verte prend l'aspect d'une icône rouge de désactivation. Si la règle est désactivée et que vous souhaitez l'activer, cliquez sur l'icône rouge de désactivation.

    • Pour modifier le nom d'une règle, double-cliquez dans la cellule Nom et saisissez le nouveau nom.
    • Pour modifier les paramètres d'une règle (par exemple, les paramètres de source ou d'action), sélectionnez la cellule appropriée et utilisez les contrôles affichés.
    • Pour supprimer une règle, sélectionnez-la et cliquez sur le bouton Supprimer situé au-dessus du tableau de règles.
    • Pour déplacer une règle vers le haut ou vers le bas dans le tableau des règles, sélectionnez la règle et cliquez sur la flèche vers le haut ou sur la flèche vers le bas au-dessus du tableau des règles.
  4. Cliquez sur Enregistrer les modifications.