Commencez par ajouter des règles de Distributed Firewall à l'échelle du centre de données virtuel de l'organisation. Vous pouvez ensuite réduire l'étendue à laquelle vous souhaitez appliquer la règle. Le pare-feu distribué vous permet d'ajouter plusieurs objets aux niveaux source et destination pour chaque règle ce qui contribue à réduire le nombre de règles de pare-feu à ajouter.
Pour plus d'informations sur les services et les groupes de services prédéfinis que vous pouvez utiliser dans une règle, consultez Afficher les services disponibles pour les règles de pare-feu et Afficher les groupes de services disponibles pour les règles de pare-feu.
Procédure
- Dans la barre de navigation supérieure, sélectionnez Ressources et cliquez sur Ressources de cloud.
- Dans le panneau de gauche, cliquez sur VDC d'organisation.
- Cliquez sur le bouton radio situé en regard du centre de données virtuel d'organisation cible, puis cliquez sur Gérer le pare-feu.
- Sélectionnez le type de règle que vous souhaitez créer. Vous pouvez créer une règle générale ou une règle Ethernet.
Les règles de la couche 3 (L3) sont configurées dans l'onglet
Général. Les règles de la couche 2 (L2) sont configurées dans l'onglet
Ethernet.
- Pour ajouter une règle sous une règle existante dans le tableau du pare-feu, cliquez sur la ligne existante, puis cliquez sur le bouton Créer ().
Une ligne destinée à la nouvelle règle est ajoutée sous la règle sélectionnée ; par défaut, elle se voit attribuer n'importe quelle destination, n'importe quel service et l'action
Autoriser. Si la règle Autoriser définie par défaut par le système est l'unique règle du tableau du pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut.
- Cliquez dans la cellule Nom et entrez un nom.
- Cliquez dans la cellule Source et utilisez les icônes désormais visibles pour sélectionner la source à ajouter à la règle :
Action |
Description |
Cliquez sur l'icône IP |
Applicable aux règles définies dans l'onglet Général. Saisissez la valeur source que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu distribué prend uniquement en charge le format IPv4. |
Cliquez sur l'icône + |
Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
- Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
- Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.
Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets |
- Cliquez sur la cellule Destination et effectuez l'une des actions suivantes :
Action |
Description |
Cliquez sur l'icône IP |
Applicable aux règles définies dans l'onglet Général. Saisissez la valeur de destination que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, un routage CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu distribué prend uniquement en charge le format IPv4. |
Cliquez sur l'icône + |
Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
- Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
- Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.
Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets |
- Cliquez sur la cellule Service de la nouvelle règle et effectuez l'une des actions suivantes :
Action |
Description |
Cliquez sur l'icône IP |
Pour spécifier le service en tant que combinaison port-protocole :
- Sélectionnez le protocole de service.
- Tapez les numéros de port pour les ports source et destination, ou spécifiez tous, puis cliquez sur Conserver.
|
Cliquez sur l'icône + |
Pour sélectionner un service prédéfini ou un groupe de services, ou en définir un nouveau :
- Sélectionnez un ou plusieurs objets et ajoutez-les au filtre.
- Cliquez sur Conserver.
|
- Dans la cellule Action de la nouvelle règle, configurez l'action de la règle.
Option |
Description |
Autoriser |
Autorise le trafic depuis ou vers les sources, les destinations et les services spécifiés. |
Refuser |
Bloque le trafic depuis ou vers les sources, les destinations et les services spécifiés. |
- Dans la cellule Direction de la nouvelle règle, indiquez si la règle s'applique au trafic entrant, sortant ou aux deux.
- S'il s'agit d'une règle de l'onglet Général, dans la cellule Type de paquet de la nouvelle règle, sélectionnez le type de paquet Tous, IPV4 ou IPV6.
- Sélectionnez la cellule Appliqué à et utilisez l'icône + pour définir la portée de l'objet auquel s'applique cette règle.
Si la règle contient des machines virtuelles dans les cellules
Source et
Destination, vous devez ajouter les machines virtuelles source et de destination à l'option
Appliqué à de la règle pour que celle-ci fonctionne correctement.
Important : Les groupes d'adresses IP (ensembles d'adresses IP), les groupes d'adresses MAC (ensembles d'adresses Mac) et les groupes de sécurité contenant des ensembles d'adresses IP ou des ensembles d'adresses MAC ne sont pas des paramètres d'entrée valides.
- Cliquez sur Enregistrer les modifications.