L'onglet Pare-feu de la passerelle Edge vous permet d'ajouter des règles de pare-feu pour cette passerelle Edge. Vous pouvez ajouter plusieurs interfaces Edge et plusieurs groupes d'adresses IP en tant que source et destination pour ces règles de pare-feu.
Le fait de spécifier interne pour la source ou la destination d'une règle indique le trafic pour tous les sous-réseaux sur les groupes de ports connectés à la passerelle NSX Edge. Si vous sélectionnez interne en tant que source, la règle est automatiquement mise à jour lorsque de nouvelles interfaces internes sont configurées sur la passerelle NSX.
Note : Les règles de pare-feu de la passerelle Edge appliquées aux interfaces internes ne fonctionnent pas lorsque la passerelle Edge est configurée pour un routage dynamique.
Procédure
- Ouvrez les services de passerelle Edge.
- Dans la barre de navigation supérieure, sélectionnez Ressources, puis cliquez sur l'onglet Ressources de cloud.
- Dans le panneau de gauche, cliquez sur Passerelles Edge.
- Cliquez sur le bouton radio situé en regard du nom de la passerelle Edge cible, puis sur Services.
- Si l'écran Règles de pare-feu n'est pas visible, cliquez sur l'onglet Pare-feu.
- Pour ajouter une règle sous une règle existante dans le tableau de règles du pare-feu, cliquez sur la ligne existante, puis cliquez sur le bouton Créer.
Une ligne destinée à la nouvelle règle est ajoutée sous la règle sélectionnée ; par défaut, elle se voit attribuer n'importe quelle destination, n'importe quel service et l'action
Autoriser. Si la règle définie par défaut par le système est l'unique règle du tableau du pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut.
- Cliquez dans la cellule Nom et entrez un nom.
- Cliquez dans la cellule Source et utilisez les icônes désormais visibles pour sélectionner la source à ajouter à la règle :
Option |
Description |
Cliquez sur l'icône IP |
Saisissez la valeur source que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu de la passerelle Edge prend en charge les formats IPv4 et IPv6. |
Cliquez sur l'icône + |
Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
- Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
- Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.
Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets |
- Cliquez sur la cellule Destination et sélectionnez l'une des options suivantes :
Option |
Description |
Cliquez sur l'icône IP |
Saisissez la valeur de destination que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu de la passerelle Edge prend en charge les formats IPv4 et IPv6. |
Cliquez sur l'icône + |
Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
- Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
- Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.
Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets |
- Cliquez sur la cellule Service de la nouvelle règle et cliquez sur l'icône + pour spécifier le service en tant que combinaison port-protocole :
- Sélectionnez le protocole de service.
- Tapez les numéros de port pour les ports source et de destination, ou spécifiez tous.
- Cliquez sur Conserver.
- Dans la cellule Action de la nouvelle règle, configurez l'action de la règle.
Option |
Description |
Accepter |
Autorise le trafic depuis ou vers les sources, les destinations et les services spécifiés. |
Refuser |
Bloque le trafic depuis ou vers les sources, les destinations et les services spécifiés. |
- Cliquez sur Enregistrer les modifications.
L'exécution de l'opération d'enregistrement peut prendre quelques minutes.