À l'aide du VMware Cloud Director Tenant Portal, commencez par ajouter une règle de pare-feu distribué à l'échelle du centre de données virtuel de l'organisation. Vous pouvez ensuite réduire l'étendue à laquelle vous souhaitez appliquer la règle. Le pare-feu distribué vous permet d'ajouter plusieurs objets aux niveaux source et destination pour chaque règle ce qui contribue à réduire le nombre de règles de pare-feu à ajouter.

Pour plus d'informations sur les services et les groupes de services prédéfinis que vous pouvez utiliser dans une règle, consultez Afficher les services disponibles pour les règles de pare-feu à l'aide de votre VMware Cloud Director Tenant Portal et Afficher les groupes de services disponibles pour les règles de pare-feu à l'aide de votre VMware Cloud Director Tenant Portal.

Conditions préalables

Procédure

  1. Dans l'écran du tableau de bord Centre de données virtuel, cliquez sur la carte du centre de données virtuel que vous souhaitez explorer et, sous Mise en réseau, sélectionnez Sécurité.
  2. Sélectionnez le réseau VDC de services de sécurité pour lequel vous souhaitez modifier les règles de pare-feu, puis cliquez sur Configurer des services.
    L'écran Services de sécurité s'affiche.
  3. Sélectionnez le type de règle que vous souhaitez créer. Vous pouvez créer une règle générale ou une règle Ethernet.
    Les règles de la couche 3 (L3) sont configurées dans l'onglet Général. Les règles de la couche 2 (L2) sont configurées dans l'onglet Ethernet.
  4. Pour ajouter une règle sous une règle existante dans le tableau du pare-feu, cliquez sur la ligne existante, puis cliquez sur le bouton Créer (bouton Créer).
    Une ligne destinée à la nouvelle règle est ajoutée sous la règle sélectionnée ; par défaut, elle se voit attribuer n'importe quelle destination, n'importe quel service et l'action Autoriser. Si la règle Autoriser définie par défaut par le système est l'unique règle du tableau du pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut.
  5. Cliquez dans la cellule Nom et entrez un nom.
  6. Cliquez dans la cellule Source et utilisez les icônes désormais visibles pour sélectionner la source à ajouter à la règle :
    Action Description
    Cliquez sur l'icône IP Applicable aux règles définies dans l'onglet Général.

    Entrez la valeur source que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu distribué prend uniquement en charge le format IPv4.

    Cliquez sur l'icône + Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
    • Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
    • Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.

    Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets

  7. Cliquez sur la cellule Destination et effectuez l'une des actions suivantes :
    Action Description
    Cliquez sur l'icône IP Applicable aux règles définies dans l'onglet Général.

    Entrez la valeur de destination que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, un routage CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu distribué prend uniquement en charge le format IPv4.

    Cliquez sur l'icône + Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
    • Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
    • Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.

    Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets

  8. Cliquez sur la cellule Service de la nouvelle règle et effectuez l'une des actions suivantes :
    Action Description
    Cliquez sur l'icône IP Pour spécifier le service en tant que combinaison port-protocole :
    1. Sélectionnez le protocole de service.
    2. Saisissez les numéros de port pour les ports source et destination, ou spécifiez tous, puis cliquez sur Conserver.
    Cliquez sur l'icône + Pour sélectionner un service prédéfini ou un groupe de services, ou en définir un nouveau :
    1. Sélectionnez un ou plusieurs objets et ajoutez-les au filtre.
    2. Cliquez sur Conserver.
  9. Dans la cellule Action de la nouvelle règle, configurez l'action de la règle.
    Option Description
    Autoriser Autorise le trafic depuis ou vers les sources, les destinations et les services spécifiés.
    Refuser Bloque le trafic depuis ou vers les sources, les destinations et les services spécifiés.
  10. Dans la cellule Direction de la nouvelle règle, indiquez si la règle s'applique au trafic entrant, sortant ou aux deux.
  11. S'il s'agit d'une règle de l'onglet Général, dans la cellule Type de paquet de la nouvelle règle, sélectionnez le type de paquet Tous, IPV4 ou IPV6.
  12. Sélectionnez la cellule Appliqué à et utilisez l'icône + pour définir la portée de l'objet auquel s'applique cette règle.
    Si la règle contient des machines virtuelles dans les cellules Source et Destination, vous devez ajouter les machines virtuelles source et de destination à l'option Appliqué à de la règle pour que celle-ci fonctionne correctement.
    Important : Les groupes d'adresses IP (ensembles d'adresses IP), les groupes d'adresses MAC (ensembles d'adresses Mac) et les groupes de sécurité contenant des ensembles d'adresses IP ou des ensembles d'adresses MAC ne sont pas des paramètres d'entrée valides.
  13. Cliquez sur Enregistrer les modifications.