Pour protéger le trafic entrant et sortant sur une passerelle Edge, vous pouvez créer et gérer des règles de pare-feu sur cette passerelle Edge.

Pour plus d'informations sur la protection du trafic circulant entre les machines virtuelles dans un centre de données virtuel d'organisation, reportez-vous à Gestion du pare-feu distribué dans un centre de données virtuel d'organisation VMware Cloud Director.

Les règles créées sur l'écran du pare-feu distribué pour lesquelles une passerelle Edge avancée est spécifiée dans la colonne Appliqué à ne s'affichent pas sur l'écran du pare-feu pour cette passerelle Edge avancée.

Les règles de pare-feu d'une passerelle Edge sont affichées dans l'écran Pare-feu et sont appliquées dans l'ordre suivant :

  1. Règles internes, également appelées règles à montage automatique. Ces règles internes permettent le passage du trafic de contrôle des services de passerelle Edge.
  2. Règles définies par l'utilisateur.
  3. Règle par défaut.

Les paramètres de la règle par défaut s'appliquent au trafic qui ne correspond à aucune règle de pare-feu définie par l'utilisateur. La règle par défaut s'affiche au bas des règles sur l'écran du pare-feu.

Dans le portail de locataires, utilisez le bouton Activer sur l'écran des règles de pare-feu de la passerelle Edge pour activer ou désactiver un pare-feu de passerelle Edge.

Ajouter une règle de pare-feu de passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

L'onglet Pare-feu de la passerelle Edge vous permet d'ajouter des règles de pare-feu pour cette passerelle Edge. Vous pouvez ajouter plusieurs interfaces Edge et plusieurs groupes d'adresses IP en tant que source et destination pour ces règles de pare-feu.

Le fait de spécifier interne pour la source ou la destination d'une règle indique le trafic pour tous les sous-réseaux sur les groupes de ports connectés à la passerelle NSX Edge. Si vous sélectionnez interne en tant que source, la règle est automatiquement mise à jour lorsque de nouvelles interfaces internes sont configurées sur la passerelle NSX.

Note : Les règles de pare-feu de la passerelle Edge appliquées aux interfaces internes ne fonctionnent pas lorsque la passerelle Edge est configurée pour un routage dynamique.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez l'onglet Ressources de cloud.
    2. Dans le panneau secondaire de gauche, sélectionnez Passerelles Edge.
    3. Cliquez sur le bouton radio situé en regard du nom de la passerelle Edge cible, puis sur Services.
  2. Si l'écran Règles de pare-feu n'est pas visible, cliquez sur l'onglet Pare-feu.
  3. Pour ajouter une règle sous une règle existante dans le tableau de règles du pare-feu, cliquez sur la ligne existante, puis cliquez sur le bouton Créer.
    Une ligne destinée à la nouvelle règle est ajoutée sous la règle sélectionnée ; par défaut, elle se voit attribuer n'importe quelle destination, n'importe quel service et l'action Autoriser. Si la règle définie par défaut par le système est l'unique règle du tableau du pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut.
  4. Cliquez dans la cellule Nom et entrez un nom.
  5. Cliquez dans la cellule Source et utilisez les icônes désormais visibles pour sélectionner la source à ajouter à la règle :
    Option Description
    Cliquez sur l'icône IP Saisissez la valeur source que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu de la passerelle Edge prend en charge les formats IPv4 et IPv6.
    Cliquez sur l'icône + Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
    • Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
    • Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.

    Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets

  6. Cliquez sur la cellule Destination et sélectionnez l'une des options suivantes :
    Option Description
    Cliquez sur l'icône IP Saisissez la valeur de destination que vous souhaitez utiliser. Les valeurs valides sont une adresse IP, CIDR, une plage d'adresses IP ou le mot clé tous. Le pare-feu de la passerelle Edge prend en charge les formats IPv4 et IPv6.
    Cliquez sur l'icône + Utilisez l'icône + pour spécifier la source sous la forme d'un objet autre qu'une adresse IP spécifique :
    • Utilisez la fenêtre Sélectionner des objets pour ajouter des objets qui correspondent à vos sélections et cliquez sur Conserver pour les ajouter à la règle.
    • Pour exclure une source de la règle, ajoutez-la à cette règle à l'aide de la fenêtre Sélectionner des objets, puis sélectionnez l'icône d'exclusion pour exclure cette source de cette règle.

    Lorsque l'exclusion est sélectionnée sur la source, la règle est appliquée au trafic provenant de toutes les sources à l'exception de celle que vous avez exclue. Lorsque l'exclusion n'est pas sélectionnée, la règle s'applique au trafic provenant de la source que vous avez spécifiée dans la fenêtre Sélectionner des objets

  7. Cliquez sur la cellule Service de la nouvelle règle et cliquez sur l'icône + pour spécifier le service en tant que combinaison port-protocole :
    1. Sélectionnez le protocole de service.
    2. Tapez les numéros de port pour les ports source et de destination, ou spécifiez tous.
    3. Cliquez sur Conserver.
  8. Dans la cellule Action de la nouvelle règle, configurez l'action de la règle.
    Option Description
    Accepter Autorise le trafic depuis ou vers les sources, les destinations et les services spécifiés.
    Refuser Bloque le trafic depuis ou vers les sources, les destinations et les services spécifiés.
  9. Cliquez sur Enregistrer les modifications.
    L'exécution de l'opération d'enregistrement peut prendre quelques minutes.

Modifier les règles de pare-feu de la passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

Seules les règles de pare-feu définies par l'utilisateur qui ont été ajoutées à une passerelle Edge peuvent être modifiées et supprimées. Vous ne pouvez pas modifier ou supprimer une règle générée automatiquement ni une règle par défaut, sauf lorsque vous modifiez le paramètre d'action de la règle par défaut. Vous pouvez modifier l'ordre de priorité des règles définies par l'utilisateur.

Pour plus d'informations sur les paramètres disponibles pour les différentes cellules d'une règle, reportez-vous à la section Ajouter une règle de pare-feu de passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez l'onglet Ressources de cloud.
    2. Dans le panneau secondaire de gauche, sélectionnez Passerelles Edge.
    3. Cliquez sur le bouton radio situé en regard du nom de la passerelle Edge cible, puis sur Services.
  2. Cliquez sur l'onglet Pare-feu.
  3. Gérez les règles de pare-feu.
    • Pour désactiver une règle, cliquez sur la coche verte dans la cellule . La coche verte prend l'aspect d'une icône rouge de désactivation. Si la règle est désactivée et que vous souhaitez l'activer, cliquez sur l'icône rouge de désactivation.
    • Pour modifier le nom d'une règle, double-cliquez dans la cellule Nom et saisissez le nouveau nom.
    • Pour modifier les paramètres d'une règle (par exemple, les paramètres de source ou d'action), sélectionnez la cellule appropriée et utilisez les contrôles affichés.
    • Pour supprimer une règle, sélectionnez-la et cliquez sur le bouton Supprimer situé au-dessus du tableau de règles.
    • Pour masquer les règles générées par le système, utilisez le bouton Afficher uniquement les règles définies par l'utilisateur.
    • Pour déplacer une règle vers le haut ou vers le bas dans le tableau des règles, sélectionnez la règle et cliquez sur la flèche vers le haut ou sur la flèche vers le bas au-dessus du tableau des règles.
  4. Cliquez sur Enregistrer les modifications.

Appliquer les paramètres du serveur Syslog à une passerelle Edge NSX Data Center for vSphere dans VMware Cloud Director

Si vous avez activé la journalisation pour une ou plusieurs règles de pare-feu de passerelle Edge, la passerelle Edge se connecte au serveur syslog. Si vous avez créé une passerelle Edge avant la configuration initiale du serveur syslog ou si vous avez changé les paramètres du serveur syslog, vous devez synchroniser les paramètres du serveur syslog pour cette passerelle Edge.

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez Ressources de cloud.
  2. Dans le panneau secondaire de gauche, sélectionnez Passerelles Edge.
  3. Cliquez sur le bouton radio situé en regard du nom de la passerelle Edge cible, puis sur Synchroniser Syslog.
  4. Pour confirmer, cliquez sur OK.