Le pare-feu distribué vous permet de segmenter des entités de centre de données virtuel d'organisation, telles que des machines virtuelles, en fonction de noms de machine virtuelle et d'attributs.
VMware Cloud Director prend en charge les services de pare-feu distribué sur les centres de données virtuels d'organisation reposant sur NSX Data Center for vSphere. Comme décrit dans la documentation de NSX Data Center for vSphere, ce pare-feu distribué est un pare-feu hyperviseur intégré dans le noyau qui fournit une visibilité et un contrôle pour les charges de travail et les réseaux virtualisés. Vous pouvez créer des stratégies de contrôle d'accès basées sur des objets comme des noms de machine virtuelle et des structures réseau comme des adresses IP ou des adresses IP définies. Les règles de pare-feu sont appliquées au niveau de la vNIC de chaque machine virtuelle pour mettre en œuvre un contrôle d'accès cohérent, même lorsque la machine virtuelle est déplacée vers un nouvel hôte ESXi par vSphere vMotion. Ce pare-feu distribué prend en charge un modèle de sécurité grâce à une microsegmentation dans laquelle le trafic horizontal peut être inspecté à une vitesse de traitement proche de la vitesse de ligne.
Comme décrit dans la documentation de NSX Data Center for vSphere, pour les paquets de la couche 2 (L2), le pare-feu distribué crée un cache afin d'accélérer les performances. Les paquets de la couche 3 (L3) sont traités dans l'ordre suivant :
- Tous les paquets sont vérifiés pour un état existant.
- Lorsqu'une correspondance d'état est trouvée, les paquets sont traités.
- Lorsqu'une correspondance d'état est introuvable, les paquets sont traités en suivant les règles jusqu'à ce qu'une correspondance soit trouvée.
- Pour les paquets TCP, un état est défini uniquement pour les paquets comportant un indicateur SYN. Cependant, les règles qui ne spécifient pas de protocole (service ANY), peuvent faire correspondre les paquets TCP à n'importe quelle combinaison d'indicateurs.
- Pour les paquets UDP, des détails quintuples sont extraits du paquet. Lorsqu'un état n'existe pas dans la table des états, un nouvel état est créé à l'aide des détails quintuples extraits. Les paquets reçus par la suite sont comparés à l'état qui vient d'être créé.
-
Pour les paquets ICMP, le type ICMP, le code et la direction du paquet sont utilisés pour créer un état.
Le pare-feu distribué permet de créer également des règles basées sur l'identité. Les administrateurs peuvent appliquer le contrôle d'accès basé sur l'appartenance au groupe de l'utilisateur telle que définie dans l'annuaire Active Directory (AD) de l'entreprise. Cas d'utilisation pour lesquels vous pouvez utiliser des règles de pare-feu basées sur l'identité :
- Utilisateurs accédant aux applications virtuelles à l'aide d'un ordinateur portable ou d'un appareil mobile où AD est utilisé pour l'authentification des utilisateurs
- Utilisateurs accédant à des applications virtuelles à l'aide d'une infrastructure VDI dans laquelle les machines virtuelles sont basées sur Microsoft Windows
Pour obtenir des informations détaillées sur les fonctionnalités offertes par le pare-feu distribué, consultez la documentation de NSX Data Center for vSphere.