Le portail de locataires vous permet de configurer les fonctionnalités de pare-feu fournies par NSX Data Center for vSphere dans votre centre de données virtuel d'organisation VMware Cloud Director. Vous pouvez créer des règles de pare-feu pour des pare-feux distribués afin de mettre en œuvre une sécurité entre machines virtuelles dans un centre de données virtuel d'organisation et des règles de pare-feu à appliquer à un pare-feu de passerelle Edge pour protéger les machines virtuelles dans un centre de données virtuel d'organisation depuis le trafic réseau externe.
La technologie de pare-feu logique NSX Data Center for vSphere est formée de deux composants pour traiter différents cas d'utilisation de déploiement. Le pare-feu de passerelle Edge met l'accent sur l'application du trafic vertical, alors que le pare-feu distribué se concentre sur les contrôles d'accès horizontaux.
Différences clés entre des pare-feux de passerelle Edge et des pare-feux distribués
Un pare-feu de passerelle Edge surveille le trafic vertical afin de mettre en œuvre la fonctionnalité de sécurité de périmètre incluant le pare-feu, la traduction d'adresse réseau (NAT) ainsi que la fonctionnalité IPSec et SSL VPN site à site.
Un pare-feu distribué permet d'isoler et de sécuriser chaque machine virtuelle et chaque application jusqu'au niveau de couche 2 (L2). La configuration des pare-feux distribués met en quarantaine n'importe quel risque de sécurité réseau externe ou interne, isolant le trafic horizontal entre les machines virtuelles sur le même segment réseau. Les stratégies de sécurité sont gérées centralement et peuvent être héritées et imbriquées, afin que les administrateurs réseau et de sécurité puissent les gérer à grande échelle. En outre, une fois déployées, les stratégies de sécurité définies suivent les machines virtuelles ou les applications lorsqu'elles se déplacent entre différents centres de données virtuels.
À propos des règles de pare-feu
Comme décrit dans la documentation du produit pertinent, dans NSX Data Center for vSphere, les règles de pare-feu définies au niveau central sont appelées règles préalables. Vous pouvez également ajouter des règles à un niveau de passerelle Edge individuel, ces règles sont alors appelées règles locales.
Chaque session de trafic est comparée à la règle du tableau de pare-feu supérieure avant d'être comparée aux règles suivantes dans le tableau. La première règle du tableau correspondant aux paramètres du trafic est appliquée. Les règles sont affichées dans l'ordre suivant :
- Les règles préalables définies par l'utilisateur ont la priorité la plus élevée et sont appliquées dans un ordre de haut en bas avec une préséance par niveau de carte réseau virtuelle.
- Règles à vérification automatique (règles permettant le passage du trafic de contrôle des services de passerelle Edge).
- Règles locales définies au niveau de la passerelle Edge.
- Règle de pare-feu distribué par défaut.
Pour plus d'informations sur la façon dont le logiciel NSX Data Center for vSphere applique les règles de pare-feu, reportez-vous à la section Modifier l'ordre d'une règle de pare-feu dans la documentation de NSX Data Center for vSphere.