Le service Pare-feu avancé NSX permet à votre SDDC d'utiliser les fonctionnalités NSX avancées.

Le service de pare-feu avancé NSX est disponible dans les SDDC VMware Cloud on AWS de version 1.16 et ultérieures. Ce service inclut les éléments suivants :

Pour activer le module complémentaire Pare-feu avancé de NSX dans votre SDDC, ouvrez l'onglet Modules complémentaires et cliquez sur ACTIVER sur la carte Module complémentaire Pare-feu avancé NSX. Une fois le module complémentaire activé, les fonctionnalités de sécurité avancées de NSX doivent être disponibles dans notre SDDC.

Vous trouverez la documentation détaillée de toutes ces fonctionnalités dans la documentation du produit NSX. Il existe quelques différences opérationnelles entre le fonctionnement des fonctionnalités de NSX sur site et leur fonctionnement dans VMware Cloud on AWS. Par exemple, la plupart des procédures de la documentation du produit NSX incluent une étape vous indiquant de vous connecter avec des privilèges d'administrateur à une instance de NSX Manager. Cette étape n'est pas nécessaire dans VMware Cloud on AWS, car un clic sur OUVRIR NSX MANAGER ou l'ouverture de l'onglet Mise en réseau et sécurité vous donne un accès administrateur à l'instance de NSX Manager dans votre SDDC. D'autres différences sont répertoriées dans les sections suivantes.

Utilisation des profils de contexte dans le SDDC

Cliquez sur Inventaire > Profils de contexte. Vous pouvez spécifier un profil de contexte dans une règle de pare-feu distribué en mettant à jour la valeur dans la colonne Profils de la grille Pare-feu distribué. Pour plus d'informations, reportez-vous à la section Workflow de règle de pare-feu de couche 7 dans la documentation du produit NSX.

Dans VMware Cloud on AWS, les profils de contexte sont pris en charge uniquement pour une utilisation avec des règles de pare-feu distribué. Ils ne peuvent pas être utilisés avec des règles de pare-feu de MGW ou CGW.

Utilisation de Distributed IDS/IPS dans le SDDC

Cliquez sur Sécurité > IDS/IPS distribué. Pour plus d'informations, reportez-vous à la section IDS/IPS distribué dans la documentation du produit NSX.

Lors de l'utilisation de cette fonctionnalité dans VMware Cloud on AWS, tenez compte des différences opérationnelles suivantes :
Activation par cluster
Pour utiliser cette fonctionnalité, activez-la sur un ou plusieurs clusters de SDDC. Sur la page Distributed IDS/IPS, cliquez sur l'onglet Paramètres, puis sélectionnez un ou plusieurs clusters sous Activer la détection et la prévention des intrusions pour le ou les clusters. Comme vMotion ne vérifie actuellement pas l'état d'activation d'IDS/IPS d'un cluster avant de migrer les machines virtuelles, nous vous recommandons d'activer cette fonctionnalité sur tous les clusters afin que la migration n'affecte pas l'application d'IDS/IPS aux machines virtuelles de charge de travail.
Aucun accès aux hôtes
Étant donné que VMware Cloud on AWS ne vous permet pas d'accéder aux hôtes de SDDC, vous ne pouvez pas vérifier l'état de l'IDS distribué sur l'hôte.
Journalisation
Dans VMware Cloud on AWS, les événements générés par cette fonctionnalité sont enregistrés dans VMware Aria Operations for Logs.

Utilisation du pare-feu d'identité dans le SDDC

Cliquez sur Système > Annuaire AD de pare-feu d'identité pour ajouter un domaine Active Directory de SDDC afin que vous puissiez créer des règles de pare-feu d'identité basées sur l'utilisateur. Lors de l'utilisation de cette fonctionnalité dans VMware Cloud on AWS, tenez compte des différences opérationnelles suivantes :
Activer la fonctionnalité pour un ou plusieurs clusters SDDC
Avant de pouvoir utiliser cette fonctionnalité, vous devez effectuer l'étape « Configurer les paramètres du pare-feu d'identité » décrite dans Gérer les règles de pare-feu distribué pour activer la fonctionnalité et l'appliquer à un ou plusieurs clusters SDDC.
Créer une règle de pare-feu pour autoriser l'accès à Active Directory
Si vous utilisez Active Directory, vous devez également créer une règle de pare-feu de passerelle de gestion pour permettre à NSX d'accéder au serveur Active Directory que vous souhaitez utiliser. Cette fonctionnalité ne fonctionne pas si l'accès à Active Directory est interrompu dans votre SDDC. Il est donc important de s'assurer que la règle de pare-feu que vous créez ici reste valide par rapport aux modifications apportées au serveur Active Directory. Pour plus d'informations, consultez Ajouter un annuaire Active Directory dans la documentation du produit NSX.
Journalisation
Dans VMware Cloud on AWS, les événements générés par cette fonctionnalité sont enregistrés dans VMware Aria Operations for Logs.

Utilisation de filtrage de nom de domaine complet distribué dans le SDDC

Dans VMware Cloud on AWS, le filtrage de nom de domaine complet de NSX est pris en charge uniquement pour une utilisation avec des règles de pare-feu distribué. Il ne peut pas être utilisé avec des règles de pare-feu de MGW ou CGW. Pour utiliser cette fonctionnalité, commencez par ajouter une règle d'écoute DNS, décrite dans la section Domains spécifiques de filtrage (FQDN/URL), en tant que première règle de la stratégie. Vous devez également activer le profil de segment prédéfini FQDNfiltering-spoofguard-profile pour tous les segments sur lesquels vous souhaitez prendre en charge le filtrage de nom de domaine complet. Pour plus d'informations sur l'application d'un profil de segment à un segment de réseau SDDC, reportez-vous à la section Créer ou modifier un segment de réseau.

Désactivation du module complémentaire Pare-feu avancé NSX

Avant de pouvoir désactiver le module complémentaire Pare-feu avancé de NSX, vous devez supprimer toutes les règles de pare-feu qui référencent les fonctionnalités du module complémentaire. Cela inclut :
  • Toutes les règles de pare-feu distribué qui incluent un profil de contexte.
  • Toutes les règles et profils IDS/IPS distribués.
  • Toutes les règles de pare-feu basées sur l'identité.
Une fois que vous avez supprimé ces objets, vous pouvez désactiver le module complémentaire :
  1. Ouvrez l'onglet Modules complémentaires dans votre SDDC.
  2. Sur la carte Module complémentaire Pare-feu avancé NSX, cliquez sur ACTIONS > Désactiver.
  3. Vérifiez la liste des objets qui doivent être supprimés avant la désactivation. Lorsque vous êtes sûr que les objets ont été supprimés, cliquez sur CONFIRMER LA DÉSACTIVATION.
La facturation du module complémentaire s'arrête dès que la désactivation est terminée.