Les règles de pare-feu distribué s'appliquent au niveau de la machine virtuelle (vNIC) et contrôlent le trafic est-ouest dans le SDDC.

Tout le trafic tentant de transiter par le pare-feu distribué est soumis aux règles dans l'ordre indiqué dans le tableau de règles, en commençant par le haut du tableau. Un paquet autorisé par la première règle est transmis à la deuxième règle, et ainsi de suite au cours des règles suivantes jusqu'à ce que le paquet soit abandonné, rejeté ou atteigne la règle par défaut, ce qui autorise tout le trafic.

Les règles de pare-feu distribué sont regroupées en stratégies. Les stratégies sont organisées par catégorie. Chaque catégorie a une priorité d'évaluation. Les règles d'une catégorie ayant une priorité plus élevée sont évaluées avant les règles d'une catégorie ayant une priorité inférieure.
Tableau 1. Catégories des règles de pare-feu distribué
Priorité d'évaluation de la catégorie Nom catégorie Description
1 Ethernet Appliqué à tout le trafic réseau SDDC de couche 2.
Note : Les règles de cette catégorie nécessitent des adresses MAC en tant que sources et destinations. Les adresses IP sont acceptées, mais ignorées.
2 Urgence Utilisé pour les règles de mise en quarantaine et d'autorisation.
3 Infrastructure Définissez l'accès aux services partagés. Règles générales, AD, DNS, NTP, DHCP, sauvegarde, serveurs de gestion
4 Environnement Règles entre les zones de sécurité, telles que les zones de production, les zones de développement ou les zones dédiées à des besoins commerciaux spécifiques.
5 Application Règles entre les applications, les niveaux d'application ou les microservices.
Pour plus d'informations sur la terminologie du pare-feu distribué, consultez Terminologie de sécurité dans le Guide d'administration de NSX-T Data Center.

Conditions préalables

Les règles de pare-feu distribué requièrent des groupes d'inventaire sous forme de sources et de destinations, et doivent être appliquées à un service (il peut s'agir d'un service prédéfini ou d'un service personnalisé) que vous définissez pour votre SDDC. Vous pouvez créer ces groupes et services lors de la création d'une règle, mais cela peut accélérer le processus si vous vous en occupez en amont. Reportez-vous aux sections Ajouter ou modifier un groupe de calcul et Ajouter un service personnalisé.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Sélectionnez Mise en réseau et sécurité > Pare-feu distribué.
    Cliquez sur RÈGLES SPÉCIFIQUES À LA CATÉGORIE et sélectionnez une catégorie pour afficher et modifier les stratégies et les règles de cette catégorie, ou cliquez sur TOUTES LES RÈGLES pour afficher (mais pas modifier) les règles de toutes les stratégies et catégories.
  3. (Facultatif) Modifiez la stratégie de connectivité par défaut.
    Le pare-feu distribué inclut des règles par défaut qui s'appliquent à tout le trafic de couche 2 et de couche 3. Ces règles sont évaluées après toutes les autres règles de leur catégorie et autorisent le trafic qui ne correspond pas à une règle précédente à traverser le pare-feu. Vous pouvez modifier l'une de ces règles ou les deux pour qu'elles soient plus restrictives, mais vous ne pouvez pas désactiver une règle.
    • Pour modifier la Règle de couche 2 par défaut, développez la Section de couche 2 par défaut dans la catégorie Ethernet et modifiez l'Action sur cette règle sur Abandonner.
    • Pour modifier la Règle de couche 3 par défaut, développez la section Section de couche 3 par défaut dans la catégorie Application et modifiez l'Action sur cette règle sur Abandonner ou Rejeter.
    Cliquez sur PUBLIER pour mettre à jour la règle.
  4. Pour ajouter une stratégie, ouvrez la catégorie appropriée, cliquez sur AJOUTER UNE STRATÉGIE et attribuez un Nom à la nouvelle stratégie.

    Une nouvelle stratégie est ajoutée en haut de la liste des stratégies pour cette catégorie. Pour ajouter une stratégie avant ou après une stratégie existante, cliquez sur le bouton de sélection vertical au début de la ligne de stratégie pour ouvrir le menu des paramètres de la stratégie, puis cliquez sur Ajouter une stratégie au-dessus ou Ajouter une stratégie en dessous.

    Par défaut, la colonne Appliqué à est définie sur DFW et la règle est appliquée à toutes les charges de travail. Vous pouvez également appliquer la règle ou la stratégie aux groupes sélectionnés. Appliqué à définit l'étendue de l'application par règle et est utilisé principalement pour l'optimisation de la consommation des ressources de l'hôte. Il permet de définir une stratégie ciblée pour des zones et des locataires spécifiques, sans interférer avec d'autres stratégies définies pour d'autres locataires et zones.

    Note : Les groupes composés uniquement d'adresses IP, d'adresses MAC ou de groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.
  5. Pour ajouter une règle, sélectionnez une stratégie, cliquez sur AJOUTER UNE NOUVELLE RÈGLE et attribuez un Nom à la règle.
  6. Entrez les paramètres de la nouvelle règle.
    Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour les Sources et les Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur la valeur du paramètre et cliquez sur l'icône en forme de crayon ( ) pour ouvrir un éditeur spécifique au paramètre.
    Option Description
    Sources Cliquez sur Toutes dans la colonne Sources et sélectionnez un groupe d'inventaire pour le trafic réseau source ou cliquez sur AJOUTER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
    Destinations Cliquez sur Toutes dans la colonne Destinations et sélectionnez un groupe d'inventaire pour le trafic réseau de destination ou cliquez sur CRÉER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
    Services Cliquez sur Tous dans la colonne Services et sélectionnez un service dans la liste. Cliquez sur ENREGISTRER.
    Appliqué à La règle hérite sa valeur APPLIQUÉ À de la stratégie qui la contient.
    Action
    • Sélectionnez Autoriser pour permettre à tout le trafic L2 et L3 de traverser le pare-feu.
    • Sélectionnez Abandonner pour abandonner les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Il s'agit d'une action silencieuse sans notification aux systèmes source ou de destination. L'abandon du paquet entraîne de nouvelles tentatives de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    • Sélectionnez Rejeter pour rejeter les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Cette action renvoie un message de destination inaccessible à l'expéditeur. Pour les paquets TCP, la réponse inclut un message TCP RST. Pour les protocoles UDP, ICMP et autres, la réponse inclut un code administrativement interdit (9 ou 10). L'expéditeur est immédiatement notifié (sans nouvelle tentative) lorsque la connexion ne peut pas être établie.
    La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
  7. (Facultatif) Configurez les paramètres avancés.
    Pour modifier le comportement de l'orientation ou de la journalisation de la règle, cliquez sur l'icône d'engrenage pour ouvrir la page Paramètres.
    Direction
    Par défaut, cette valeur est Entrée/Sortie et la règle est appliquée à toutes les sources et destinations. Vous pouvez modifier la valeur sur Entrée pour appliquer la règle uniquement au trafic entrant depuis une source ou sur Sortie pour l'appliquer uniquement au trafic sortant vers une destination. La modification de cette valeur peut provoquer un routage asymétrique et d'autres anomalies de trafic. Assurez-vous de bien comprendre les résultats possibles pour toutes les sources et destinations avant de modifier la valeur par défaut pour la Direction.
    Journalisation
    La journalisation d'une nouvelle règle est désactivée par défaut. Faites glisser le bouton bascule vers la droite pour activer la journalisation des actions de règles.
  8. Cliquez sur PUBLIER pour créer la règle.

    Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée pour identifier la règle dans les entrées de journal qu'elle génère.

Que faire ensuite

Vous pouvez effectuer n'importe laquelle ou la totalité de ces actions facultatives avec une règle de pare-feu existante.

  • Cliquez sur l'icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware vRealize Log Insight Cloud. Reportez-vous à Utilisation de vRealize Log Insight Cloud dans Guide des opérations de VMware Cloud on AWS.

  • Cliquez sur l'icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
    Tableau 2. Statistiques d'accès à la règle
    Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
    Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
    Tableau 3. Statistiques de flux
    Nombre de paquets Flux total de paquets via cette règle.
    Nombre d'octets Flux total d'octets via cette règle.
    Les statistiques commencent à s'accumuler dès l'activation de la règle.
  • Réorganisez les règles de pare-feu.

    Une règle créée à partir du bouton AJOUTER UNE NOUVELLE RÈGLE est placée en haut de la liste des règles de la stratégie. Les règles de pare-feu de chaque stratégie sont appliquées de haut en bas dans l'ordre. Pour modifier la position d'une règle dans la liste, sélectionnez-la et faites-la glisser vers un nouvel emplacement. Cliquez sur PUBLIER pour publier la modification.