Par défaut, la passerelle de calcul bloque le trafic vers toutes les liaisons montantes. Ajoutez des règles de pare-feu de passerelle de calcul pour autoriser le trafic si nécessaire.

Les règles de pare-feu de la passerelle de calcul définissent les actions à effectuer sur le trafic réseau depuis une source spécifiée vers une destination spécifiée. Ces actions peuvent être : autoriser (autoriser le trafic) ou abandonner (abandonner tous les paquets correspondant à la source et la destination spécifiées). Les sources et les destinations peuvent être choisies dans une liste d'interfaces réseau physiques ou la spécification générique Toutes les liaisons montantes, qui s'applique à tout le trafic quittant la passerelle vers l'interface VPC, Internet ou Direct Connect.
Note : Une règle de pare-feu appliquée à Toutes les liaisons montantes ne s'applique pas à l' interface de tunnel VPN (VTI), car il s'agit d'une interface virtuelle et non d'une liaison montante physique. L' interface de tunnel VPN doit être explicitement spécifiée dans le paramètre Appliqué à de chaque règle de pare-feu qui gère des communications de machines virtuelles de charge de travail sur un VPN basé sur les routes.
La passerelle de calcul inclut une Règle VTI par défaut qui abandonne tout le trafic vers le VTI et un Règle de liaison montante par défaut qui abandonne le trafic vers Toutes les liaisons montantes. Pour permettre aux machines virtuelles de charge de travail de communiquer sur le VTI, modifiez cette règle ou déplacez-la à un emplacement inférieur dans la hiérarchie des règles, après des règles plus permissives.

Tout le trafic tentant de transiter par le pare-feu est soumis aux règles dans l'ordre indiqué dans le tableau de règles, en commençant par le haut du tableau. Un paquet autorisé par la première règle est transmis à la deuxième règle, et ainsi de suite au cours des règles suivantes jusqu'à ce que le paquet soit abandonné, rejeté ou atteigne une règle par défaut.

Conditions préalables

Les règles de pare-feu de la Passerelle de calcul nécessitent des groupes d'inventaire nommés pour les valeurs source et de destination. Reportez-vous à la section Ajouter ou modifier un groupe de calcul.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Dans l'onglet Mise en réseau et sécurité, cliquez sur Pare-feu de la passerelle.
  3. Sur la page PARE-FEU DE PASSERELLE, cliquez sur Passerelle de calcul.
  4. Pour ajouter une règle, cliquez sur AJOUTER UNE RÈGLE et donnez un Nom à la nouvelle règle.
  5. Entrez les paramètres de la nouvelle règle.
    Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour les Sources et les Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur la valeur du paramètre et cliquez sur l'icône en forme de crayon ( ) pour ouvrir un éditeur spécifique au paramètre.
    Option Description
    Sources Cliquez sur Toutes dans la colonne Sources et sélectionnez un groupe d'inventaire pour le trafic réseau source ou cliquez sur AJOUTER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
    Destinations Cliquez sur Toutes dans la colonne Destinations et sélectionnez un groupe d'inventaire pour le trafic réseau de destination ou cliquez sur CRÉER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
    Services Cliquez sur Tous dans la colonne Services et sélectionnez un service dans la liste. Cliquez sur ENREGISTRER.
    Appliqué à Définissez le type de trafic auquel la règle s'applique :
    • Sélectionnez Interface de tunnel VPN si vous souhaitez que la règle s'applique au trafic sur le VPN basé sur les routes.
    • Sélectionnez Interface VPC si vous souhaitez que la règle s'applique au trafic sur la connexion VPC AWS.
    • Sélectionnez Interface Internet si vous souhaitez que la règle s'applique au trafic sur Internet, y compris sur les VPN basés sur les stratégies utilisant une adresse IP publique.
    • Sélectionnez Interface Direct Connect si vous souhaitez que la règle autorise le trafic sur AWS Direct Connect (VIF privé), y compris les VPN basés sur les stratégies utilisant une adresse IP privée.
    • Toutes les liaisons montantes si vous souhaitez que la règle s'applique à l'interface VPC, l'interface Internet et l'interface Direct Connect, mais pas à l'interface de tunnel VPN.
      Note : L' interface de tunnel VPN n'est pas classée en tant que liaison montante.
    Action
    • Sélectionnez Autoriser pour permettre à tout le trafic L2 et L3 de traverser le pare-feu.
    • Sélectionnez Abandonner pour abandonner les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Il s'agit d'une action silencieuse sans notification aux systèmes source ou de destination. L'abandon du paquet entraîne de nouvelles tentatives de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    • Sélectionnez Rejeter pour rejeter les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Cette action renvoie un message de destination inaccessible à l'expéditeur. Pour les paquets TCP, la réponse inclut un message TCP RST. Pour les protocoles UDP, ICMP et autres, la réponse inclut un code administrativement interdit (9 ou 10). L'expéditeur est immédiatement notifié (sans nouvelle tentative) lorsque la connexion ne peut pas être établie.
    La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
  6. Cliquez sur PUBLIER pour créer la règle.

    Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée dans les entrées de journal générées par la règle.

Que faire ensuite

Vous pouvez effectuer n'importe laquelle ou la totalité de ces actions facultatives avec une règle de pare-feu existante.

  • Cliquez sur l'icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware vRealize Log Insight Cloud. Reportez-vous à Utilisation de vRealize Log Insight Cloud dans Guide des opérations de VMware Cloud on AWS.

  • Cliquez sur l'icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
    Tableau 1. Statistiques d'accès à la règle
    Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
    Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
    Tableau 2. Statistiques de flux
    Nombre de paquets Flux total de paquets via cette règle.
    Nombre d'octets Flux total d'octets via cette règle.
    Les statistiques commencent à s'accumuler dès l'activation de la règle.
  • Réorganisez les règles de pare-feu.

    Une règle créée à partir du bouton AJOUTER UNE NOUVELLE RÈGLE est placée en haut de la liste des règles. Les règles de pare-feu sont appliquées de haut en bas. Pour modifier la position d'une règle dans la liste, sélectionnez-la et faites-la glisser vers un nouvel emplacement. Cliquez sur PUBLIER pour publier la modification.