Vous pouvez créer des stratégies de pare-feu distribué pour sécuriser le flux du trafic est-ouest dans un projet (personnalisé) défini par l'utilisateur. Les règles de pare-feu distribué dans un projet défini par l'utilisateur n'ont aucune incidence sur les charges de travail en dehors du projet.
Règles DFW par défaut dans un projet défini par l'utilisateur
Pour chaque projet défini par l'utilisateur ajouté dans une instance de NSX+, le système crée une stratégie DFW par défaut dans le projet. La stratégie par défaut s'affiche au bas de la liste des stratégies dans la catégorie Pare-feu de l'application. La stratégie par défaut définit le comportement des VM dans le projet défini par l'utilisateur si aucune autre règle n'est rencontrée.
La convention de dénomination suivante est utilisée pour identifier la stratégie DFW par défaut dans un projet défini par l'utilisateur :
PROJECT-<Project_Name> Default Layer 3 sectionProject_Name est remplacé par la valeur réelle dans le système.
Par exemple, la capture d'écran suivante montre les règles de stratégie DFW par défaut dans un projet défini par l'utilisateur.
Comme indiqué dans cette capture d'écran, la stratégie par défaut est appliquée à DFW et contient les règles de pare-feu suivantes :
- La règle 1001024 autorise le trafic IPv6-ICMP.
- La règle 1001025 autorise la communication avec le client et le serveur DHCPv4.
- La règle 1001026 autorise la communication avec le client et le serveur DHCPv6.
- La règle 1001027 permet la communication entre les VM de charge de travail dans le projet.
- La règle 1001028 abandonne toutes les autres communications qui ne correspondent à aucune des règles ci-dessus.
La stratégie DFW par défaut garantit que les VM d'un projet défini par l'utilisateur peuvent uniquement atteindre les autres VM du même projet, y compris le serveur DHCP. La communication avec les VM en dehors du projet défini par l'utilisateur est bloquée. Les machines virtuelles connectées aux segments à l'intérieur du projet ne peuvent pas effectuer un test ping de leur passerelle par défaut. Si une telle communication est requise, vous devez ajouter de nouvelles règles ou modifier des règles existantes dans la stratégie DFW par défaut.
Règles DFW personnalisées dans un projet défini par l'utilisateur
- Règles DFW dans le projet par défaut (priorité la plus élevée)
- Règles DFW dans le projet défini par l'utilisateur
- Règles de pare-feu E-O dans les VPC NSX+ dans le projet défini par l'utilisateur (priorité la plus faible)
Les règles DFW dans l'espace par défaut peuvent s'étendre à un projet défini par l'utilisateur.
Par exemple, vous pouvez choisir d'appliquer les règles au groupe par défaut (ORG-<orgid>-PROJECT-<Project_Name>) d'un projet défini par l'utilisateur. Ce groupe par défaut du projet contient uniquement les VM de charge de travail d'un projet défini par l'utilisateur.
- Groupes créés dans le projet défini par l'utilisateur.
- Groupes partagés avec le projet défini par l'utilisateur.
Les groupes partagés avec les projets définis par l'utilisateur ne peuvent être utilisés que dans les champs Source ou Destination des règles de pare-feu du projet et non dans le champ Appliqué à de ces règles.
Si des VPC NSX+ sont ajoutés à un projet, les groupes par défaut créés par le système dans les VPC NSX+ peuvent être utilisés dans les champs Source, Destination et Appliqué à des règles de pare-feu du projet. Cependant, les groupes créés par l'utilisateur dans les VPC NSX+ ne peuvent pas être utilisés dans les règles de pare-feu du projet.
