Dans un environnement cross-vCenter NSX, les règles universelles correspondent aux règles du pare-feu distribué définies sur la principale instance de NSX Manager dans la section des règles universelles. Ces règles sont répliquées sur toutes les instances secondaires de NSX Manager de votre environnement, ce qui vous permet de conserver de la cohérence entre les règles de pare-feu dans les limites de vCenter. Les règles de pare-feu Edge ne sont pas prises en charge pour vMotion entre plusieurs serveurs vCenter Server.

L'instance principale de NSX Manager peut contenir plusieurs sections universelles pour les règles de niveau 2 universelles et plusieurs sections universelles pour les règles de niveau 3 universelles. Les sections universelles couvrent toutes les sections locales et de Service Composer. Des sections et des règles universelles peuvent être affichées, mais pas modifiées sur les instances secondaires de NSX Manager. Le placement de la section universelle par rapport à la section locale n'interfère pas avec la priorité de la règle.

Tableau 1. Objets pris en charge pour les règles de pare-feu universelles
Source et destination Appliqué à Service
  • ensemble d'adresses MAC universelles
  • ensemble d'adresses IP universelles
  • groupe de sécurité universel qui peut contenir une balise de sécurité universelle, un ensemble d'adresses IP, un ensemble d'adresses MAC ou un groupe de sécurité universel
  • groupe de sécurité universel qui peut contenir une balise de sécurité universelle, un ensemble d'adresses IP, un ensemble d'adresses MAC ou un groupe de sécurité universel
  • commutateur logique universel
  • Pare-feu distribué - applique cette règle à tous les clusters sur lesquels le pare-feu distribué est installé
  • services universels et groupes de services précréés
  • services universels et groupes de services créés par l'utilisateur
Notez que d'autres objets vCenter ne sont pas pris en charge pour les règles universelles.

Conditions préalables

Vous devez créer une section des règles universelles avant de pouvoir créer des règles universelles. Reportez-vous à la section Ajouter une section de règles de pare-feu.

Procédure

  1. Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Pare-feu (Firewall).
  2. Dans NSX Manager, vérifiez que l'instance principale de NSX Manager est sélectionnée.
    Les règles universelles ne peuvent être ajoutées qu'à l'instance principale de NSX Manager.
  3. Vérifiez que vous êtes bien dans l'onglet Général (General) pour ajouter une règle universelle de niveau 3. Cliquez sur l'onglet Ethernet pour ajouter une règle universelle de niveau 2.
  4. Dans la section universelle, cliquez sur l'icône Ajouter une règle (Add rule) (icône ajouter), puis cliquez sur Publier les modifications (Publish Changes).
    Une toute nouvelle règle d'autorisation est ajoutée en haut de la section universelle.
  5. Placez le curseur sur la cellule Nom (Name) de la nouvelle règle et cliquez sur . Tapez le nom de la règle.
  6. Pointez sur la cellule Source de la nouvelle règle. Des icônes supplémentaires sont affichées comme décrit dans le tableau ci-dessous.
    Option Description
    Cliquez sur IP Pour spécifier la source sous la forme d'une adresse IP.
    1. Sélectionnez le format d'adresse IP.

      Le pare-feu prend en charge les formats IPv4 et IPv6.

    2. Tapez l'adresse IP.
    Cliquez sur Pour spécifier un ensemble d'adresses IP ou d'adresses MAC universel ou un groupe de sécurité universel en tant que source.
    1. Dans Type d'objet (Object Type), sélectionnez un conteneur d'où part la communication.

      Les objets pour le conteneur sélectionné s'affichent.

    2. Sélectionnez un ou plusieurs objets et cliquez sur ajouter.

      Vous pouvez créer un nouveau groupe de sécurité ou IPSet. Une fois que vous avez créé le nouvel objet, il est ajouté à la colonne source par défaut. Pour plus d'informations sur la création d'un nouveau groupe de sécurité ou IPSet, consultez Objets réseau et de sécurité.

    3. Pour exclure une source de la règle, cliquez sur Options avancées (Advanced options).
    4. Sélectionnez Inverser la source (Negate Source) pour exclure cette source de la règle.

      Si Inverser la source (Negate Source) est sélectionné, la règle est appliquée au trafic provenant de toutes les sources à l'exception de la source que vous avez spécifiée à l'étape précédente.

      Si Inverser la source (Negate Source) n'est pas sélectionné, la règle s'applique au trafic provenant de la source spécifiée à l'étape précédente.

    5. Cliquez sur OK.
  7. Pointez sur la cellule Destination de la nouvelle règle. Des icônes supplémentaires sont affichées comme décrit dans le tableau ci-dessous.
    Option Description
    Cliquez sur IP Pour spécifier une destination sous la forme d'une adresse IP.
    1. Sélectionnez le format d'adresse IP.

      Le pare-feu prend en charge les formats IPv4 et IPv6.

    2. Tapez l'adresse IP.
    Cliquez sur Pour spécifier un ensemble d'adresses IP ou d'adresses MAC universel ou un groupe de sécurité universel en tant que destination.
    1. Dans Type d'objet (Object Type), sélectionnez un conteneur ciblé par la communication.

      Les objets pour le conteneur sélectionné s'affichent.

    2. Sélectionnez un ou plusieurs objets et cliquez sur ajouter.

      Vous pouvez créer un nouveau groupe de sécurité ou IPSet. Une fois que vous avez créé le nouvel objet, il est ajouté par défaut à la colonne Destination. Pour plus d'informations sur la création d'un nouveau groupe de sécurité ou IPSet, consultez Objets réseau et de sécurité.

    3. Pour exclure une destination de la règle, cliquez sur Options avancées (Advanced options).
    4. Sélectionnez Inverser la destination (Negate Destination) pour exclure cette destination de la règle.

      Si Inverser la destination (Negate Destination) est sélectionné, la règle est appliquée au trafic destiné à toutes les destinations à l'exception de celle que vous avez spécifiée à l'étape précédente.

      Si Inverser la destination (Negate Destination) n'est pas sélectionné, la règle s'applique au trafic sortant vers la destination que vous avez spécifiée à l'étape précédente.

    5. Cliquez sur OK.
  8. Pointez vers la cellule Service de la nouvelle règle. Des icônes supplémentaires sont affichées comme décrit dans le tableau ci-dessous.
    Option Description
    Cliquez sur port Pour spécifier le service en tant que combinaison port-protocole.
    1. Sélectionnez le protocole du service.

      Le pare-feu distribué prend en charge le processus ALG (passerelle au niveau des applications) pour les protocoles suivants : FTP, CIFS, ORACLE TNS, MS-RPC et SUN-RPC.

    2. Tapez le numéro de port et cliquez sur OK.
    Cliquez sur Pour sélectionner un service ou un groupe de services universel prédéfini, ou en définir un nouveau.
    1. Sélectionnez un ou plusieurs objets et cliquez sur ajouter.

      Vous pouvez créer un nouveau service ou groupe de services. Une fois que vous avez créé le nouvel objet, il est ajouté à la colonne Objets sélectionnés par défaut.

    2. Cliquez sur OK.
    Pour protéger votre réseau des attaques de type ACK ou SYN flood, définissez le service sur TCP-all_ports ou UDP-all_ports et définissez la règle par défaut sur Action à bloquer. Pour plus d'informations sur la modification de la règle par défaut, reportez-vous à la section Modifier la règle du pare-feu distribué par défaut.
  9. Placez le curseur sur la cellule Action de la nouvelle règle et cliquez sur . Effectuez les sélections correspondant à celles décrites dans le tableau ci-dessous et cliquez sur OK.
    Action A pour résultat
    Autoriser Autorise le trafic de ou vers une ou des sources, destinations et services spécifiés.
    Bloquer Bloque le trafic de ou vers une ou des sources, destinations et services spécifiés.
    Rejeter Envoie des messages de rejet concernant les paquets n'ayant pas été acceptés.

    Les paquets RST sont envoyés aux connexions TCP.

    Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP.

    Journal Enregistre toutes les sessions qui correspondent à cette règle. L'activation de la journalisation peut affecter les performances.
    Ne pas mettre à jour le journal N'enregistre pas les sessions.
  10. Dans la cellule Appliqué à (Applied To), acceptez que le paramètre par défaut, le pare-feu distribué, applique la règle à tous les clusters sur lesquels le pare-feu distribué est activé ou cliquez sur l'icône de modification pour sélectionner des commutateurs logiques universels auxquels la règle doit être appliquée.
  11. Cliquez sur Publier les modifications (Publish Changes).

Résultats

La règle universelle est répliquée sur toutes les instances secondaires de NSX Manager. L'ID de la règle reste identique dans toutes les instances de NSX. pour afficher l'ID de la règle, cliquez sur sélectionner des colonnes, puis sur ID de la règle.

Les règles universelles peuvent être modifiées sur l'instance principale de NSX Manager et sont en lecture seule sur les instances secondaires de NSX Manager.

Règles de pare-feu avec la Couche de section universelle 3 et la Couche de section par défaut 3 :

Règles de pare-feu

Que faire ensuite

  • Désactivez une règle en cliquant sur désactiver dans la colonne N° ou activez une règle en cliquant sur activer la règle.
  • Affichez des colonnes supplémentaires dans le tableau des règles en cliquant sur sélectionner les colonnes et en sélectionnant les colonnes appropriées.
    Nom de la colonne Informations affichées
    ID de la règle ID de système unique généré pour chaque règle
    Journal Le trafic pour cette règle est journalisé ou non
    Stat. Pour afficher le trafic lié à cette règle (paquets de trafic et taille), cliquez sur Stat.
    Commentaires Commentaires relatifs à la règle
  • Recherchez des règles en tapant du texte dans le champ de recherche.
  • Déplacez une règle vers le haut ou vers le bas du tableau des pare-feu.