Vous pouvez configurer une règle de pare-feu sensible au contexte ou basée sur l'application en définissant des objets de service de couche 7. Une règle de pare-feu sensible au contexte de couche 7 peut inspecter intelligemment le contenu des paquets.

Cet exemple explique le processus de création d'une règle de pare-feu de couche 7 avec l'objet de service APP_HTTP. Cette règle de pare-feu autorise les demandes HTTP d'une machine virtuelle vers n'importe quelle destination. Après avoir créé la règle de pare-feu, vous initiez certaines sessions HTTP sur la VM source qui satisfait cette règle de pare-feu et vous activez la surveillance de flux sur une carte réseau virtuelle spécifique de la VM source. La règle de pare-feu détecte un contexte d'application HTTP et applique la règle sur la VM source.

Conditions préalables

Vous devez vous connecter à vSphere Web Client avec un compte qui dispose de l'un des rôles NSX suivants :
  • Administrateur de sécurité
  • Administrateur NSX
  • Ingénieur de sécurité
  • Administrateur d'entreprise
Note : Vérifiez que NSX Data Center for vSphere 6.4 ou version ultérieure est installé.

Procédure

  1. Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall).
  2. (Facultatif) Ajoutez une section de règles de pare-feu pour grouper des règles de pare-feu sensible au contexte.
  3. Cliquez sur Ajouter une règle (Add Rule).
  4. Créez la règle de pare-feu sensible au contexte.
    1. Entrez un nom de règle pour identifier cette règle. Par exemple, entrez L7_Rule_HTTP_Service.
    2. Dans la colonne Source, cliquez sur l'icône Modifier (Edit) (icône Modifier dans HTML5.).
      La page Spécifier la source s'ouvre.
    3. Dans le menu déroulant Type d'objet (Object Type), sélectionnez Machine virtuelle (Virtual Machine).
    4. Dans la liste Objets disponibles (Available Objects), sélectionnez la machine virtuelle. Déplacez cet objet dans la liste Objets sélectionnés (Selected Objects), puis cliquez sur Enregistrer (Save).
    5. Dans la colonne Destination, conservez la valeur par défaut N'importe laquelle.
    6. Dans la colonne Service, cliquez sur l'icône Modifier (Edit) (icône Modifier dans HTML5.).
      La page Spécifier le service s'ouvre.
    7. Dans le menu déroulant Type d'objet (Object Type), sélectionnez Services.
    8. Dans la liste Objets disponibles (Available Objects), sélectionnez le service App_HTTP. Déplacez ce service dans la liste Objets sélectionnés (Selected Objects), puis cliquez sur Enregistrer (Save).
    9. Vérifiez que la règle de pare-feu est activée et que l'action de règle est définie sur Autoriser (Allow).
    10. Cliquez sur Publier (Publish) pour publier la configuration de règle de pare-feu.
    La figure suivante illustre la règle de pare-feu que vous avez créée.
    Figure 1. Définition de règle de pare-feu sensible au contexte
    Figure montrant la définition de la règle de pare-feu sensible au contexte.
  5. Connectez-vous à la console de votre VM source et initiez la commande Linux wget pour télécharger des fichiers à partir du Web à l'aide de HTTP.
  6. Sur la carte réseau virtuelle de la VM source, activez la surveillance de flux en direct pour surveiller les flux de trafic sur la VM source.
    1. Accédez à Outils (Tools) > Flow Monitoring.
    2. Sélectionnez une carte réseau virtuelle particulière sur la VM source. Par exemple, sélectionnez l2vpn-client-vm-Network adapter 1.
    3. Cliquez sur Démarrer (Start) pour afficher les données de surveillance de flux.
  7. Dans la figure suivante, les données de surveillance de flux indiquent que la règle de pare-feu a détecté le contexte d'application (HTTP). La règle 1005 s'applique sur la VM source (10.161.117.238) et le trafic est dirigé vers les adresses IP de destination 151.101.129.67 et 151.101.53.67.
    Figure 2. Flux de trafic sur la VM source
    Figure montrant les flux de trafic sur la carte réseau virtuelle de la VM source lorsque l'action de règle est définie sur Autoriser.
  8. Revenez à la page Pare-feu et passez l'action de règle sur Bloquer (Block).
  9. Accédez à la console de la VM source et exécutez de nouveau la commande wget.
    Vous voyez que les demandes HTTP sont maintenant bloquées sur la VM source. Vous devez voir une erreur dans la console de VM qui ressemble à ce qui suit : 
    HTTP request sent, awaiting response ... Read error (Connection reset by peer) in headers
Retrying.
    La figure suivante montre un flux avec le contexte d'application (HTTP) détecté et bloqué sur la carte réseau virtuelle de la VM source (10.161.117.238).
    Figure 3. Flux de trafic sur la VM source
    Flux de trafic sur la carte réseau virtuelle de la VM source lorsque l'action de règle sensible au contexte est définie sur Bloquer.

Que faire ensuite

Pour connaître d'autres scénarios où vous pouvez utiliser des règles de pare-feu sensible au contexte, reportez-vous à la section Scénarios de pare-feu sensible au contexte.