Ajouter un service de règles de pare-feu

Pour les règles de pare-feu, vous pouvez créer un groupe de services ou utiliser un groupe de services prédéfini.

Procédure

Sélectionnez un service ou prédéfini ou un groupe de services à utiliser dans la règle de pare-feu.

Option	Description
NSX 6.4.1	Pointez le curseur sur la cellule Service de la nouvelle règle, puis cliquez sur . Sélectionnez le type d'objet dans le menu déroulant Type d'objet (Object Type). Vous pouvez créer un groupe de sécurité ou un ensemble d'adresses IP. Une fois que vous avez créé l'objet, il est ajouté à la colonne source ou destination par défaut. Pour plus d'informations sur la création d'un groupe de sécurité ou d'un ensemble d'adresses IP, consultez Objets réseau et de sécurité Sélectionnez un ou plusieurs objets et cliquez sur la flèche pour les déplacer vers la colonne Objets sélectionnés (Selected Objects).
NSX 6.4.0	Pointez le curseur sur la cellule Service de la nouvelle règle, puis cliquez sur . Sélectionnez un ou plusieurs objets, puis cliquez sur . Vous pouvez créer un nouveau service ou groupe de services. Une fois que vous avez créé le nouvel objet, il est ajouté à la colonne Objets sélectionnés par défaut. Cliquez sur OK.

Option

Description

NSX 6.4.1

Pointez le curseur sur la cellule Service de la nouvelle règle, puis cliquez sur .
Sélectionnez le type d'objet dans le menu déroulant Type d'objet (Object Type). Vous pouvez créer un groupe de sécurité ou un ensemble d'adresses IP. Une fois que vous avez créé l'objet, il est ajouté à la colonne source ou destination par défaut. Pour plus d'informations sur la création d'un groupe de sécurité ou d'un ensemble d'adresses IP, consultez Objets réseau et de sécurité
Sélectionnez un ou plusieurs objets et cliquez sur la flèche pour les déplacer vers la colonne Objets sélectionnés (Selected Objects).

NSX 6.4.0

Pointez le curseur sur la cellule Service de la nouvelle règle, puis cliquez sur .
Sélectionnez un ou plusieurs objets, puis cliquez sur .
Vous pouvez créer un nouveau service ou groupe de services. Une fois que vous avez créé le nouvel objet, il est ajouté à la colonne Objets sélectionnés par défaut.
Cliquez sur OK.

Sélectionnez un port ou un protocole à utiliser dans la règle de pare-feu ou définissez-en un nouveau.

Option	Description
NSX 6.4.1	Pointez le curseur sur la cellule Service de la nouvelle règle, puis cliquez sur . Sélectionnez Protocole brut (Raw Port-Protocol) et cliquez sur Ajouter (Add). Sélectionnez le Protocole (Protocol) dans la liste et cliquez sur OK.
NSX 6.4.0	Pointez le curseur sur la cellule Service de la nouvelle règle et cliquez sur . Sélectionnez le protocole du service. Pare-feu distribué prend en charge le processus ALG (passerelle au niveau des applications) pour les protocoles suivants : TFTP, FTP, ORACLE TNS, MS-RPC et SUN-RPC. Le dispositif Edge prend en charge la passerelle ALG pour FTP, TFTP et SNMP_BASIC. Remarque : les VM migrées de la version 6.1.5 vers la version 6.2.3 ne prennent pas en charge TFTP ALG. Pour activer la prise en charge de TFTP ALG après la migration, ajoutez et supprimez la VM de la liste d'exclusion ou redémarrez la VM. Un nouveau filtre 6.2.3 est créé avec une prise en charge de TFTP ALG. Tapez le numéro de port et cliquez sur OK.

Option

Description

NSX 6.4.1

Pointez le curseur sur la cellule Service de la nouvelle règle, puis cliquez sur .
Sélectionnez Protocole brut (Raw Port-Protocol) et cliquez sur Ajouter (Add).
Sélectionnez le Protocole (Protocol) dans la liste et cliquez sur OK.

NSX 6.4.0

Pointez le curseur sur la cellule Service de la nouvelle règle et cliquez sur .
Sélectionnez le protocole du service.
Pare-feu distribué prend en charge le processus ALG (passerelle au niveau des applications) pour les protocoles suivants : TFTP, FTP, ORACLE TNS, MS-RPC et SUN-RPC.

Le dispositif Edge prend en charge la passerelle ALG pour FTP, TFTP et SNMP_BASIC.

Remarque : les VM migrées de la version 6.1.5 vers la version 6.2.3 ne prennent pas en charge TFTP ALG. Pour activer la prise en charge de TFTP ALG après la migration, ajoutez et supprimez la VM de la liste d'exclusion ou redémarrez la VM. Un nouveau filtre 6.2.3 est créé avec une prise en charge de TFTP ALG.
Tapez le numéro de port et cliquez sur OK.

Pour protéger votre réseau des attaques de type ACK ou SYN flood, vous pouvez définir le service sur TCP-all_ports ou UDP-all_ports et définir Action à bloquer sur la règle de pare-feu. Pour plus d'informations sur la modification de la règle par défaut, reportez-vous à la section Modifier la règle du pare-feu distribué par défaut.