Vous pouvez définir le paramètre Appliqué à pour toutes les règles de pare-feu créées via Service Composer sur le pare-feu distribué ou sur Groupes de sécurité de la stratégie. Par défaut, le paramètre Appliqué à est défini sur le pare-feu distribué.

Lorsque le paramètre Appliqué à des règles de pare-feu de Service Composer est défini sur le pare-feu distribué, les règles sont appliquées à tous les clusters sur lesquels le pare-feu distribué est installé. Si les règles de pare-feu sont définies pour s'appliquer à des groupes de sécurité de la stratégie, vous disposez d'un contrôle plus précis sur les règles de pare-feu, mais vous pouvez avoir besoin de plusieurs stratégies de sécurité ou de règles de pare-feu pour obtenir le résultat souhaité.

Procédure

  1. Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Service Composer.
  2. Cliquez sur l'onglet Stratégies de sécurité (Security Policies).
  3. Pour modifier les paramètres de pare-feu généraux :
    • Dans NSX 6.4.1 et versions ultérieures, en regard de Paramètres de pare-feu généraux, cliquez sur l'icône de modification ().
    • Dans NSX 6.4.0, en regard de Paramètres généraux : Règles de pare-feu Appliqué à, cliquez sur Modifier (Edit).
  4. Sélectionnez un paramètre par défaut pour Appliqué à et cliquez sur OK. Cette valeur détermine les vNIC auxquelles la règle de pare-feu est appliquée.
    Option Description
    Pare-feu distribué Des règles de pare-feu sont appliquées à tous les clusters sur lesquels le pare-feu distribué est installé.
    Groupes de sécurité de la stratégie Des règles de pare-feu sont appliquées à des groupes de sécurité sur lesquels la stratégie de sécurité s'applique.
    Le paramètre Appliqué à par défaut peut également être affiché et modifié via l'API. Reportez-vous à Guide de NSX API.

    Notez que lorsque vous utilisez les règles de pare-feu RDSH, le paramètre Appliqué à est Pare-feu distribué (Distributed Firewall). Les Groupes de sécurité de la stratégie (Policy's Security Groups) ne sont pas pris en charge pour le paramètre Appliqué à pour les règles RDSH.

Exemple : Comportement Appliqué à

Dans cet exemple de scénario, l'action par défaut de votre règle de pare-feu avec le service any est définie sur Bloquer. Vous disposez de deux groupes de sécurité : web-servers et app-servers, qui contiennent des VM. Vous créez une stratégie de sécurité, allow-ssh-from-web, qui contient la règle de pare-feu suivante et l'appliquez au groupe de sécurité app-servers.
  • Nom : allow-ssh-from-web
  • Source : web-servers
  • Destination : Groupe de sécurité de la stratégie
  • Service : ssh
  • Action : allow

Si la règle de pare-feu s'applique au pare-feu distribué, vous pourrez activer l'accès SSH depuis une VM dans le groupe de sécurité web-servers vers une VM dans le groupe de sécurité app-servers.

Si la règle de pare-feu s'applique à un groupe de sécurité de la stratégie, vous ne pourrez pas activer l'accès SSH, car le trafic sera bloqué et ne pourra pas atteindre les serveurs d'application. Vous devrez créer un groupe de sécurité supplémentaire pour autoriser l'accès SSH vers les serveurs d'application et appliquer cette stratégie au groupe de sécurité web-servers.

  • Nom : allow-ssh-to-app
  • Source : Groupe de sécurité de la stratégie
  • Destination : app-servers
  • Service : ssh
  • Action : allow