Vous pouvez ajouter des règles de pare-feu Edge définies par l'utilisateur sur NSX Edge Service Gateways pour accepter, rejeter ou refuser des types de trafic spécifiques. Cependant, il n'est pas possible d'ajouter des règles de pare-feu définies par l'utilisateur sur un routeur logique distribué.

L'interface de pare-feu Edge propose les méthodes suivantes pour ajouter une règle de pare-feu Edge :
  • Ajouter une règle au-dessus ou en dessous d'une règle existante dans la table de pare-feu.
  • Ajouter une règle en copiant une règle existante.
  • Ajouter une règle en cliquant sur l'icône Ajouter.
Mémoriser : Si vous avez créé des règles de pare-feu distribué et les avez appliquées au dispositif Edge, ces règles sont affichées en mode lecture seule sur l'interface utilisateur du pare-feu Edge. Cependant, les règles de pare-feu Edge que vous créez via l'interface utilisateur du pare-feu Edge ne s'affichent pas sur l'interface de pare-feu utilisée pour créer les règles de pare-feu distribué ( Mise en réseau et sécurité > Sécurité > Pare-feu).

Procédure

  1. Connectez-vous à vSphere Web Client.
  2. Cliquez sur Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).
  3. Double-cliquez sur une instance de NSX Edge.
  4. Cliquez sur Gérer > Pare-feu.
  5. Utilisez l'une des trois méthodes suivantes pour lancer le processus d'ajout d'une règle de pare-feu Edge.
    Méthode n°1 : Ajouter une règle au-dessus ou en dessous d'une règle existante dans la table de pare-feu.

    NSX définit les colonnes source, de destination et de service de la règle récemment ajoutée comme « quelconque ». Si la règle par défaut générée par le système est la seule règle de la table de pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut. La nouvelle règle est activée par défaut.

    Version de NSX Étapes
    6.4.6 et versions ultérieures
    1. Sélectionnez une règle.
    2. Cliquez sur le menu Actions et sélectionnez Ajouter au-dessus (Add Above) ou Ajouter en dessous (Add Below).
    6.4.5 et versions antérieures
    1. Sélectionnez une règle.
    2. Dans la colonne n° , cliquez sur Ajouter, puis sélectionnez Ajouter au-dessus ou Ajouter en dessous.
    Méthode n°2 : Ajouter une règle en copiant une règle existante.

    Dans NSX 6.4.5 et versions antérieures, vous pouvez créer une règle en copiant une seule règle à la fois. À partir de NSX 6.4.6, vous pouvez sélectionner plusieurs règles à copier simultanément. Les règles copiées sont activées par défaut et vous pouvez modifier les propriétés de la règle, si nécessaire.

    Note : Lorsque vous copiez et collez des règles « internes » générées par le système et une règle « par défaut », le type de règle « utilisateur » est automatiquement attribué aux règles récemment créées.
    Version de NSX Étapes
    6.4.6 et versions ultérieures
    1. Cochez la case en regard des règles que vous souhaitez copier.
    2. Cliquez sur Plus > Copier les règles sélectionnées.
    3. Sélectionnez la règle dans laquelle vous souhaitez coller les règles copiées.
    4. Cliquez sur le menu Actions et sélectionnez Coller une ou plusieurs règles au-dessus ou Coller une ou plusieurs règles en dessous.
    6.4.5 et versions antérieures
    1. Sélectionnez une règle.
    2. Cliquez sur l'icône Copier (Copier) ou Ajouter, puis sélectionnez Copier.
    3. Sélectionnez une règle dans laquelle vous souhaitez coller la règle copiée.
    4. Dans la colonne n° , cliquez sur Ajouter, puis sélectionnez Coller au-dessus ou Coller en dessous.
    Méthode 3 : pour ajouter une règle, cliquez sur l'icône Ajouter ( Ajouter ou Ajouter).

    Une nouvelle ligne est ajoutée dans la table de pare-feu. NSX définit les colonnes source, de destination et de service de la règle récemment ajoutée comme « quelconque ». Si la règle par défaut générée par le système est la seule règle de la table de pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut. La nouvelle règle est activée par défaut.

  6. (Facultatif) Spécifiez un nom de règle.
    • Dans NSX 6.4.6 et versions ultérieures, cliquez dans la colonne Nom de la nouvelle règle et entrez un nom de règle.
    • Dans NSX 6.4.5 et versions antérieures, pointez le curseur sur la colonne Nom (Name) de la nouvelle règle, puis cliquez sur Modifier. Entrez un nom de règle, puis cliquez sur OK.
  7. (Facultatif) Spécifiez la source de la règle de pare-feu.
    Vous pouvez ajouter des adresses IP, des objets vCenter et des objets de regroupement en tant que source. Si aucune source n'est ajoutée, la source est définie comme « quelconque ». Vous pouvez ajouter plusieurs interfaces et groupes d'adresses IP NSX Edge en tant que sources des règles de pare-feu.

    Vous pouvez, si vous le souhaitez, créer un ensemble d'adresses IP ou un groupe de sécurité. Une fois l'ensemble d'adresses IP ou le groupe de sécurité créé, il est automatiquement ajouté dans la colonne Source de la règle.

    1. Sélectionnez un ou plusieurs objets à utiliser comme sources dans la règle de pare-feu.
      Version de NSX Étapes
      6.4.6 et versions ultérieures
      Pour sélectionner des objets :
      1. Pointez le curseur sur la colonne Source de la règle, puis cliquez sur Modifier.
      2. Dans l'onglet Objets, sélectionnez un type d'objet dans le menu déroulant Type d'objet.
      3. Sélectionnez les objets dans la liste Objets disponibles et déplacez-les vers la liste Objets sélectionnés.
      6.4.5 et versions antérieures
      Pour sélectionner des objets :
      1. Pointez le curseur sur la colonne Source de la règle, puis cliquez sur Modifier.
      2. Sélectionnez un type d'objet dans le menu déroulant Type d'objet.
      3. Sélectionnez les objets dans la liste Objets disponibles et déplacez-les vers la liste Objets sélectionnés.
      Par exemple, dans les deux cas suivants, vous pouvez utiliser le type d'objet « Groupe de vNIC » en tant que source :
      Sélectionner l'ensemble du trafic généré par NSX Edge
      Dans ce cas, sélectionnez Groupe de vNIC dans le menu déroulant Type d'objet, et dans la liste Objets disponibles, sélectionnez vse.
      Sélectionner l'ensemble du trafic provenant de toute interface interne ou liaison montante (externe) du dispositif NSX Edge sélectionné
      Dans ce cas, sélectionnez Groupe de vNIC dans le menu déroulant Type d'objet, puis dans la liste Objets disponibles, sélectionnez interne ou externe.

      La règle est automatiquement mise à jour lorsque vous configurez de nouvelles interfaces sur le dispositif Edge.

      Mémoriser : Les règles de pare-feu définies sur les interfaces internes ne fonctionnent pas sur un routeur logique distribué.
    2. Entrez l'adresse IP à utiliser comme source pour la règle de pare-feu.
      Vous pouvez entrer plusieurs adresses IP en utilisant une liste séparée par des virgules ou une plage d'adresses IP. Les adresses IPv4 et IPv6 sont prises en charge.
      • Dans NSX 6.4.6 et versions ultérieures, cliquez sur Modifier. Cliquez sur l'onglet Adresses IP, puis cliquez sur Ajouter pour entrer les adresses IP.
      • Dans NSX 6.4.5 et versions antérieures, cliquez sur Adresses IP et entrez les adresses IP.
    3. (Facultatif) Inversez les sources définies dans votre règle de pare-feu.
      • Si l'option Inverser la source est activée ou sélectionnée, la règle est appliquée au trafic provenant de toutes les sources, à l'exception des sources définies dans cette règle.
      • Si l'option Inverser la source est désactivée ou si elle n'est pas sélectionnée, la règle est appliquée au trafic provenant des sources de cette règle.
  8. (Facultatif) Spécifiez la destination de la règle de pare-feu.
    Vous pouvez ajouter des adresses IP, des objets vCenter et des objets de regroupement en tant que destination. Si aucune destination n'est ajoutée, la destination est définie comme « quelconque ». Vous pouvez ajouter plusieurs interfaces et groupes d'adresses IP NSX Edge en tant que destinations des règles de pare-feu.

    La procédure permettant d'ajouter des objets et des adresses IP dans la destination de la règle reste la même que celle décrite dans les sous-étapes d'ajout de la source de la règle.

    Info-bulle : À partir de NSX 6.4.6, vous pouvez faire glisser des objets et des adresses IP de la colonne Source vers la colonne Destination et inversement. En outre, vous pouvez faire glisser des objets et des adresses IP d'une règle vers une autre.
  9. (Facultatif) Spécifiez le service à utiliser dans la règle de pare-feu.
    1. Ajoutez un ou plusieurs services ou groupes de services dans la règle de pare-feu.
      Vous pouvez ajouter un service prédéfini ou un groupe de services dans la règle, ou bien créer un service ou un groupe de services à utiliser dans la règle. NSX Edge prend en charge les services définis uniquement avec des protocoles L3.
      Version de NSX Étapes
      6.4.6 et versions ultérieures
      1. Pointez le curseur sur la colonne Service de la nouvelle règle, puis cliquez sur Modifier.
      2. Dans l'onglet Service/Groupes de services, sélectionnez un service ou un groupe de services dans le menu déroulant Type d'objet.
      3. Sélectionnez les objets dans la liste Objets disponibles et déplacez-les vers la liste Objets sélectionnés.
      6.4.5 et versions antérieures
      1. Pointez le curseur sur la colonne Service de la nouvelle règle, puis cliquez sur Modifier.
      2. Dans le menu déroulant Type d'objet, sélectionnez un service ou un groupe de services.
      3. Sélectionnez les objets dans la liste Objets disponibles et déplacez-les vers la liste Objets sélectionnés.
      Info-bulle : Dans NSX 6.4.6 et versions ultérieures, vous pouvez faire glisser des objets de service et de groupe de services d'une règle définie par l'utilisateur vers une autre.
    2. Ajoutez un ou plusieurs services dans la règle de pare-feu en tant que combinaison port-protocole.
      Restriction : Le protocole SCTP (Stream Control Transport Protocol) n'est pas pris en charge sur un pare-feu Edge.
      Version de NSX Étapes
      6.4.6 et versions ultérieures
      1. Pointez le curseur sur la colonne Service de la nouvelle règle, puis cliquez sur Modifier.
      2. Cliquez sur l'onglet Port-Protocole brut, puis sur Ajouter.
      3. Sélectionnez un protocole.
      4. Dans la colonne Port source, entrez les numéros de port.
      6.4.5 et versions antérieures
      1. Pointez le curseur sur la colonne Service de la nouvelle règle, puis cliquez sur Modifier.
      2. Sélectionnez un protocole.
      3. Développez Options avancées et entrez les numéros de port source.
  10. Spécifiez l'action de règle.
    • Dans NSX 6.4.6 et versions ultérieures, sélectionnez une action dans le menu déroulant.
    • Dans NSX 6.4.5 et versions antérieures, pointez le curseur sur la colonne Action de la règle, puis cliquez sur Modifier. Sélectionnez une action et cliquez sur OK.
    Le tableau suivant décrit les actions de règle.
    Action Description
    Accepter ou Autoriser Autorise le trafic provenant ou à destination des sources, des destinations et des services spécifiés. Par défaut, l'action est définie sur Accepter le trafic.
    Refuser ou Bloquer Bloque le trafic provenant ou à destination des sources, des destinations et des services spécifiés.
    Rejeter Envoie des messages de rejet concernant les paquets n'ayant pas été acceptés.
    • Les paquets RST sont envoyés aux connexions TCP.
    • Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP.
  11. (Facultatif) Indiquez si les sessions qui correspondent à cette nouvelle règle de pare-feu doivent être journalisées.
    Par défaut, la journalisation est désactivée pour la règle. L'activation de la journalisation peut nuire aux performances.
    • Dans NSX 6.4.6 et versions ultérieures, cliquez sur le bouton bascule dans la colonne Journaliser pour activer la journalisation.
    • Dans NSX 6.4.5 et versions antérieures, pointez le curseur sur la colonne Action de la nouvelle règle, puis cliquez sur Modifier. Sélectionnez Journaliser ou Ne pas mettre à jour le journal.
  12. (Facultatif) Spécifiez les paramètres avancés de la règle de pare-feu.
    • Dans NSX 6.4.6 et versions ultérieures, cliquez sur l'icône Paramètres avancés (Paramètres avancés).
    • Dans NSX 6.4.5 et versions antérieures, pointez le curseur sur la colonne Action de la nouvelle règle, puis cliquez sur Modifier. Développez les options Avancées.
    Le tableau suivant décrit les options avancées.
    Option Description
    Direction Indiquez si la règle doit être appliquée au trafic entrant, au trafic sortant ou aux deux. La valeur par défaut est « Entrant/Sortant », ce qui signifie que la règle est appliquée de manière symétrique à la source et la destination.

    VMware déconseille de spécifier la direction des règles de pare-feu, car « entrant » ou « sortant » peut engendrer une asymétrie des règles.

    Par exemple, supposez que vous ayez créé une règle de pare-feu pour « autoriser » le trafic de la source A vers la destination B et que la direction de la règle est définie sur « sortant ».
    • Lorsque A envoie un paquet sur B, un état est créé en fonction de cette règle sur A, car la direction du trafic est « sortant » sur A.
    • Lorsque le paquet est reçu sur B, la direction du trafic réel est « entrant ». Étant donné que la direction de la règle est définie pour accepter uniquement le « trafic sortant », la règle n'atteint pas ce paquet sur B.
    Cet exemple illustre une asymétrie de la règle provoquée par la définition de la direction « sortant » dans cette dernière.
    Correspondance avec Utilisez cette option pour spécifier quand la règle de pare-feu doit être appliquée.
    • Sélectionnez Initial lorsque vous souhaitez que la règle soit appliquée sur l'adresse IP et les services initiaux avant l'exécution de la traduction des adresses réseau.
    • Sélectionnez Traduit lorsque vous souhaitez que la règle soit appliquée sur l'adresse IP et les services traduits après l'exécution de la traduction des adresses réseau.
  13. Cliquez sur Publier les modifications (Publish Changes) pour envoyer la nouvelle règle au dispositif NSX Edge.

Exemple : Exemples de règles de pare-feu

Figure 1. Règle de pare-feu pour le trafic allant d'une interface NSX Edge à un serveur HTTP
La source de la règle correspond à l'interface vNIC d'un dispositif NSX Edge. La destination de la règle correspond à un groupe de serveurs HTTP. Le service correspond au port TCP 8080.
Figure 2. Règle de pare-feu pour le trafic allant de toutes les interfaces internes (sous-réseaux sur les groupes de ports connectés aux interfaces internes) d'un NSX Edge à un serveur HTTP
La source de la règle correspond à toutes les interfaces internes d'un dispositif NSX Edge. La destination de la règle correspond à un groupe de serveurs HTTP. Le service correspond au port TCP 8080.
Figure 3. Règle de pare-feu pour le trafic pour autoriser SSH dans une machine sur un réseau interne
La source de la règle correspond à Toutes. La destination de la règle correspond à une VM sur un réseau interne. Le service correspond au port TCP 22.

Que faire ensuite

Lors de l'utilisation des règles de pare-feu Edge, vous pouvez effectuer plusieurs tâches supplémentaires dans la table de pare-feu. Par exemple :
  • Filtrer la liste de règles dans la table en masquant les règles par défaut et internes générées par le système ou en masquant les règles de pare-feu distribué prédéfinies qui ont été appliquées sur le dispositif Edge.
  • Rechercher des règles qui correspondent à une chaîne spécifique dans la zone de texte Rechercher. Par exemple, pour rechercher toutes les règles contenant la chaîne « 133 », tapez 133 dans la zone de texte Rechercher.
  • Afficher les statistiques des règles publiées.
    • Dans NSX 6.4.6 et versions ultérieures, cliquez sur l'icône Statistiques (Statistiques des règles).
    • Dans NSX 6.4.5 et versions antérieures, assurez-vous que la colonne Statistiques s'affiche dans la table de pare-feu. Si la colonne Statistiques ne s'affiche pas, cliquez sur Sélectionner des colonnes et sélectionnez la colonne Statistiques. Pour afficher les statistiques des règles, cliquez sur Statistiques des règles.
  • Pour modifier l'ordre des règles définies par l'utilisateur, cliquez sur les icônes Monter (Déplacer la règle vers le haut ou Déplacer la règle vers le haut) ou Descendre (Déplacer la règle vers le bas ou Déplacer la règle vers le bas). Dans NSX 6.4.6 et versions ultérieures, vous pouvez faire glisser des règles définies par l'utilisateur pour modifier l'ordre. Pointez le curseur sur la règle définie par l'utilisateur que vous souhaitez faire glisser. Une icône de poignée (Faire glisser la règle) s'affiche à gauche de la règle. Cliquez sur cette dernière et faites-la glisser pour déplacer la règle vers un emplacement valide de la table de pare-feu.
    Important : Vous ne pouvez pas modifier l'ordre des règles générées par le système ou de la règle par défaut.
  • Désactivez une règle.
    • Dans NSX 6.4.6 et versions ultérieures, cliquez sur le bouton bascule à gauche du nom de la règle.
    • Dans NSX 6.4.5 et versions antérieures, cliquez sur Désactiver dans la colonne n° (No.).
  • Annulez et rétablissez les modifications de la règle jusqu'à ce que la règle soit publiée. Cette fonctionnalité est disponible dans NSX 6.4.6 et versions ultérieures. Une fois la règle publiée, l'historique des modifications de la règle est perdu, et il est impossible d'annuler ou de rétablir les modifications.