Le pare-feu sensible au contexte est conçu spécifiquement pour les cas est-ouest et non pour la navigation de recherche Web générale. Les applications peuvent être limitées à des applications spécifiques utilisées dans le centre de données, telles que SSH, FTP, TFTP, SQL, DNS, PCoIP, etc.
Voici quelques cas d'utilisation pour un pare-feu sensible au contexte :
- Cas d'utilisation 1 : Don, directeur informatique d'une équipe, demande à son administrateur NSX de limiter tout le trafic HTTP pour une machine virtuelle en particulier. Don souhaite limiter ce trafic sans tenir compte du port d'où il provient.
- Cas d'utilisation 2 : Robert, responsable informatique d'une équipe, souhaite limiter le trafic HTTP à une machine virtuelle en particulier à condition que le trafic ne provienne pas du port TCP 8080.
- Cas d'utilisation 3 : maintenant qu'il y a un pare-feu sensible au contexte, il peut également être étendu aux connexions basées sur l'identité, ainsi un utilisateur Active Directory qui est connecté à son poste de travail virtuel ne pourra accéder qu'aux demandes HTTP à partir du port 8080. Un responsable souhaite que son employé John puisse accéder à HTTP uniquement depuis le port 8080 et seulement quand John est connecté à Active Directory.
Scénario 1 : Autoriser le trafic Web sur un port spécifique
Vous souhaitez autoriser le trafic Web uniquement sur le port 80.
Pour créer une règle de pare-feu sensible au contexte, procédez comme suit :
- Ajouter une nouvelle section de règles de pare-feu, si nécessaire.
- Créer une règle de pare-feu, par exemple, HTTP vers serveur Web.
- Sélectionner le serveur Web requis comme Destination.
- Créer un service pour l'identification de l'application avec les paramètres suivants :
Paramètre Option Couche Couche 7 ID d'application HTTP Protocole TCP Port de destination 80 - Modifier la règle de pare-feu par défaut sur Bloquer (Block).
- Publier les modifications.
Avec la règle de pare-feu sensible au contexte, le seul trafic autorisé est le trafic Web sur le port 80.
Scénario 2 : Autoriser le trafic SSH sur n'importe quel port
Vous souhaitez autoriser le trafic SSH sur n'importe quel port.
Procédez comme suit pour créer la règle de pare-feu sensible au contexte :
- Ajouter une nouvelle section de règles de pare-feu, si nécessaire.
- Créer une règle de pare-feu, par exemple, SSH vers serveur SSH.
- Sélectionner le serveur SSH requis comme Destination.
- Créer un service pour l'identification de l'application avec les paramètres suivants :
Paramètre Option Couche Couche 7 ID d'application SSH Protocole TCP Port de destination Laissez la zone de texte vide - Modifier la règle de pare-feu par défaut sur Bloquer (Block).
- Publier les modifications.
Avec la règle de pare-feu sensible au contexte, le seul trafic autorisé est le trafic SSH sur n'importe quel port.
Exemple
Pour connaître les étapes détaillées de la création d'une règle de pare-feu sensible au contexte à l'aide de vSphere Web Client, reportez-vous à la section Exemple : créer une règle de pare-feu sensible au contexte.