Le pare-feu sensible au contexte est conçu spécifiquement pour les cas est-ouest et non pour la navigation de recherche Web générale. Les applications peuvent être limitées à des applications spécifiques utilisées dans le centre de données, telles que SSH, FTP, TFTP, SQL, DNS, PCoIP, etc.

Voici quelques cas d'utilisation pour un pare-feu sensible au contexte :

  • Cas d'utilisation 1 : Don, directeur informatique d'une équipe, demande à son administrateur NSX de limiter tout le trafic HTTP pour une machine virtuelle en particulier. Don souhaite limiter ce trafic sans tenir compte du port d'où il provient.
  • Cas d'utilisation 2 : Robert, responsable informatique d'une équipe, souhaite limiter le trafic HTTP à une machine virtuelle en particulier à condition que le trafic ne provienne pas du port TCP 8080.
  • Cas d'utilisation 3 : maintenant qu'il y a un pare-feu sensible au contexte, il peut également être étendu aux connexions basées sur l'identité, ainsi un utilisateur Active Directory qui est connecté à son poste de travail virtuel ne pourra accéder qu'aux demandes HTTP à partir du port 8080. Un responsable souhaite que son employé John puisse accéder à HTTP uniquement depuis le port 8080 et seulement quand John est connecté à Active Directory.

Scénario 1 : Autoriser le trafic Web sur un port spécifique

Vous souhaitez autoriser le trafic Web uniquement sur le port 80.

Pour créer une règle de pare-feu sensible au contexte, procédez comme suit :

  1. Ajouter une nouvelle section de règles de pare-feu, si nécessaire.
  2. Créer une règle de pare-feu, par exemple, HTTP vers serveur Web.
  3. Sélectionner le serveur Web requis comme Destination.
  4. Créer un service pour l'identification de l'application avec les paramètres suivants :
    Paramètre Option
    Couche Couche 7
    ID d'application HTTP
    Protocole TCP
    Port de destination 80
  5. Modifier la règle de pare-feu par défaut sur Bloquer (Block).
  6. Publier les modifications.

Avec la règle de pare-feu sensible au contexte, le seul trafic autorisé est le trafic Web sur le port 80.

Scénario 2 : Autoriser le trafic SSH sur n'importe quel port

Vous souhaitez autoriser le trafic SSH sur n'importe quel port.

Procédez comme suit pour créer la règle de pare-feu sensible au contexte :

  1. Ajouter une nouvelle section de règles de pare-feu, si nécessaire.
  2. Créer une règle de pare-feu, par exemple, SSH vers serveur SSH.
  3. Sélectionner le serveur SSH requis comme Destination.
  4. Créer un service pour l'identification de l'application avec les paramètres suivants :
    Paramètre Option
    Couche Couche 7
    ID d'application SSH
    Protocole TCP
    Port de destination Laissez la zone de texte vide
  5. Modifier la règle de pare-feu par défaut sur Bloquer (Block).
  6. Publier les modifications.

Avec la règle de pare-feu sensible au contexte, le seul trafic autorisé est le trafic SSH sur n'importe quel port.

Exemple

Pour connaître les étapes détaillées de la création d'une règle de pare-feu sensible au contexte à l'aide de vSphere Web Client, reportez-vous à la section Exemple : créer une règle de pare-feu sensible au contexte.