Un pare-feu est un système de sécurité réseau qui surveille et contrôle le trafic réseau entrant et sortant en fonction de règles de pare-feu prédéterminées.

Des règles de pare-feu sont ajoutées à l'étendue de NSX Manager. Le champ Appliqué à vous permet d'affiner le niveau auquel vous souhaitez appliquer la règle. Vous pouvez ajouter plusieurs objets aux niveaux source et destination de chaque règle, de sorte à réduire le nombre total de règles de pare-feu à ajouter.
Note : Par défaut, une règle correspond à la valeur par défaut d'éléments source, de destination et de règle de service, qui correspondent à toutes les interfaces et tous les sens du trafic. Si vous voulez limiter l'effet de la règle à des interfaces ou des sens du trafic particuliers, vous devez spécifier la limite dans la règle.

Conditions préalables

Pour utiliser un groupe d'adresses, commencez par associer manuellement les adresses IP et MAC de chaque VM à leur commutateur logique.

Procédure

  1. Sélectionnez Sécurité > Pare-feu distribué dans le panneau de navigation.
  2. Cliquez sur l'onglet Général pour les règles L3 ou Ethernet pour les règles L2.
  3. Cliquez sur une section ou une règle existante.
  4. Cliquez sur l'icône du menu dans la première colonne d'une règle et sélectionnez Ajouter la règle ci-dessus ou Ajouter la règle ci-dessous.
    Une nouvelle ligne s'affiche pour définir une règle de pare-feu.
    Note : Pour le trafic tentant de passer par le pare-feu, les informations sur le paquet sont soumises aux règles dans l'ordre indiqué dans le tableau Règles, en commençant par le haut jusqu'aux règles par défaut en bas. Dans certains cas, l'ordre de priorité de deux règles ou plus peut être important pour déterminer la disposition d'un paquet.
  5. Dans la colonne Nom, entrez le nom de la règle.
  6. Dans la colonne Source, cliquez sur l'icône de modification et sélectionnez la source de la règle. La source correspondra à n'importe laquelle si elle n'est pas définie.
    Option Description
    Adresses IP Entrez plusieurs adresses IP ou MAC dans une liste en les séparant par une virgule. La liste peut comporter jusqu'à 255 caractères. Les formats IPv4 et IPv6 sont pris en charge.
    Objets de conteneur Les objets disponibles sont Ensemble d'IP, Port logique, Commutateur logique et Groupe NS. Sélectionnez les objets et cliquez sur OK.
  7. Dans la colonne Destination, cliquez sur l'icône de modification et sélectionnez la destination. La destination correspondra à n'importe laquelle si elle n'est pas définie.
    Option Description
    Adresses IP Vous pouvez entrer plusieurs adresses IP ou MAC dans une liste en les séparant par une virgule. La liste peut comporter jusqu'à 255 caractères. Les formats IPv4 et IPv6 sont pris en charge.
    Objets de conteneur Les objets disponibles sont Ensemble d'IP, Port logique, Commutateur logique et Groupe NS. Sélectionnez les objets et cliquez sur OK.
  8. Dans la colonne Service, cliquez sur l'icône de modification et sélectionnez les services. Le service correspondra à n'importe lequel s'il n'est pas défini.
  9. Pour sélectionner un service prédéfini, sélectionnez un ou plusieurs des services disponibles.
  10. Pour définir un nouveau service, cliquez sur l'onglet Port brut-Protocole et cliquez sur Ajouter.
    Option Description
    Type de service
    • ALG
    • ICMP
    • IGMP
    • IP
    • Ensemble de ports L4
    Protocole Sélectionnez l'un des protocoles disponibles.
    Ports source Entrez le port source.
    Ports de destination Sélectionnez le port de destination.
  11. Dans la colonne Appliqué à, cliquez sur l'icône de modification et sélectionnez des objets.
  12. Dans la colonne Journal, définissez l'option de journalisation.
    Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur les hôtes ESXi et KVM. L'activation de la journalisation peut affecter les performances.
  13. Dans la colonne Action, sélectionnez une action.
    Option Description
    Autoriser Autorise le trafic L3 ou L2 avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le système comme si le pare-feu n'était pas présent.
    Annuler Abandonne des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification aux systèmes source ou de destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    Refuser Rejette des paquets avec la source, la destination et le protocole spécifiés. Le refus d'un paquet est une manière plus appropriée de refuser un paquet, car il envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'avantage d'utiliser Refuser est que l'application d'envoi est informée après une seule tentative que la connexion ne peut pas être établie.
  14. Cliquez sur l'icône Paramètres avancés pour spécifier le protocole IP, la direction, les balises de règle et les commentaires.
  15. Cliquez sur Publier.