Vous pouvez modifier les paramètres de pare-feu par défaut qui s'appliquent au trafic qui ne correspond à aucune règle de pare-feu définie par l'utilisateur.

Les règles de pare-feu par défaut s'appliquent au trafic qui ne correspond à aucune règle de pare-feu définie par l'utilisateur. La règle de couche 3 par défaut s'affiche sous l'onglet Général et la règle de couche 2 par défaut s'affiche sous l'onglet Ethernet.

Les règles de pare-feu par défaut permettent à tout le trafic de couche 3 et de couche 2 d'emprunter tous les clusters préparés de votre infrastructure. La règle par défaut se situe toujours en bas de la table des règles et il est impossible de l'en supprimer. Toutefois, pour l'élément Action de la règle, vous pouvez remplacer Autoriser par Annuler ou par Refuser (non recommandé) et indiquer si le trafic de cette règle doit être journalisé.

La règle de pare-feu de couche 3 par défaut s'applique à tout le trafic, y compris au trafic DHCP. Si vous remplacez Action par Annuler ou Refuser, le trafic DHCP sera bloqué. Vous devrez créer une règle pour autoriser le trafic DHCP.

Conditions préalables

Vérifiez que le mode Gestionnaire est sélectionné dans l'interface utilisateur NSX Manager. Reportez-vous à la section NSX Manager. Si vous ne voyez pas les boutons Stratégie et Gestionnaire, reportez-vous à Configurer les paramètres de l'interface utilisateur.

Procédure

  1. Sélectionnez Sécurité > Pare-feu distribué.
  2. Cliquez sur l'onglet Général pour les règles L3 ou Ethernet pour les règles L2.
  3. Dans la colonne Nom, entrez un nouveau nom.
  4. Dans la colonne Action, sélectionnez une des options.
    • Autoriser : autorise le trafic de couche 3 ou de couche 2 avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le système comme si le pare-feu n'était pas présent.
    • Bloquer : annule des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification aux systèmes source ou de destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    • Refuser : refuse des paquets avec la source, la destination et le protocole spécifiés. Le refus d'un paquet est une manière plus appropriée de refuser un paquet, car il envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'avantage d'utiliser Refuser est que l'application d'envoi est informée après une seule tentative que la connexion ne peut pas être établie.
    Note : Il n'est pas recommandé de sélectionner Refuser comme action pour la règle par défaut.
  5. Dans Journal, activez ou désactivez la journalisation.
    L'activation de la journalisation peut affecter les performances.
  6. Cliquez sur Publier.