Vous pouvez créer des stratégies de sécurité et des règles DFW à appliquer à plusieurs emplacements enregistrés avec Gestionnaire global.
Conditions préalables
Assurez-vous d'avoir déjà créé des régions personnalisées que vous souhaitez utiliser pour les règles de pare-feu. Reportez-vous à la section Créer une région à partir de Gestionnaire global.
Procédure
- Dans votre navigateur, connectez-vous avec des privilèges d'administrateur d'entreprise ou d'administrateur de sécurité à un Gestionnaire global sur https://<global-manager-ip-address>.
- Sélectionnez Sécurité > Pare-feu distribué
- Assurez-vous d'être dans la catégorie prédéfinie souhaitée et cliquez sur Ajouter une stratégie. Pour en savoir plus sur les catégories, reportez-vous à la section Pare-feu distribué.
Note : Gestionnaire global ne prend pas en charge Ethernet, les catégories d'urgence et la stratégie par défaut.
- Cliquez sur Ajouter une stratégie.
- Entrez un Nom pour la nouvelle section de stratégie.
- Cliquez sur l'icône en forme de crayon en regard de Appliqué à pour définir l'étendue de cette stratégie.
- Dans la boîte de dialogue Définir une valeur pour Appliqué à, vous pouvez effectuer les sélections suivantes :
- Région : sélectionnez les Gestionnaire local auxquels appliquer la stratégie. Chaque Gestionnaire local est automatiquement ajouté en tant que région. Vous pouvez également créer des régions personnalisées. Reportez-vous à la section Créer une région à partir de Gestionnaire global.
- Sélectionner une valeur pour Appliqué à : par défaut, la stratégie est appliquée à DFW, c'est-à-dire que la stratégie est appliquée à toutes les charges de travail sur les Gestionnaire local en fonction de la région sélectionnée pour cette stratégie. Vous pouvez également appliquer une stratégie à des groupes sélectionnés. La colonne Appliqué à définit la portée de la mise en application pour chaque stratégie. Elle est utilisée principalement pour l'optimisation des ressources sur les hôtes ESXi et KVM. Elle vous aide à définir une stratégie ciblée pour des zones, des locataires et une application spécifiques sans interférer avec d'autres stratégies définies pour les autres locataires, zones et applications. Consultez la section Stratégies et stratégies DFW pour comprendre comment l'étendue de la stratégie détermine si votre règle DFW est valide ou non valide.
- Pour configurer les paramètres de stratégie suivants, cliquez sur l'icône d'engrenage :
Option Description TCP strict Une connexion TCP commence par l'établissement d'une liaison en trois temps (SYN, SYN-ACK, ACK) et se termine généralement par un échange bidirectionnel (FIN, ACK). Dans certains cas, le pare-feu distribué (DFW) peut ne pas voir l'établissement de liaison à trois voies pour un flux particulier (en raison du trafic asymétrique ou du pare-feu distribué activé lorsqu'il existe un flux). Par défaut, le pare-feu distribué n'impose pas le besoin de voir l'établissement d'une liaison en trois temps et sélectionne les sessions déjà établies. TCP strict peut être activé sur une base par section pour désactiver la prise en charge en milieu de session et pour appliquer la condition requise pour un établissement de liaison à trois voies. Lors de l'activation du mode TCP strict pour une stratégie DFW spécifique et de l'utilisation d'une règle ANY-ANY Block par défaut, les paquets qui ne remplissent pas les conditions requises de connexion d'établissement d’une liaison en trois temps et qui correspondent à une règle TCP dans cette section sont abandonnés. Strict s'applique uniquement aux règles TCP avec état et est activé au niveau de la stratégie du pare-feu distribué. TCP strict n'est pas appliqué pour les paquets qui correspondent à une valeur par défaut ANY-ANY Allow qui n'a aucun service TCP spécifié.
Avec état Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu. Verrouillé La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section. Certains rôles, tels que l'administrateur d'entreprise, disposent d'informations d'identification d'accès complet et ne peuvent pas être verrouillés. Reportez-vous à la section Contrôle d'accès basé sur les rôles.
- Cliquez sur Publier. Il est possible d'ajouter plusieurs stratégies et de les publier simultanément.
La nouvelle stratégie s'affiche à l'écran.
- Sélectionnez une section de stratégie et cliquez sur Ajouter une règle.
- Entrez un nom pour la règle.
- La source et la destination sont validées en fonction de l'étendue de la stratégie DFW. Pour plus d'informations, reportez-vous à la section Stratégies et stratégies DFW.
-
Si la stratégie DFW est appliquée à un emplacement, par exemple, Loc1, la source ou la destination peut être le mot-clé ANY ou un groupe qui appartient à Loc1.
-
Si la stratégie DFW est appliquée à une région créée par l'utilisateur, par exemple, Region1 la source ou la destination peut être le mot-clé ANY ou un groupe ayant la même étendue que Region1 ou qui s'étend sur un emplacement dans Region1.
-
Si la stratégie DFW est appliquée à Global, la source ou la destination peut être quoi que ce soit.
Note : Active Directory et IDFW ne sont pas pris en charge pour NSX Federation, c'est-à-dire que vous ne pouvez pas utiliser ces fonctionnalités à partir du Gestionnaire global.- Dans la colonne Sources, cliquez sur l'icône en forme de crayon et sélectionnez la source de la règle.
- Dans la colonne Destinations, cliquez sur l'icône en forme de crayon et sélectionnez la destination de la règle. La destination correspond à n'importe laquelle si elle n'est pas définie.
-
- Dans la colonne Services, cliquez sur l'icône de crayon et sélectionnez les services. Le service correspond à n'importe lequel s'il n'est pas défini.
- Dans la colonne Profils, cliquez sur l'icône de modification et sélectionnez un profil de contexte, ou cliquez sur Ajouter un nouveau profil de contexte. Reportez-vous à la section Profils de contexte.
- Cliquez sur Appliquer pour appliquer le profil de contexte à la règle.
- Par défaut, la colonne Appliqué à est définie sur DFW et la règle est appliquée à toutes les charges de travail. Vous pouvez également appliquer la règle ou la stratégie à un groupe sélectionné. La colonne Appliqué à définit l'étendue de la mise en application pour chaque règle. Elle est utilisée principalement pour l'optimisation des ressources sur les hôtes ESXi et KVM. Elle vous aide à définir une stratégie ciblée pour des zones, des locataires et des applications spécifiques sans interférer avec d'autres stratégies définies pour les autres locataires, zones et applications.
Note : Vous ne pouvez pas sélectionner les types de groupes suivants dans Appliqué à :
- un groupe avec des adresses IP ou MAC
- un groupe d'utilisateurs Active Directory
- Dans la colonne Action, sélectionnez une action.
Option Description Autoriser Autorise le trafic L3 ou L2 avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le système comme si le pare-feu n'était pas présent. Annuler Abandonne des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification aux systèmes source ou de destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint. Refuser Rejette des paquets avec la source, la destination et le protocole spécifiés. Le refus d'un paquet est une manière plus appropriée de refuser un paquet, car il envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'avantage d'utiliser Refuser est que l'application d'envoi est informée après une seule tentative que la connexion ne peut pas être établie. - Cliquez sur le bouton bascule pour activer ou désactiver la règle.
- Cliquez sur l'icône d'engrenage pour configurer les options de règle suivantes :
Option Description Journalisation La journalisation est désactivée par défaut. Les journaux sont stockés dans /var/log/dfwpktlogs.log sur des hôtes ESXi et KVM. Direction Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié, OUT signifie que seul le trafic provenant de l'objet est vérifié et In/Out signifie que le trafic dans les deux sens est vérifié. Protocole IP Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois. Étiquette de journal L'étiquette de journal s'affiche dans le journal du pare-feu lorsque la journalisation est activée. - Cliquez sur Publier. Il est possible d'ajouter plusieurs règles à la fois et de les publier ensemble.
- Sur chaque stratégie, cliquez sur Vérifier l'état pour afficher l'état des règles qu'elle contient, par emplacement. Vous pouvez cliquer sur Réussite ou Échec pour ouvrir la fenêtre d'état de la stratégie.
- Cliquez sur Vérifier l'état pour vérifier l'état de réalisation des stratégies appliquées aux nœuds de transport sur différents emplacements.