Un pare-feu distribué permet de surveiller l'ensemble du trafic est-ouest sur vos machines virtuelles.

La procédure décrite dans cette rubrique explique le workflow d'ajout de stratégies de pare-feu appliquées au pare-feu distribué NSX ou à des groupes spécifiques avec des objets gérés par NSX.

Si des conteneurs Antrea sont enregistrés dans votre environnement NSX-T Data Center, vous pouvez créer des stratégies de pare-feu distribué et les appliquer aux clusters de conteneurs Antrea. Pour plus d'informations, reportez-vous à la section suivante :
Note : NSX-T Data Center ne prend pas en charge la combinaison de règles créées avec des objets gérés par NSX et des objets de cluster de conteneurs Antrea dans la même stratégie de pare-feu distribué. En d'autres termes, les règles de pare-feu que vous appliquez au pare-feu distribué NSX et aux clusters de conteneurs Antrea doivent se trouver dans des stratégies distinctes.

Conditions préalables

Avant NSX-T Data Center 3.2, les VM doivent avoir leur vNIC connectée à un segment de superposition NSX ou VLAN pour être protégées par DFW. Dans NSX-T Data Center 3.2, le pare-feu distribué protège les charges de travail qui sont connectées en mode natif à un groupe de ports distribués VDS (DVPG). Pour plus d'informations reportez-vous à la section Sécurité distribuée pour vSphere Distributed Switch.

Si vous créez des règles de pare-feu d'identité, vous devez tout d'abord créer un groupe avec les membres Active Directory. Pour afficher les protocoles pris en charge pour IDFW, reportez-vous à la section Configurations prises en charge par le pare-feu d'identité. Lors de la création d'une règle DFW à l'aide de Guest Instrospection, assurez-vous que le champ Appliqué à s'applique au groupe de destination.
Note : Pour l'application des règles de pare-feu d'identité, le service de temps Windows doit être activé pour toutes les VM utilisant Active Directory. Cela garantit que la date et l'heure sont synchronisées entre Active Directory et les VM. Les modifications apportées à l'appartenance au groupe AD, y compris l'activation et la suppression d'utilisateurs, ne prennent pas immédiatement effet pour les utilisateurs connectés. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. L'administrateur AD doit forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.

Notez que si vous utilisez une combinaison de couche 7 et d'ICMP, ou d'autres protocoles, vous devez placer les règles de pare-feu de couche 7 en dernier. Les règles situées après une règle any/any de couche 7 ne sont pas exécutées.

Pour plus d'informations spécifiques à la fédération sur la stratégie de pare-feu distribué et la création de règles, reportez-vous à Créer des stratégies et des règles DFW depuis Gestionnaire global.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Sécurité > Pare-feu distribué dans le panneau de navigation.
  3. Assurez-vous d'être dans la catégorie prédéfinie souhaitée et cliquez sur Ajouter une stratégie.
    Pour en savoir plus sur les catégories, reportez-vous à la section Pare-feu distribué.
  4. Entrez un Nom pour la nouvelle section de stratégie.
  5. (Facultatif) Utilisez Appliqué à pour appliquer les règles de la stratégie à un groupe sélectionné. Par défaut, le champ de la stratégie Appliqué à est défini sur DFW et les règles de stratégie sont appliquées à toutes les charges de travail. Lorsque vous modifiez la règle par défaut, si la stratégie et les règles qu'elle contient ont Appliqué à défini sur un groupe, le niveau de stratégie Appliqué à est prioritaire par rapport à Appliqué à au niveau de la règle.
    Note : Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.

    La colonne Appliqué à définit l'étendue de la mise en application pour chaque stratégie. Elle est utilisée principalement pour l'optimisation des ressources sur les hôtes ESXi et KVM. Elle permet de définir une stratégie ciblée pour des zones, des locataires ou des applications spécifiques, sans interférer avec d'autres stratégies définies pour d'autres applications, locataires et zones.

  6. (Facultatif) Pour configurer les paramètres de stratégie suivants, cliquez sur l'icône d'engrenage.
    Option Description
    TCP strict Une connexion TCP commence par l'établissement d'une liaison en trois temps (SYN, SYN-ACK, ACK) et se termine généralement par un échange bidirectionnel (FIN, ACK). Dans certains cas, le pare-feu distribué (DFW) peut ne pas voir l'établissement de liaison à trois voies pour un flux particulier (en raison du trafic asymétrique ou du pare-feu distribué activé lorsqu'il existe un flux). Par défaut, le pare-feu distribué n'impose pas le besoin de voir l'établissement d'une liaison en trois temps et sélectionne les sessions déjà établies. TCP strict peut être activé sur une base par section pour désactiver la prise en charge en milieu de session et pour appliquer la condition requise pour un établissement de liaison à trois voies.

    Lors de l'activation du mode TCP strict pour une stratégie DFW spécifique et de l'utilisation d'une règle ANY-ANY Block par défaut, les paquets qui ne remplissent pas les conditions requises de connexion d'établissement d’une liaison en trois temps et qui correspondent à une règle TCP dans cette section sont abandonnés. Strict s'applique uniquement aux règles TCP avec état et est activé au niveau de la stratégie du pare-feu distribué. TCP strict n'est pas appliqué pour les paquets qui correspondent à une valeur par défaut ANY-ANY Allow qui n'a aucun service TCP spécifié.
    Avec état Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.
    Verrouillé La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section.

    Certains rôles, tels Administrateur d'entreprise, disposent d'informations d'identification d'accès complet et ne peuvent pas être verrouillés. Reportez-vous à la section Contrôle d'accès basé sur les rôles.

  7. Cliquez sur Publier. Il est possible d'ajouter plusieurs stratégies et de les publier simultanément.
    La nouvelle stratégie s'affiche à l'écran.
  8. Sélectionnez une section de stratégie et cliquez sur Ajouter une règle, puis entrez un nom de règle.
  9. Dans la colonne Sources, cliquez sur l'icône de modification et sélectionnez la source de la règle. Les groupes possédant des membres Active Directory peuvent être utilisés pour la zone de texte source d'une règle IDFW.
    Pour plus d'informations, reportez-vous à la section Ajouter un groupe.

    Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.

    Remarque : le pare-feu IPv6 doit avoir la détection d'adresses IP pour IPv6 activée sur un segment connecté. Pour plus d'informations, reportez-vous à la section Comprendre le profil de segment de découverte d'adresses IP.

  10. Dans la colonne Destinations, cliquez sur l'icône de modification et sélectionnez la destination de la règle. La destination correspond à n'importe laquelle si elle n'est pas définie.
    Pour plus d'informations, reportez-vous à la section Ajouter un groupe.

    Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.

  11. Dans la colonne Services, cliquez sur l'icône de modification et sélectionnez les services. Le service correspond à Quelconque s'il n'est pas défini. Pour plus d'informations, reportez-vous à la section Ajouter un service.
  12. La colonne Profils n'est pas disponible lorsque vous ajoutez une règle à la catégorie Ethernet. Pour toutes les autres catégories de règle de la colonne Profils, cliquez sur l'icône de modification et sélectionnez un profil de contexte, ou cliquez sur Ajouter un nouveau profil de contexte. Pour plus d'informations, reportez-vous à la section Profils de contexte.

    Les profils de contexte prennent en charge les profils avec le type d'attribut ID d'application et Nom de domaine (FQDN) pour une utilisation dans les règles de pare-feu distribué. Plusieurs profils de contexte avec le type d'attribut ID d'application ou Nom de domaine (FQDN) peuvent être utilisés dans une règle de pare-feu distribué avec des services définis sur Quelconque.

    Les profils de contexte ne sont pas pris en charge lors de la création de règles IDS.

  13. Cliquez sur Appliquer pour appliquer le profil de contexte à la règle.
  14. Utilisez Appliqué à pour appliquer la règle à un groupe sélectionné. Lors de la création d'une règle DFW à l'aide de Guest Introspection, assurez-vous que le champ Appliqué à s'applique au groupe de destination. Par défaut, la colonne Appliqué à est définie sur DFW et la règle est appliquée à toutes les charges de travail. Lorsque vous modifiez la valeur par défaut et que le niveau de stratégie et les règles ont Appliqué À défini sur Groupes, alors le niveau de stratégie Appliqué À est prioritaire sur Appliqué À au niveau de la règle.
    Note : Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.
  15. Dans la colonne Action, sélectionnez une action.
    Option Description
    Autoriser Autorise le trafic L3 ou L2 avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le système comme si le pare-feu n'était pas présent.
    Annuler Abandonne des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification aux systèmes source ou de destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    Rejeter Rejette des paquets avec la source, la destination et le protocole spécifiés. Le refus d'un paquet est une manière plus appropriée de refuser un paquet, car il envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'avantage d'utiliser Refuser est que l'application d'envoi est informée après une seule tentative que la connexion ne peut pas être établie.
    Accéder à l'application
    Note : Cette action n'est disponible que pour la catégorie Environnement.

    Permet au trafic qui correspond aux règles de catégorie d'environnement de continuer pour que les règles de catégorie d'application s'appliquent. Utilisez cette action lorsque le trafic correspond aux règles de catégorie d'environnement et se ferme, mais que vous souhaitez que les règles de catégorie d'application s'appliquent.

    Par exemple, s'il existe une règle de catégorie d'environnement avec l'action Autoriser pour une source spécifique et une règle de catégorie d'application avec l'action Annuler pour la même source, les paquets qui correspondent à la catégorie d'environnement sont autorisés à traverser le pare-feu et les autres règles ne sont plus appliquées. Avec l'action Accéder à l'application, les paquets correspondent à la règle de catégorie d'environnement, mais continuent aux règles de catégorie d'application. Résultat, ces paquets sont abandonnés.
  16. Cliquez sur le bouton bascule État pour activer ou désactiver la règle.
  17. Cliquez sur l'icône d'engrenage pour configurer les options de règle suivantes :
    Option Description
    Journalisation La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi et KVM.
    Direction Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié, OUT signifie que seul le trafic provenant de l'objet est vérifié et In-Out signifie que le trafic dans les deux sens est vérifié.
    Protocole IP Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois.
    Étiquette de journal

    L'étiquette de journal est transportée dans le journal du pare-feu lorsque la journalisation est activée. Seuls les 31 premiers caractères du journal généré sont pris en charge, bien que vous puissiez entrer une étiquette plus longue.
  18. Cliquez sur Publier. Il est possible d'ajouter plusieurs règles à la fois et de les publier ensemble.
  19. État de réalisation des chemins de données de la stratégie avec les détails des nœuds de transport affichés sur le côté droit de la table des stratégies.