Pour activer le pare-feu d'identité, accédez à Sécurité > Pare-feu de passerelle, puis cliquez sur Actions > Paramètres généraux. Basculez la barre pour activer le pare-feu d'identité, en notant que vous devez disposer d'Active Directory.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Sécurité > Pare-feu de passerelle.
  3. Pour activer le pare-feu de passerelle, sélectionnez Actions > Paramètres généraux et faites basculer le bouton État. Cliquez sur Enregistrer.
  4. Cliquez sur Ajouter une stratégie. Pour plus d'informations sur les catégories, reportez-vous à la section Pare-feu de passerelle.
  5. Entrez un Nom pour la nouvelle section de stratégie.
  6. Sélectionnez la Destination de la stratégie.
  7. Cliquez sur l'icône d'engrenage pour configurer les paramètres de stratégie suivants :
    Paramètres Description
    TCP strict Une connexion TCP commence par un établissement de liaison en trois temps (SYN, SYN-ACK, ACK) et se termine généralement par un échange bidirectionnel (FIN, ACK). Dans certaines circonstances, le pare-feu ne voit pas l'établissement de liaison en trois temps pour un flux particulier (par exemple, en raison du trafic asymétrique). Par défaut, le pare-feu n'impose pas le besoin de voir un établissement de liaison en trois temps et les sessions de collecte déjà établies. TCP strict peut être activé sur une base par section pour désactiver la prise en charge en milieu de session et appliquer la condition requise pour l'établissement d'une liaison en trois temps. Lors de l'activation du mode TCP strict pour une stratégie de pare-feu spécifique et de l'utilisation d'une règle ANY-ANY Block par défaut, les paquets qui ne remplissent pas les conditions requises de connexion d'établissement d'une liaison en trois temps et qui correspondent à une règle TCP dans cette section sont abandonnés. Strict s'applique uniquement aux règles TCP avec état et est activé au niveau de la stratégie du pare-feu de passerelle. TCP strict n'est pas appliqué pour les paquets qui correspondent à une valeur par défaut ANY-ANY Allow qui n'a aucun service TCP spécifié.
    Avec état Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.
    Verrouillé La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs d'apporter des modifications à la même section. Vous devez inclure un commentaire lors du verrouillage d'une section.
  8. Cliquez sur Publier.
    Il est possible d'ajouter plusieurs stratégies à la fois et de les publier ensemble.
    La nouvelle stratégie s'affiche à l'écran.
  9. Sélectionnez une section de stratégie et cliquez sur Ajouter une règle.
  10. Entrez un nom pour la règle. Les adresses IPv4 et IPv6 sont prises en charge.
  11. Dans la colonne Sources, cliquez sur l'icône de modification et sélectionnez la source de la règle. Les groupes possédant des membres Active Directory peuvent être utilisés pour la zone source d'une règle IDFW. Reportez-vous à la section Ajouter un groupe.
  12. Dans la colonne Destinations, cliquez sur l'icône de modification et sélectionnez la destination de la règle. La destination correspond à n'importe laquelle si elle n'est pas définie. Reportez-vous à la section Ajouter un groupe.
  13. Dans la colonne Services, cliquez sur l'icône de crayon et sélectionnez les services. Le service correspond à n'importe lequel s'il n'est pas défini. Reportez-vous à la section Ajouter un service.
  14. Pour les passerelles de niveau 1, dans la colonne Profils, cliquez sur l'icône Modifier et sélectionnez un profil de contexte ou profil d'accès L7. Vous pouvez également créer des profils. Reportez-vous à la section Profils.
    • Une règle de sécurité peut contenir un profil de contexte ou un profil d'accès L7, mais pas les deux.
    • Les profils de contexte et les profils d'accès L7 ne sont pas pris en charge sur la stratégie de pare-feu de passerelle de niveau 0.
    • Les règles de pare-feu de passerelle ne prennent pas en charge les profils de contexte avec le type d'attribut Nom de domaine (FQDN).
    • Les règles de pare-feu de passerelle prennent en charge les profils d'accès L7 avec le type d'attribut ID d'application, catégorie d'URL, URL personnalisée et réputation d'URL. Le type d'attribut ID d'application prend en charge plusieurs sous-attributs.
    Il est possible d'utiliser plusieurs profils de contexte d'ID d'application dans une règle de pare-feu avec des services définis sur Quelconque. Un seul profil d'accès L7 peut être utilisé dans une règle de pare-feu de passerelle unique.
  15. Cliquez sur Appliquer.
  16. Cliquez sur l'icône en forme de crayon de la colonne Appliqué à pour modifier l'étendue de l'application par règle. Depuis la boîte de dialogue Appliqué à | Nouvelle règle, cliquez sur le menu déroulant Catégories pour filtrer par type d'objet tel que les interfaces, les étiquettes et les VTI pour sélectionner ces objets spécifiques.
    Par défaut, les règles de pare-feu de passerelle sont appliquées à toutes les liaisons montantes et interfaces de service disponibles sur une passerelle sélectionnée.

    Pour le filtrage d'URL, Appliqué à ne peut être que des passerelles de niveau 1.

  17. Dans la colonne Action, sélectionnez une action.
    Option Description
    Autoriser Autorise l'ensemble du trafic avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le système comme si le pare-feu n'était pas présent.

    L'action de règle associée au profil d'accès L7 doit être Autoriser.

    Annuler Abandonne des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification aux systèmes source ou de destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    Rejeter

    Rejette des paquets avec la source, la destination et le protocole spécifiés. Le rejet d'un paquet envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'application d'envoi est informée après une tentative d'établissement de la connexion.
  18. Cliquez sur le bouton bascule État pour activer ou désactiver la règle.
  19. Cliquez sur l'icône représentant un engrenage pour définir la journalisation, la direction, le protocole IP et des commentaires.
    Option Description
    Journalisation

    La journalisation peut être activée ou désactivée. Les journaux de pare-feu de passerelle fournissent le redirecteur et le routage virtuel de passerelle, les informations de l'interface de passerelle ainsi que les détails du flux. Les journaux du pare-feu de passerelle se trouvent dans le fichier nommé firewallpkt.log dans le répertoire /var/log.
    Direction Les options sont In, Out et In/Out. La valeur par défaut est In/Out. Ce champ fait référence à la direction du trafic selon le point de vue de l'objet de destination. In signifie que seul le trafic vers l'objet est vérifié, Out signifie que seul le trafic provenant de l'objet est vérifié et In/Out signifie que le trafic dans les deux sens est vérifié.
    Protocole IP Les options sont IPv4, IPv6 et IPv4_IPv6. La valeur par défaut est IPv4_IPv6.
    Note : Cliquez sur l'icône de graphique pour afficher les statistiques de flux de la règle de pare-feu. Vous pouvez voir des informations telles que le nombre d'octets, le nombre de paquets et les sessions.
  20. Cliquez sur Publier. Il est possible d'ajouter plusieurs règles à la fois et de les publier ensemble.
  21. Dans chaque section de stratégie, cliquez sur l'icône Infos pour afficher l'état actuel des règles de pare-feu Edge qui sont envoyées aux nœuds Edge. Toutes les alarmes générées lorsque des règles ont été transmises à des nœuds Edge sont également affichées.
  22. Pour afficher l'état consolidé des règles de stratégie appliquées à des nœuds Edge, effectuez l'appel d'API.
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true