Vous pouvez créer des stratégies et des règles de pare-feu de passerelle à appliquer à plusieurs emplacements ou à des interfaces sélectionnées pour des emplacements particuliers, à partir de Gestionnaire global.

Les passerelles de niveau 0 ou de niveau 1 créées à partir du gestionnaire global couvrent tout ou un ensemble d'emplacements. Vous disposez de quelques options lors de l'application de règles de pare-feu de passerelle créées à partir du gestionnaire global : les règles de pare-feu de passerelle peuvent être appliquées à tous les emplacements inclus dans l'étendue de la passerelle, à toutes les interfaces d'un emplacement spécifique ou à des interfaces spécifiques d'un ou plusieurs emplacements.

Sur le gestionnaire local, les règles sont appliquées dans l'ordre suivant :
  1. Les règles créées à partir du gestionnaire global qui sont correctement réalisées sur le gestionnaire local sont appliquées en premier.
  2. Les règles créées à partir du gestionnaire local sont appliquées ensuite.
  3. La dernière règle appliquée est la règle de pare-feu de passerelle par défaut. Il s'agit de la règle « autoriser tout » ou « refuser tout » applicable à tous les emplacements et à toutes les charges de travail. Vous pouvez modifier le comportement de cette règle par défaut à partir du gestionnaire global.

Procédure

  1. Dans votre navigateur, connectez-vous avec des privilèges d'administrateur d'entreprise ou d'administrateur de sécurité au Gestionnaire global sur https://<global-manager-ip-address>.
  2. Sélectionnez Sécurité > Pare-feu de passerelle.
  3. Assurez-vous d'être dans la catégorie prédéfinie souhaitée. Seules les catégories Règles préalables, Passerelle locale et Par défaut sont prises en charge sur le gestionnaire global. Pour définir la stratégie sous la catégorie Passerelle locale, cliquez sur le nom de la catégorie dans l'onglet Toutes les règles partagées ou cliquez directement sur l'onglet Règles spécifiques à la passerelle.

    Sélectionnez une passerelle de niveau 0 ou de niveau 1 dans le menu déroulant en regard de Passerelle. L'étendue de la passerelle de niveau 0 ou de niveau 1 que vous avez sélectionnée devient l'étendue par défaut de la stratégie et de la règle de pare-feu de passerelle. Vous pouvez réduire l'étendue, mais pas la développer.

  4. Cliquez sur Ajouter une stratégie.
  5. Entrez un Nom pour la nouvelle section de stratégie.
  6. (Facultatif) Cliquez sur l'icône d'engrenage pour configurer les paramètres de stratégie suivants :
    Paramètres Description
    TCP strict Une connexion TCP commence par un établissement de liaison en trois temps (SYN, SYN-ACK, ACK) et se termine généralement par un échange bidirectionnel (FIN, ACK). Dans certaines circonstances, le pare-feu ne voit pas l'établissement de liaison en trois temps pour un flux particulier (par exemple, en raison du trafic asymétrique). Par défaut, le pare-feu n'impose pas le besoin de voir un établissement de liaison en trois temps et les sessions de collecte déjà établies. TCP strict peut être activé sur une base par section pour désactiver la prise en charge en milieu de session et appliquer la condition requise pour l'établissement d'une liaison en trois temps. Lors de l'activation du mode TCP strict pour une stratégie de pare-feu spécifique et de l'utilisation d'une règle ANY-ANY Block par défaut, les paquets qui ne remplissent pas les conditions requises de connexion d'établissement d'une liaison en trois temps et qui correspondent à une règle TCP dans cette section sont abandonnés. Strict s'applique uniquement aux règles TCP avec état et est activé au niveau de la stratégie du pare-feu de passerelle. TCP strict n'est pas appliqué pour les paquets qui correspondent à une valeur par défaut ANY-ANY Allow qui n'a aucun service TCP spécifié.
    Avec état Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.
    Verrouillé La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs d'apporter des modifications à la même section. Vous devez inclure un commentaire lors du verrouillage d'une section.
  7. Cliquez sur Publier. Il est possible d'ajouter plusieurs stratégies à la fois et de les publier ensemble.
    La nouvelle stratégie s'affiche à l'écran.
  8. Sélectionnez une section de stratégie et cliquez sur Ajouter une règle.
  9. Entrez un nom pour la règle.
  10. Dans la colonne Sources, cliquez sur l'icône de modification et sélectionnez la source de la règle. Le groupe source doit avoir le même sous-ensemble ou un sous-ensemble de l'étendue de la passerelle.
  11. Dans la colonne Destinations, cliquez sur l'icône de modification et sélectionnez la destination de la règle. La destination correspond à n'importe laquelle si elle n'est pas définie. Le groupe de destination doit avoir le même sous-ensemble ou un sous-ensemble de l'étendue de la passerelle.
  12. Dans la colonne Services, cliquez sur l'icône de crayon et sélectionnez les services. Le service correspond à n'importe lequel s'il n'est pas défini. Cliquez sur Appliquer pour enregistrer.
  13. Dans la colonne Profils, cliquez sur l'icône de modification et sélectionnez un profil de contexte, ou cliquez sur Ajouter un nouveau profil de contexte. Reportez-vous à la section Profils de contexte.
    Note : Les profils de contexte ne sont pas pris en charge pour les passerelles de niveau 0. Vous pouvez appliquer des profils de contexte de couche 7 à des passerelles de niveau 1.
  14. Cliquez sur l'icône en forme de crayon dans la colonne Appliqué à. Dans la boîte de dialogue Appliqué à :
    Sélection Appliqué à Résultat
    Sélectionnez Appliquer la règle à la passerelle La règle de pare-feu de passerelle est appliquée à tous les emplacements couverts par l'étendue de la passerelle. Si vous ajoutez un autre emplacement à la passerelle, cette règle de pare-feu de passerelle est automatiquement appliquée à l'emplacement.
    Sélectionnez un emplacement, puis cliquez sur Appliquer les règles à toutes les entités Appliquez cette règle à toutes les interfaces de l'emplacement sélectionné.
    Sélectionnez un emplacement puis des interfaces pour cet emplacement Appliquez la règle uniquement aux interfaces sélectionnées dans un ou plusieurs emplacements.
    Note : Il n'y a aucune sélection par défaut pour Appliqué à. Vous devez effectuer une sélection pour pouvoir publier cette règle.
  15. Dans la colonne Action, sélectionnez une action.
    Option Description
    Autoriser Autorise l'ensemble du trafic avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le système comme si le pare-feu n'était pas présent.
    Annuler Abandonne des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification aux systèmes source ou de destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    Rejeter

    Rejette des paquets avec la source, la destination et le protocole spécifiés. Le rejet d'un paquet envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'application d'envoi est informée après une tentative d'établissement de la connexion.

  16. Cliquez sur le bouton bascule État pour activer ou désactiver la règle.
  17. Cliquez sur l'icône représentant un engrenage pour définir la journalisation, la direction, le protocole IP, une balise et des remarques.
    Option Description
    Journalisation La journalisation peut être désactivée ou activée. Vous pouvez accéder aux journaux à l'aide de la commande CLI NSX suivante sur NSX Edge :
    get log-file syslog | find datapathd.firewallpkt
    Les journaux peuvent également être envoyés à un serveur Syslog externe.
    Direction Les options sont In, Out et In/Out. La valeur par défaut est In/Out. Ce champ fait référence à la direction du trafic selon le point de vue de l'objet de destination. In signifie que seul le trafic vers l'objet est vérifié, Out signifie que seul le trafic provenant de l'objet est vérifié et In/Out signifie que le trafic dans les deux sens est vérifié.
    Protocole IP Les options sont IPv4, IPv6 et IPv4_IPv6. La valeur par défaut est IPv4_IPv6.
    Étiquette de journal Étiquette de journal ajoutée à la règle.
    Note : Cliquez sur l'icône de graphique pour afficher les statistiques de flux de la règle de pare-feu. Vous pouvez voir des informations telles que le nombre d'octets, le nombre de paquets et les sessions.
  18. Cliquez sur Publier. Il est possible d'ajouter plusieurs règles à la fois et de les publier ensemble.
  19. Cliquez sur Vérifier l'état pour afficher l'état de réalisation de la stratégie appliqué aux passerelles via les nœuds Edge dans différents emplacements. Vous pouvez cliquer sur Réussite ou Échec pour ouvrir la fenêtre d'état de la stratégie.