NSX utilise des règles de pare-feu pour spécifier le traitement du trafic vers et en dehors du réseau.

Le pare-feu offre plusieurs ensembles de règles configurables : règles de couche 3 (onglet Général) et règles de couche 2 (onglet Ethernet). Les règles de pare-feu de couche 2 sont traitées avant les règles de couche 3 et, si cela est autorisé dans les règles de couche 2, elles sont ensuite traitées par les règles de couche 3. Vous pouvez configurer une liste d'exclusion qui contient des commutateurs logiques, des ports logiques ou des groupes qui doivent être exclus de l'application du pare-feu.

Les règles de pare-feu s'appliquent comme suit :

  • Les règles sont traitées de haut en bas.
  • Chaque paquet est analysé en fonction de la règle définie sur la première ligne du tableau de règles. Les règles suivantes sont ensuite appliquées dans l'ordre descendant.
  • La première règle de la table correspondant aux paramètres du trafic est appliquée.

Aucune règle suivante ne peut être appliquée, car la recherche est ensuite terminée pour ce paquet. En raison de ce comportement, il est toujours recommandé de placer les stratégies les plus granulaires en haut du tableau de règles. Ainsi, vous êtes assuré qu'elles seront appliquées avant des règles plus spécifiques.

La règle par défaut, située en bas du tableau de règles, est une règle générique ; les paquets ne correspondant à aucune autre règle seront appliqués par la règle par défaut. Après l'opération de préparation de l'hôte, la règle par défaut est définie pour autoriser l'action. Cela garantit que la communication entre VM n'est pas rompue lors des phases de transfert ou de migration. Il est vivement conseillé de modifier par la suite cette règle par défaut afin de bloquer l'action et d'appliquer un contrôle de l'accès via un modèle de contrôle positif (c'est-à-dire que seul le trafic défini dans la règle de pare-feu est autorisé sur le réseau).
Note : TCP strict peut être activé sur une base par section pour désactiver la prise en charge en milieu de session et pour appliquer la condition requise pour un établissement de liaison à trois voies. Lors de l'activation du mode strict TCP pour une section de pare-feu distribué particulière et de l'utilisation d'une règle ANY-ANY Block par défaut, les paquets qui ne remplissent pas les conditions requises de connexion d'établissement de liaison à trois voies, et qui correspondent à une règle TCP dans cette section sont abandonnés. Strict s'applique uniquement aux règles TCP avec état et est activé au niveau de la section du pare-feu distribué. TCP strict n'est pas appliqué pour les paquets qui correspondent à une valeur par défaut ANY-ANY Allow qui n'a aucun service TCP spécifié.
Tableau 1. Propriétés d'une règle de pare-feu
Propriété Description
Nom Nom de la règle de pare-feu.
ID ID système unique généré pour chaque règle.
Source La source de la règle peut être une adresse IP ou MAC ou un objet autre qu'une adresse IP. La source correspondra à n'importe laquelle si elle n'est pas définie. Les protocoles IPv4 et IPv6 sont pris en charge pour la plage source ou de destination.
Destination Masque de réseau/adresse IP ou MAC de destination de la connexion concernée par la règle. La destination correspondra à n'importe laquelle si elle n'est pas définie. Les protocoles IPv4 et IPv6 sont pris en charge pour la plage source ou de destination.
Service Le service peut être une combinaison de protocoles de port prédéfinie pour L3. Pour L2, il peut être de type ether. Pour L2 et L3, vous pouvez définir manuellement un nouveau service ou groupe de services. Le service correspondra à n'importe lequel, s'il n'est pas spécifié.
Appliqué à Définit l'étendue à laquelle la règle s'applique. Si elle n'est pas définie, l'étendue sera tous les ports logiques. Si vous avez ajouté « Appliqué à » dans une section, elle remplacera la règle.
Journal La journalisation peut être désactivée ou activée. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur les hôtes ESXi.
Action L'action appliquée par la règle peut être Autoriser, Abandonner ou Refuser. La valeur par défaut est Autoriser.
Protocole IP Les options sont IPv4, IPv6 et IPv4_IPv6. La valeur par défaut est IPv4_IPv6. Pour accéder à cette propriété, cliquez sur l'icône Paramètres avancés.
Direction Les options sont In, Out et In/Out. La valeur par défaut est In/Out. Ce champ fait référence à la direction du trafic selon le point de vue de l'objet de destination. Entrant signifie que seul le trafic vers l'objet est vérifié, Sortant signifie que seul le trafic provenant de l'objet est vérifié et Entrant/Sortant signifie que le trafic dans les deux sens est vérifié. Pour accéder à cette propriété, cliquez sur l'icône Paramètres avancés.
Balises de règle Balises qui ont été ajoutées à la règle. Pour accéder à cette propriété, cliquez sur l'icône Paramètres avancés.
Statistiques sur les flux Champ en lecture seule qui affiche le nombre d'octets, le nombre de paquets et les sessions. Pour accéder à cette propriété, cliquez sur l'icône de graphique.
Note : Si Spoofguard n'est pas activé, les liaisons d'adresse découvertes automatiquement ne peuvent pas être garanties comme étant dignes de confiance, car une machine virtuelle malveillante peut demander l'adresse d'une autre machine virtuelle. Si Spoofguard est activé, il vérifie chaque liaison découverte afin que seules les liaisons approuvées soient présentées.