Avant de créer des règles de pare-feu d'application sur le pare-feu de passerelle de niveau 0, il est important d'ajouter manuellement des règles de pare-feu de passerelle pour autoriser les protocoles de routage tels que BGP, OSPF et le protocole de détection de panne BFD. Ces règles doivent être ajoutées avant toute règle d'application pour s'assurer que le protocole de détection de panne respectif d'appairage de routage n'est pas affecté lors de la modification des règles de pare-feu d'application.

Conditions préalables

Les adresses IPv4 et IPv6 sont prises en charge.

Pour activer le pare-feu de passerelle, sélectionnez Sécurité > Pare-feu de passerelle > Paramètres. Cliquez sur ACTIVER pour le pare-feu de passerelle de niveau 1 ou de niveau 0 que vous souhaitez activer.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Sécurité > Pare-feu de passerelle.
  3. Sélectionnez l'onglet Toutes les règles partagées ou Règles spécifiques à la passerelle. Cliquez sur Ajouter une stratégie. Pour plus d'informations sur les catégories de règles, reportez-vous à la section Pare-feu de passerelle.
  4. Entrez un Nom pour la nouvelle section de stratégie.
  5. Cliquez sur l'icône d'engrenage pour configurer les paramètres de stratégie suivants :
    Paramètres Description
    TCP strict Par défaut, le pare-feu de passerelle fonctionne en mode TCP strict. Le mode TCP Strict s'applique uniquement aux règles TCP avec état et est activé au niveau de la stratégie de pare-feu de passerelle. TCP strict n'est pas appliqué pour les paquets qui correspondent à une valeur par défaut ANY-ANY Allow qui n'a aucun service TCP spécifié.
    Avec état Par défaut, avec état est activé. Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.
    Verrouillé Par défaut, l'option verrouillé est désactivée. La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs d'apporter des modifications à la même section. Vous devez inclure un commentaire lors du verrouillage d'une section.
  6. Sélectionnez une section de stratégie et cliquez sur Ajouter une règle.
  7. Entrez un nom pour la règle.
  8. Dans la colonne Sources, cliquez sur l'icône en forme de crayon et sélectionnez Groupes ou Adresses IP. Pour les adresses IP, vous pouvez entrer une adresse IP, un CIDR ou une plage d'adresses IP. Les groupes possédant des membres Active Directory peuvent être utilisés pour la zone source d'une règle IDFW. Reportez-vous à la section Ajouter un groupe.
  9. Dans la colonne Destinations, cliquez sur l'icône en forme de crayon et sélectionnez Groupes ou Adresses IP. Pour les adresses IP, vous pouvez entrer une adresse IP, un CIDR ou une plage d'adresses IP. La destination correspond à n'importe laquelle si elle n'est pas définie. Reportez-vous à la section Ajouter un groupe.
  10. Dans la colonne Services, cliquez sur l'icône de crayon et sélectionnez les services. Le service correspond à n'importe lequel s'il n'est pas défini. Reportez-vous à la section Ajouter un service.
  11. Pour les passerelles de niveau 1, dans la colonne Profils, cliquez sur l'icône en forme de crayon et sélectionnez un profil de contexte ou profil d'accès L7. Vous pouvez également créer des profils. Reportez-vous à la section Profils. Pour les directives de conception pour les profils de contexte, reportez-vous à la section Workflow de règles de pare-feu de couche 7.
    • Une règle de pare-feu de passerelle peut contenir un profil de contexte ou un profil d'accès L7, mais pas les deux.
    • Les règles de pare-feu de passerelle ne prennent pas en charge les profils de contexte avec le type d'attribut Nom de domaine (FQDN).
    • Vous ne pouvez utiliser qu'un seul profil d'accès L7 dans une règle de pare-feu de passerelle unique.
  12. Dans les versions 4.2.1 et ultérieures, pour les passerelles de niveau 0, dans la colonne Profils, cliquez sur l'icône en forme de crayon et sélectionnez un profil d'accès L7. Reportez-vous à la section Profils d'accès de couche 7. Les profils de contexte ne sont pas pris en charge au niveau de la stratégie de pare-feu de passerelle de niveau 0.
  13. Cliquez sur Appliquer.
  14. Cliquez sur l'icône en forme de crayon de la colonne Appliqué à pour modifier l'étendue de l'application par règle. Dans la boîte de dialogue Appliqué à, cliquez sur le menu déroulant Catégorie pour filtrer par type d'objet, tel que les interfaces, les étiquettes et les VTI, pour sélectionner ces objets spécifiques.
    Par défaut, les règles de pare-feu de passerelle sont appliquées à toutes les liaisons montantes et interfaces de service disponibles sur une passerelle sélectionnée.

    Pour le filtrage d'URL, Appliqué à ne peut être que des passerelles de niveau 1.

  15. Dans la colonne Action, sélectionnez une action.
    Option Description
    Autoriser Autorise l'ensemble du trafic avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le système comme si le pare-feu n'était pas présent.

    L'action de règle associée au profil d'accès L7 doit être Autoriser.

    Annuler Abandonne des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification aux systèmes source ou de destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    Rejeter

    Rejette des paquets avec la source, la destination et le protocole spécifiés. Le rejet d'un paquet envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'application d'envoi est informée après une tentative d'établissement de la connexion.
  16. Cliquez sur le bouton bascule État pour activer ou désactiver la règle.
  17. Cliquez sur l'icône représentant un engrenage pour définir la journalisation, la direction, le protocole IP et des commentaires.
    Option Description
    Journalisation

    La journalisation peut être activée ou désactivée. Les journaux de pare-feu de passerelle fournissent le redirecteur et le routage virtuel de passerelle, les informations de l'interface de passerelle ainsi que les détails du flux. Les journaux du pare-feu de passerelle se trouvent dans le fichier nommé firewallpkt.log dans le répertoire /var/log.
    Direction Les options sont In, Out et In/Out. La valeur par défaut est In/Out. Ce champ fait référence à la direction du trafic selon le point de vue de l'objet de destination. In signifie que seul le trafic vers l'objet est vérifié, Out signifie que seul le trafic provenant de l'objet est vérifié et In/Out signifie que le trafic dans les deux sens est vérifié.
    Protocole IP Les options sont IPv4, IPv6 et IPv4_IPv6. La valeur par défaut est IPv4_IPv6.
    Étiquette de journal L'étiquette du journal est le nom du journal lorsque la journalisation est activée. Le nombre maximal de caractères est de 39.
    Commentaires Ajoutez des commentaires à la règle de pare-feu.
    Note : Cliquez sur l'icône de graphique pour afficher les statistiques de flux de la règle de pare-feu. Vous pouvez voir des informations telles que le nombre d'octets, le nombre de paquets et les sessions.
  18. Cliquez sur Publier. Il est possible d'ajouter plusieurs règles à la fois et de les publier ensemble.
  19. Dans chaque section de stratégie, cliquez sur l'icône Infos pour afficher l'état actuel des règles de pare-feu Edge qui sont envoyées aux nœuds Edge. Toutes les alarmes générées lorsque des règles ont été transmises à des nœuds Edge sont également affichées.
  20. Pour afficher l'état consolidé des règles de pare-feu de passerelle appliquées aux nœuds Edge, effectuez l'appel d'API.
    GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?intent_path=/infra/domains/default/gateway-policies/<GatewayPolicy_ID>&include_enforced_status=true