Une section de règles de pare-feu est modifiée et enregistrée indépendamment et est utilisée pour appliquer une configuration de pare-feu distincte aux locataires.

Conditions préalables

Vérifiez que le mode Gestionnaire est sélectionné dans l'interface utilisateur NSX Manager. Reportez-vous à la section NSX Manager. Si vous ne voyez pas les boutons Stratégie et Gestionnaire, reportez-vous à Configurer les paramètres de l'interface utilisateur.

Procédure

  1. Sélectionnez Sécurité > Pare-feu distribué.
  2. Cliquez sur l'onglet Général pour les règles de la couche 3 (L3) ou sur l'onglet Ethernet pour les règles de la couche 2 (L2).
  3. Cliquez sur une section ou une règle existante.
  4. Cliquez sur l'icône de section sur la barre de menus et sélectionnez Ajouter la section ci-dessus ou Ajouter la section ci-dessous.
    Note : Pour le trafic tentant de passer par le pare-feu, les informations sur le paquet sont soumises aux règles dans l'ordre indiqué dans le tableau Règles, en commençant par le haut jusqu'aux règles par défaut en bas. Dans certains cas, l'ordre de priorité de deux règles ou plus peut être important pour déterminer la disposition d'un paquet.
  5. Entrez le nom de la section.
  6. Pour rendre le pare-feu sans état, sélectionnez Activer le pare-feu sans état. Cette option est uniquement applicable à L3.
    Les pare-feu sans état observent le trafic réseau, et limitent ou bloquent les paquets en fonction des adresses source et de destination ou d'autres valeurs statiques. Pour les flux TCP et UDP, après le premier paquet, un cache est créé et conservé pour le tuple de trafic dans les deux sens, si le résultat du pare-feu est AUTORISER. Cela signifie que le trafic n'a plus besoin de vérifier les règles de pare-feu, ce qui entraîne une latence inférieure. Les pare-feu sans état sont en général plus rapides et ont de meilleures performances sous des charges de trafic plus lourdes.

    Les pare-feu avec état peuvent observer les flux de trafic d'une extrémité à l'autre. Le pare-feu est toujours consulté pour chaque paquet, afin de valider les numéros d'état et de séquence. Les pare-feu avec état sont plus efficaces pour identifier les communications non autorisées et falsifiées.

    Il n'y a pas de basculement entre le mode avec état et le mode sans état une fois qu'il est défini.
  7. Sélectionnez un ou plusieurs objets pour appliquer la section.
    Les types d'objet sont des ports logiques, des commutateurs logiques et des NSGroups. Si vous sélectionnez un NSGroup, il doit contenir un ou plusieurs commutateurs logiques ou ports logiques. Si le NSGroup contient uniquement les ensembles d'adresses IP ou les ensembles d'adresses MAC, il sera ignoré.
    Note : Si la section et les règles à l'intérieur sont définies sur NSGroup pour l'option Appliqué à, l'élément Appliqué à d'une section remplacera tous les paramètres Appliqué à dans les règles de cette section. Cela est dû au fait que le niveau de la section de pare-feu Appliqué à est prioritaire par rapport à Appliqué à au niveau de la règle.
  8. Cliquez sur OK.

Que faire ensuite

Ajoutez des règles de pare-feu à la section.