Ajouter ou supprimer une règle de pare-feu à un routeur logique en mode Gestionnaire

Vous pouvez ajouter des règles de pare-feu à un routeur logique de niveau 0 ou de niveau 1 afin de contrôler la communication dans le routeur.

Edge Fire-Walling est implémenté sur des ports de routeur de liaison montante, ce qui signifie que les règles de pare-feu ne s'appliqueront que si le trafic atteint ces ports sur le dispositif Edge. Pour appliquer des règles de pare-feu à une destination IP particulière, vous devez configurer des groupes avec le réseau /32. Si vous fournissez un sous-réseau autre que /32, les règles de pare-feu seront appliquées au sous-réseau complet.

Conditions préalables

Familiarisez-vous avec les paramètres d'une règle de pare-feu. Reportez-vous à la section Ajouter une règle de pare-feu en mode Gestionnaire.
Vérifiez que le mode Gestionnaire est sélectionné dans l'interface utilisateur NSX Manager. Reportez-vous à la section NSX Manager. Si vous ne voyez pas les boutons Stratégie et Gestionnaire, reportez-vous à Configurer les paramètres de l'interface utilisateur.

Procédure

Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
Localisez le routeur dans Mise en réseau > Routeurs logiques de niveau 0 ou Mise en réseau > Routeurs logiques de niveau 1
Cliquez sur le nom du routeur logique.
Sélectionnez Services > Pare-feu Edge.
Cliquez sur une section ou une règle existante.
Pour ajouter une règle, cliquez sur Ajouter une règle dans la barre de menus et sélectionnez Ajouter la règle ci-dessus ou Ajouter la règle ci-dessous, ou cliquez sur l’icône du menu dans la première colonne d'une règle et sélectionnez Ajouter la règle ci-dessus ou Ajouter la règle ci-dessous, puis spécifiez les paramètres de règle.
Le champ Appliqué à n'est pas affiché, car cette règle s'applique uniquement au routeur logique.
Pour supprimer une règle, sélectionnez-la, cliquez sur Supprimer dans la barre de menus ou cliquez sur l'icône du menu dans la première colonne et sélectionnez Supprimer.

Résultats

Note : Si vous ajoutez une règle de pare-feu à un routeur logique de niveau 0 et que le cluster NSX Edge sauvegardant le routeur est en cours d'exécution en mode actif-actif, le pare-feu peut uniquement s'exécuter en mode sans état. Si vous configurez la règle de pare-feu avec des services avec état tels qu'HTTP, SSL, TCP et ainsi de suite, la règle de pare-feu ne fonctionnera pas comme prévu. Pour éviter ce problème, configurez le cluster NSX Edge afin qu'il s'exécute en mode actif-en veille.