NSX utilise des règles de pare-feu pour spécifier le traitement du trafic vers et en dehors du réseau.
Le pare-feu offre plusieurs ensembles de règles configurables : règles de couche 3 (onglet Général) et règles de couche 2 (onglet Ethernet). Les règles de pare-feu de couche 2 sont traitées avant les règles de couche 3 et, si cela est autorisé dans les règles de couche 2, elles sont ensuite traitées par les règles de couche 3. Vous pouvez configurer une liste d'exclusion qui contient des commutateurs logiques, des ports logiques ou des groupes qui doivent être exclus de l'application du pare-feu.
Les règles de pare-feu s'appliquent comme suit :
- Les règles sont traitées de haut en bas.
- Chaque paquet est analysé en fonction de la règle définie sur la première ligne du tableau de règles. Les règles suivantes sont ensuite appliquées dans l'ordre descendant.
- La première règle de la table correspondant aux paramètres du trafic est appliquée.
Aucune règle suivante ne peut être appliquée, car la recherche est ensuite terminée pour ce paquet. En raison de ce comportement, il est toujours recommandé de placer les stratégies les plus granulaires en haut du tableau de règles. Ainsi, vous êtes assuré qu'elles seront appliquées avant des règles plus spécifiques.
Propriété | Description |
---|---|
Nom | Nom de la règle de pare-feu. |
ID | ID système unique généré pour chaque règle. |
Source | La source de la règle peut être une adresse IP ou MAC ou un objet autre qu'une adresse IP. La source correspondra à n'importe laquelle si elle n'est pas définie. Les protocoles IPv4 et IPv6 sont pris en charge pour la plage source ou de destination. |
Destination | Masque de réseau/adresse IP ou MAC de destination de la connexion concernée par la règle. La destination correspondra à n'importe laquelle si elle n'est pas définie. Les protocoles IPv4 et IPv6 sont pris en charge pour la plage source ou de destination. |
Service | Le service peut être une combinaison de protocoles de port prédéfinie pour L3. Pour L2, il peut être de type ether. Pour L2 et L3, vous pouvez définir manuellement un nouveau service ou groupe de services. Le service correspondra à n'importe lequel, s'il n'est pas spécifié. |
Appliqué à | Définit l'étendue à laquelle la règle s'applique. Si elle n'est pas définie, l'étendue sera tous les ports logiques. Si vous avez ajouté « Appliqué à » dans une section, elle remplacera la règle. |
Journal | La journalisation peut être désactivée ou activée. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur les hôtes ESXi. |
Action | L'action appliquée par la règle peut être Autoriser, Abandonner ou Refuser. La valeur par défaut est Autoriser. |
Protocole IP | Les options sont IPv4, IPv6 et IPv4_IPv6. La valeur par défaut est IPv4_IPv6. Pour accéder à cette propriété, cliquez sur l'icône Paramètres avancés. |
Direction | Les options sont In, Out et In/Out. La valeur par défaut est In/Out. Ce champ fait référence à la direction du trafic selon le point de vue de l'objet de destination. Entrant signifie que seul le trafic vers l'objet est vérifié, Sortant signifie que seul le trafic provenant de l'objet est vérifié et Entrant/Sortant signifie que le trafic dans les deux sens est vérifié. Pour accéder à cette propriété, cliquez sur l'icône Paramètres avancés. |
Balises de règle | Balises qui ont été ajoutées à la règle. Pour accéder à cette propriété, cliquez sur l'icône Paramètres avancés. |
Statistiques sur les flux | Champ en lecture seule qui affiche le nombre d'octets, le nombre de paquets et les sessions. Pour accéder à cette propriété, cliquez sur l'icône de graphique. |