Lorsqu'un projet NSX est réalisé correctement, le système crée des règles de pare-feu de passerelle et de pare-feu distribué par défaut pour régir le comportement par défaut du trafic nord-sud et du trafic est-ouest pour les charges de travail dans le projet NSX.

Présentation

Les règles de pare-feu d'un projet s'appliquent uniquement aux machines virtuelles du projet. C'est-à-dire les machines virtuelles connectées aux segments du projet. Les règles de pare-feu d'un projet n'affectent pas les charges de travail en dehors du projet.

Dans les sous-sections suivantes, le terme « licence de base » fait référence à l'une des deux licences suivantes :

  • Mise en réseau NSX pour VMware Cloud Foundation
  • Licence de solution pour VCF
Pare-feu distribué

La licence de base autorise le système à utiliser uniquement les fonctionnalités de mise en réseau NSX. Vous ne pouvez pas configurer la fonctionnalité de sécurité de pare-feu distribué. Pour ajouter ou modifier des règles de pare-feu distribué dans un projet NSX, vous devez appliquer une licence de sécurité appropriée dans le système.

Si aucune licence de sécurité n'est appliquée, les règles de pare-feu distribué par défaut créées par le système ne sont pas activées dans le projet. Les règles de pare-feu par défaut existent dans le projet, mais elles sont inactives dans le projet. Vous ne pouvez pas modifier les règles de pare-feu par défaut et vous ne pouvez pas non plus les activer dans le projet.

Pare-feu de passerelle

La licence de base autorise le système à ajouter ou à modifier uniquement des règles de pare-feu de passerelle sans état dans le projet. Pour ajouter ou modifier des règles de pare-feu de passerelle avec état et de pare-feu de passerelle sans état dans un projet, vous devez appliquer une licence de sécurité appropriée dans le système.

La stratégie de pare-feu de passerelle par défaut dans un projet est une stratégie avec état. Lorsqu'une licence de sécurité n'est pas appliquée dans le système, vous pouvez uniquement modifier l'action de règle de la règle de pare-feu de passerelle avec état. Aucune autre modification n'est autorisée dans la règle par défaut. Vous ne pouvez pas modifier l'état de la stratégie de pare-feu de passerelle par défaut de avec état à sans état.

Règles DFW par défaut dans un projet

La stratégie DFW (distributed firewall) par défaut s'affiche au bas de la liste des stratégies dans la catégorie Pare-feu de l'application. La stratégie par défaut définit le comportement des machines virtuelles dans le projet si aucune autre règle n'est rencontrée.

La convention de dénomination suivante est utilisée pour identifier la stratégie DFW par défaut dans un projet :

PROJECT-<Project_Name>-Default Layer 3 section

Project_Name est remplacé par la valeur réelle dans votre système.

Par exemple, la capture d'écran suivante montre les règles de stratégie DFW par défaut dans un projet.


Cette capture d'écran est décrite dans le texte qui s'y rapporte.

Comme indiqué dans cette capture d'écran, la stratégie par défaut est appliquée à DFW et contient les règles de pare-feu suivantes :

  • La règle 1002 autorise le trafic IPv6-ICMP.
  • La règle 1003 autorise la communication avec le client et le serveur DHCPv4.
  • La règle 1004 autorise la communication avec le client et le serveur DHCPv6. (Ajouté dans NSX 4.1.1)
  • La règle 1005 autorise la communication entre les VM de charge de travail dans le projet.
  • La règle 1006 annule toutes les autres communications qui ne correspondent à aucune des règles ci-dessus.

La stratégie DFW par défaut garantit que les machines virtuelles d'un projet peuvent uniquement atteindre les autres machines virtuelles du même projet, y compris le serveur DHCP. La communication avec les machines virtuelles en dehors du projet est bloquée. Les machines virtuelles connectées aux segments à l'intérieur du projet ne peuvent pas effectuer un test ping de leur passerelle par défaut. Si une telle communication est requise, vous devez ajouter de nouvelles règles ou modifier des règles existantes dans la stratégie DFW par défaut.

Règles DFW créées par l'utilisateur dans un projet

Les catégories de pare-feu DFW d'infrastructure, d'environnement et d'application sont prises en charge pour les projets de l'organisation. Dans chaque catégorie de pare-feu, les règles DFW sont appliquées dans l'ordre de priorité suivant :
  1. Règles DFW dans l'espace par défaut (priorité la plus élevée)
  2. Règles DFW dans le projet
  3. Règles de pare-feu E-O dans les VPC NSX dans le projet (priorité la plus faible)

Les règles DFW dans l'espace par défaut peuvent s'étendre à un projet.

Note : Les règles DFW dans l'espace par défaut s'appliquent à chaque machine virtuelle dans le déploiement NSX, y compris les machines virtuelles dans les projets. Cependant, vous pouvez limiter l'étendue des règles dans l'espace par défaut, en sélectionnant l'option Groupes dans le paramètre Appliqué à de l'interface utilisateur.

Par exemple, vous pouvez choisir d'appliquer les règles au groupe de projet par défaut (PROJECT-<Project_Name>-default). Le groupe par défaut du projet contient uniquement les machines virtuelles de charge de travail d'un projet.

Les règles DFW d'un projet peuvent accéder aux groupes suivants :
  • Groupes créés dans le projet.
  • Groupes qui sont partagés avec le projet.

Les groupes partagés avec les projets ne peuvent être utilisés que dans les champs Source ou Destination des règles de pare-feu et non dans le champ Appliqué à de ces règles.

Si des VPC NSX sont ajoutés à un projet, les groupes par défaut créés par le système dans les VPC NSX peuvent être utilisés dans les champs Source, Destination et Appliqué à des règles de pare-feu du projet. Cependant, les groupes créés par l'utilisateur dans les VPC NSX ne peuvent pas être utilisés dans les règles de pare-feu du projet.

Ajout d'une stratégie DFW dans un projet

Le workflow d'interface utilisateur pour l'ajout d'une stratégie DFW dans un projet reste identique à celui pour l'ajout de stratégies dans la vue Par défaut (espace par défaut) de votre déploiement NSX.

La seule différence est que dans l'interface utilisateur vous devez d'abord sélectionner un projet dans le menu déroulant sélecteur de projet de la barre d'application en haut, puis accéder à Sécurité > Pare-feu distribué pour ajouter des stratégies DFW dans le projet sélectionné.

Règle de pare-feu de passerelle par défaut dans un projet

La stratégie de pare-feu de passerelle par défaut d'un projet est une stratégie avec état, qui contient une règle de pare-feu unique, comme indiqué dans la capture d'écran suivante.


Cette image est décrite dans le texte qui s'y rapporte.

La règle par défaut autorise tout le trafic via le pare-feu de la passerelle de projet, par défaut. Vous pouvez modifier uniquement l'action de règle de cette règle par défaut. Tous les autres champs de cette règle ne sont pas modifiables.

Comme mentionné précédemment dans la section Présentation de cette documentation, la licence de base autorise le système à ajouter ou à modifier uniquement des règles de pare-feu de passerelle sans état dans un projet. Pour ajouter ou modifier des règles de pare-feu de passerelle avec état et de pare-feu de passerelle sans état dans un projet, vous devez appliquer une licence de sécurité appropriée dans le système.

Ajout d’une stratégie de pare-feu de passerelle par défaut dans un projet

Le workflow d'interface utilisateur pour l'ajout d'une stratégie de pare-feu de passerelle dans un projet reste identique à celui pour l'ajout de stratégies de pare-feu de passerelle dans la vue Par défaut (espace par défaut) de votre déploiement NSX.

La seule différence est que dans l'interface utilisateur vous devez d'abord sélectionner un projet dans le menu déroulant sélecteur de projet de la barre d'application en haut, puis accéder à Sécurité > Pare-feu de passerelle > Règles spécifiques à la passerelle pour ajouter des stratégies de pare-feu de passerelle dans la passerelle de niveau 1 du projet sélectionné.