Les règles DFW peuvent être créées, mises à jour et supprimées à l'aide de l'interface utilisateur et de l'API.

Les administrateurs de sécurité doivent déterminer le temps de réalisation de toute opération de stratégie de sécurité. Le temps de réalisation est le temps nécessaire à la réalisation de la stratégie/règle de sécurité sur les nœuds de transport. Toute opération de création/mise à jour/suppression sur la stratégie/règle de sécurité est réalisée sur les nœuds de transport en fonction de l'endroit où les règles sont appliquées.

État de réalisation de la règle sur l'interface utilisateur

Vous pouvez voir l'état de réalisation de la règle pour les stratégies de pare-feu DFW et de passerelle en accédant à Sécurité > Pare-feu distribué ou SécuritéPare-feu de passerelle et en vérifiant l'état de réalisation de la règle signalée par les nœuds de transport.

Il existe quatre valeurs possibles pour l'état de réalisation de la règle :
  • Réussite
  • Erreur
  • En cours d'exécution
  • Inconnu

État de réalisation de la règle via les API

Si la règle a été créée et appliquée aux nœuds appropriés, l'état de réalisation peut être vérifié par les API de gestionnaire de stratégies suivantes.

NSX 4.1.1 comprend deux nouveaux champs :
  • publish_time : effectue le suivi de l'heure à laquelle l'état de publication est mis à jour. Chaque fois qu'une intention est mise à jour, le dispositif de suivi de l'état modifie l'état de publication une fois le transfert effectué vers les nœuds de transport. Cette opération étant basée sur un mécanisme d'interrogation, il ne s'agit pas de l'heure exacte à laquelle l'intention a été publiée sur le chemin d'accès aux données. La valeur -1 indique que la publication est toujours en cours ou que l'état d'exécution est INCONNU et indisponible. L'état d'exécution peut être INCONNU lorsqu'un ou plusieurs hôtes sont inactifs et que les règles n'ont pas pu être envoyées à ces hôtes. Une fois l'hôte actif, l'état d'exécution passe à RÉUSSITE, mais publish_time affiche la valeur du dernier temps de réalisation. Après cela, toute nouvelle modification de la configuration reflète la valeur appropriée de publish_time.
  • time_taken_for_realization : temps approximatif nécessaire pour la réalisation de l'intention vers le chemin d'accès aux données. Le temps réel nécessaire peut être inférieur à ce qui est rapporté ici. La valeur -1 indique que la publication est toujours en cours ou que l'état d'exécution est INCONNU et donc indisponible. L'état d'exécution peut être INCONNU lorsqu'un ou plusieurs hôtes sont inactifs et que les règles n'ont pas pu être envoyées à ces hôtes. Une fois l'hôte actif, l'état d'exécution passe à RÉUSSITE, mais le temps nécessaire à la réalisation affiche la valeur du dernier temps de réalisation. Après cela, toute nouvelle modification de la configuration reflétera la valeur appropriée de time_taken_for_realization.
Par exemple :
"publish_status": "REALIZED",
    "publish_time":  1668599137109, <====================== Newly added
    "time_taken_for_realization": 1563 <============ in milliseconds 
    "intent_version": "1"

Pour vérifier l'état de réalisation de toutes les entités créées dans le gestionnaire de stratégie, exécutez la commande : GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entitiesL'état réalisé de l'objet doit être « RÉALISÉ » et « runtime_status » doit être « RÉUSSI »

Par exemple, la requête pour vérifier l'état réalisé de <e2d4c010-96c8-11e9-8c0a-f7581ab92530> de la stratégie de sécurité au niveau du gestionnaire de stratégie est GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530.

{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",  
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}

Pour vérifier l'état général réalisé de la section de chaque règle dans une section de l'hyperviseur, exécutez la commande : GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>.

Il existe quatre valeurs possibles pour l'état consolidé :
  • Réussite
  • Erreur
  • En cours d'exécution
  • Inconnu
Tableau 1. État consolidé
État global du nœud de transport 1 État global du nœud de transport 2 État consolidé
ERREUR ERREUR ERREUR
ERREUR EN_COURS ERREUR
ERREUR INCONNU ERREUR
EN_COURS EN_COURS EN_COURS
EN_COURS INCONNU EN_COURS
RÉUSSITE RÉUSSITE RÉUSSITE
RÉUSSITE ERREUR ERREUR
RÉUSSITE EN_COURS EN_COURS
RÉUSSITE INCONNU INCONNU
INCONNU INCONNU INCONNU