Une section de règles de pare-feu est modifiée et enregistrée indépendamment et est utilisée pour appliquer une configuration de pare-feu distincte aux locataires.

Conditions préalables

Vérifiez que le mode Gestionnaire est sélectionné dans l'interface utilisateur NSX Manager. Reportez-vous à la section NSX Manager. Si vous ne voyez pas les boutons Stratégie et Gestionnaire, reportez-vous à Configurer les paramètres de l'interface utilisateur.

Procédure

  1. Sélectionnez Sécurité > Pare-feu distribué.
  2. Cliquez sur l'onglet Général pour les règles de la couche 3 (L3) ou sur l'onglet Ethernet pour les règles de la couche 2 (L2).
  3. Cliquez sur une section ou une règle existante.
  4. Cliquez sur l'icône de section sur la barre de menus et sélectionnez Ajouter la section ci-dessus ou Ajouter la section ci-dessous.
    Note : Pour le trafic tentant de passer par le pare-feu, les informations sur le paquet sont soumises aux règles dans l'ordre indiqué dans le tableau Règles, en commençant par le haut jusqu'aux règles par défaut en bas. Dans certains cas, l'ordre de priorité de deux règles ou plus peut être important pour déterminer la disposition d'un paquet.
  5. Entrez le nom de la section.
    Note : Par défaut, les sections de règles de pare-feu (et leurs règles) sont configurées comme étant avec état. Dans un pare-feu avec état, un cache est créé et géré pour les flux de trafic qui correspondent à une règle de pare-feu dans laquelle l'action est AUTORISER. Une fois que le premier paquet d'un nouveau flux a été validé par rapport à l'ensemble de règles de pare-feu, les paquets réseau suivants appartenant à ce flux n'ont plus besoin d'être vérifiés. Cela entraîne une latence de flux inférieure et de meilleures performances globales du pare-feu sous des charges de trafic plus lourdes. Les pare-feu avec état sont également plus efficaces pour identifier le trafic réseau non autorisé ou falsifié.

    Pour certaines applications, un pare-feu sans état peut être requis. Dans un pare-feu sans état, chaque paquet d'un flux est validé par rapport à l'ensemble de règles. Aucun cache n'est conservé pour les flux sans état. Pour modifier une section de règles de pare-feu afin d'inclure uniquement des règles sans état, reportez-vous à l'étape 6, sinon passez à l'étape 7.

  6. (Facultatif) Pour rendre le pare-feu sans état, sélectionnez le bouton Activer le pare-feu sans état. Cette option est uniquement applicable à L3.
    Il n'y a pas de basculement entre le mode avec état et le mode sans état une fois qu'il est défini.
  7. Sélectionnez un ou plusieurs objets pour appliquer la section.
    Les types d'objet sont des ports logiques, des commutateurs logiques et des NSGroups. Si vous sélectionnez un NSGroup, il doit contenir un ou plusieurs commutateurs logiques ou ports logiques. Si le NSGroup contient uniquement les ensembles d'adresses IP ou les ensembles d'adresses MAC, il sera ignoré.
    Note : Si la section et les règles à l'intérieur sont définies sur NSGroup pour l'option Appliqué à, l'élément Appliqué à d'une section remplacera tous les paramètres Appliqué à dans les règles de cette section. Cela est dû au fait que le niveau de la section de pare-feu Appliqué à est prioritaire par rapport à Appliqué à au niveau de la règle.
  8. Cliquez sur OK.

Que faire ensuite

Ajoutez des règles de pare-feu à la section.