Vous pouvez ajouter des règles de pare-feu à un routeur logique de niveau 0 ou de niveau 1 afin de contrôler la communication dans le routeur.

Edge Fire-Walling est implémenté sur des ports de routeur de liaison montante, ce qui signifie que les règles de pare-feu ne s'appliqueront que si le trafic atteint ces ports sur le dispositif Edge. Pour appliquer des règles de pare-feu à une destination IP particulière, vous devez configurer des groupes avec le réseau /32. Si vous fournissez un sous-réseau autre que /32, les règles de pare-feu seront appliquées au sous-réseau complet.

Conditions préalables

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Localisez le routeur dans Mise en réseau > Routeurs logiques de niveau 0 ou Mise en réseau > Routeurs logiques de niveau 1
  3. Cliquez sur le nom du routeur logique.
  4. Sélectionnez Services > Pare-feu Edge.
  5. Cliquez sur une section ou une règle existante.
  6. Pour ajouter une règle, cliquez sur Ajouter une règle dans la barre de menus et sélectionnez Ajouter la règle ci-dessus ou Ajouter la règle ci-dessous, ou cliquez sur l’icône du menu dans la première colonne d'une règle et sélectionnez Ajouter la règle ci-dessus ou Ajouter la règle ci-dessous, puis spécifiez les paramètres de règle.
    Le champ Appliqué à n'est pas affiché, car cette règle s'applique uniquement au routeur logique.
  7. Pour supprimer une règle, sélectionnez-la, cliquez sur Supprimer dans la barre de menus ou cliquez sur l'icône du menu dans la première colonne et sélectionnez Supprimer.

Résultats

Note : Si vous ajoutez une règle de pare-feu à un routeur logique de niveau 0 et que le cluster NSX Edge sauvegardant le routeur est en cours d'exécution en mode actif-actif, le pare-feu peut uniquement s'exécuter en mode sans état. Si vous configurez la règle de pare-feu avec des services avec état tels qu'HTTP, SSL, TCP et ainsi de suite, la règle de pare-feu ne fonctionnera pas comme prévu. Pour éviter ce problème, configurez le cluster NSX Edge afin qu'il s'exécute en mode actif-en veille.