Un pare-feu est un périphérique de sécurité réseau qui surveille le trafic réseau entrant et sortant et décide s'il faut autoriser ou bloquer un trafic spécifique en fonction d'un ensemble défini de règles de sécurité. SD-WAN Orchestrator prend en charge la configuration des pare-feu sans état et avec état pour les profils et les dispositifs Edge.

Pour plus d'informations sur le pare-feu, reportez-vous à la section Configurer le pare-feu.

Pour configurer le pare-feu à l'aide de la nouvelle interface utilisateur d'Orchestrator :
  1. Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.
  2. Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator UI) dans la fenêtre contextuelle.
  3. L'interface utilisateur s'ouvre dans un nouvel onglet affichant les options de surveillance et de configuration.
  4. Dans la nouvelle interface utilisateur, cliquez sur Configurer (Configure) > Profils (Profiles). La page Profils (Profiles) affiche les profils existants.
  5. Pour configurer un profil, cliquez sur le lien d'accès à un profil ou sur le lien Afficher (View) dans la colonne Périphérique (Device) du profil. Les options de configuration s'affichent dans l'onglet Périphérique (Device).
  6. Cliquez sur l'onglet Pare-feu (Firewall).

    À partir de la page Profils (Profiles), vous pouvez accéder directement à la page Pare-feu (Firewall) en cliquant sur le lien Afficher (View) dans la colonne Pare-feu (Firewall) du profil.

  7. L'onglet Pare-feu (Firewall) affiche les éléments suivants :
    • Accès au dispositif Edge (Edge Access) : permet de configurer un profil pour l'accès au dispositif Edge. Vous devez veiller à sélectionner l'option appropriée pour l'accès au support, l'accès à la console, l'accès au port USB, l'accès SNMP et l'accès à l'interface utilisateur Web locale dans les paramètres du pare-feu pour rendre le dispositif Edge plus sécurisé. Cela empêche tout utilisateur malveillant d'accéder au dispositif Edge. Par défaut, l'accès au support, l'accès à la console, l'accès SNMP et l'accès à l'interface utilisateur Web locale sont désactivés pour des raisons de sécurité. Pour plus d'informations, reportez-vous à la section Configuration de l'accès au dispositif Edge.
    • État du pare-feu (Firewall Status) : permet d'activer ou de désactiver les règles de pare-feu, de configurer les paramètres de pare-feu et les listes ACL liées à tous les dispositifs Edge associés au profil.
      Note : Vous pouvez désactiver la fonction de pare-feu pour les profils en définissant l'option État du pare-feu (Firewall Status) sur OFF.
    • Transfert Syslog (Syslog Forwarding) : par défaut, la fonctionnalité de transfert Syslog (Syslog Forwarding) est désactivée pour une entreprise. Pour collecter des événements liés à SD-WAN Orchestrator et des journaux de pare-feu provenant du dispositif SD-WAN Edge d'entreprise vers un ou plusieurs collecteurs Syslog distants centralisés (serveurs), un utilisateur d'entreprise doit activer cette fonctionnalité au niveau de l'entreprise. Pour configurer les détails des collecteurs Syslog par segment dans SD-WAN Orchestrator, reportez-vous à la section Configurer les paramètres Syslog pour les profils.
      Note : Vous pouvez afficher les détails de journalisation de pare-feu IPv4 et IPv6 dans un serveur Syslog basé sur IPv4.
    • Règles de pare-feu (Firewall Rules) : les règles de pare-feu prédéfinies existantes s'affichent. Vous pouvez cliquer sur + NOUVELLE RÈGLE (NEW RULE) pour créer une règle de pare-feu. Pour plus d'informations, reportez-vous à la section Configurer la règle de pare-feu avec la nouvelle interface utilisateur d'Orchestrator. Pour supprimer les règles de pare-feu existantes, cochez les cases qui les précèdent et cliquez sur SUPPRIMER (DELETE). Pour dupliquer une règle de pare-feu, sélectionnez la règle et cliquez sur CLONER (CLONE).
    • Pare-feu avec état (Stateful Firewall) : par défaut, la fonctionnalité Pare-feu avec état (Stateful Firewall) est activée pour une entreprise. Pour désactiver la fonctionnalité de pare-feu avec état pour une entreprise, contactez un opérateur disposant d'une autorisation de super utilisateur. Pour plus d'informations, reportez-vous à la section Configuration des paramètres de pare-feu avec état.
    • Protection du réseau et de Flood (Network & Flood Protection) : pour sécuriser toutes les tentatives de connexion dans un réseau d'entreprise, VMware SD-WAN Orchestrator permet de configurer les paramètres de protection de réseau et de Flood au niveau du profil et des dispositifs Edge afin de vous protéger contre les différents types d'attaques. Pour plus d'informations, reportez-vous à la section Configuration des paramètres de protection du réseau et de Flood.
Par défaut, tous les dispositifs Edge héritent des règles de pare-feu, des paramètres de pare-feu avec état, des paramètres de protection du réseau et de Flood et des configurations d'accès au dispositif Edge provenant du profil associé. Sous l'onglet Pare-feu (Firewall) de la boîte de dialogue Configuration du dispositif Edge (Edge Configuration), vous pouvez afficher toutes les règles de pare-feu héritées dans la zone Règle du profil (Rule From Profile). Au niveau du dispositif Edge, vous pouvez également remplacer les règles de pare-feu de profil et la configuration d'accès au dispositif Edge en procédant comme suit.
  1. Dans la nouvelle interface utilisateur, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sélectionnez un dispositif Edge pour lequel vous souhaitez remplacer les paramètres de pare-feu hérités, puis cliquez sur l'onglet Pare-feu (Firewall).
  3. Cochez la case Remplacer (Override) si vous souhaitez modifier les règles de profil héritées et les paramètres de pare-feu du dispositif Edge.
    Note : Les règles de remplacement s'affichent dans la zone Remplacements Edge (Edge Overrides). Les règles de remplacement Edge sont prioritaires sur les règles de profil héritées du dispositif Edge. Toute valeur de correspondance de remplacement de pare-feu identique à une règle de pare-feu de profil remplacera cette règle de profil.
  4. Au niveau du dispositif Edge, vous pouvez configurer les règles de transfert de port et NAT 1:1 IPv4 ou IPv6 individuellement en accédant à Paramètres supplémentaires (Additional Settings) > Listes ACL entrantes (Inbound ACLs). Pour obtenir des informations détaillées sur la configuration des règles de transfert de port et NAT 1:1, reportez-vous à la section Configurer le pare-feu pour les dispositifs Edge.
    Note : Lors de la configuration des règles de transfert de port IPv6 et NAT 1:1, vous pouvez entrer uniquement une adresse IP globale ou de monodiffusion, mais pas l'adresse locale de lien.