Le firewall logique (logical firewall) fournit des mécanismes de sécurité pour votre environnement virtualisé. Il se répartit en deux composants : Distributed Firewall et Edge Firewall.
Distributed Firewall
Le distributed firewall est utilisé pour le traffic Est-Ouest. C’est ce qu’on appelle un hypervisor kernel-embedded firewall. Autrement dit, le firewall distribué via un module sur tous les ESXi. Il est possible de créer des règles sur plusieurs objets du vCenter tel que les datacenters, les clusters, les ESxi, les VMs, etc. L’avantage du firewall distribué est qu’il est facile d’étendre ses propriétés à tout nouvel ESXi ajouté. C’est une architecture Scale-Out.
Ci-dessous la liste des objets vCenter sur lequel vous pouvez ajouter des règles :
- Cluster
- Datacenter
- Distributed port group
- IP set
- Legacy port group
- Logical switch
- Resource pool
- Security group
- vApp
- Virtual machine
- vNIC
- IP address (IPv4 or IPv6)
Edge Firewall
L’Edge Firewall est utilisé pour le traffic Nord-Sud. Il fournit des fonctionnalités telles que le firewall, Network Translation Address (NAT), VPN, etc.
Modifier et créer des règles Distributed Firewall
Dans un environnement multi tenant, le provider pourra définir les règles au niveau global. Pour travailler avec les règles de Distributed Firewall, depuis Networking & Security allez dans la partie Firewall :
Vous avez un onglet General et un onglet Ethernet. À ce niveau, vous voyez les règles par défaut du firewall distribué.
(Pour voir les règles par défaut des NSX Edge, il faut le faire depuis le niveau NSX Edge en double cliquant sur le NSX Edge dans la partie NSX Edge)
Comme vous pouvez le voir, les règles par défaut autorisent tout :
Au niveau couche 3
Au niveau de la couche 2 :
Avant de commencer les modifications, petite explication de chaque colonne et des options.
- La première colonne est le numéro de votre règle selon sa position.
- La colonne Name contient le nom de votre règle. Il faut, dans la mesure du possible, donner un nom qui soit parlant
- La colonne Source contient les objets sources (IP ou objets). L’option Negate Source peut être sélectionnée dans ce champ. Si vous le cochez, cela voudra dire que la règle s’appliquera à toutes les IP Source sauf celle(s) que vous avez mentionnez.
- La colonne Destination contient les objets destination (IP ou objets). L’option Negate Destination peut être sélectionnée dans ce champ. Si vous le cochez, cela voudra dire que la règle s’appliquera à toutes les IP Destination sauf celle(s) que vous avez mentionnez.
- La colonne Service permet de définir un type de service particulier autorisé, un port en particulier. Vous pouvez y mettre any également pour spécifier tous les services. Il existe une liste de service pré-définis.
- La colonne Action permet de choisir l’action à prendre pour le traffic :
- Allow pour autoriser
- Block pour bloquer
- Reject pour envoyer un message reject pour les packets non acceptés
- Log : Pour activer les logs
- Do not log pour ne pas logguer
- La colonne Applied To défini le scope sur lequel la règle est applicable.
- Pour appliquer la règle sur tous les clusters préparés de votre environnement choisir « Apply this rule on all clusters on which distribtuded switch Firewall is enabled ». Distributed Firewall sera affiché.
- Pour appliquer la règle sur tous les NSX Edge gateways de votre environnement choisir « Apply this rule on all Edge gateways » All Edges sera affiché.
Vous pouvez également rajouter les colonnes Rule ID, Log, Stats et Comments en cliquant sur le logo
L’ID est le numéro de la règle. Ce numéro est incrémenté dès lors qu’il y a une création de règle. Cliquez sur le logo pour voir le nombre de packets et la taille du trafic en lien avec la règle.
Dans les prochains articles, nous présenterons la modification de règles et l’ajout de règles Firewall.
NSX :
Partie 3 – Installer NSX Manager
Partie 4 – NSX : Mise en place du Control Plane / Control Cluster
Partie 5 – NSX : Déployer les modules VIB sur les ESXi
Partie 6 – NSX : Configurer les VXLAN
Partie 7 – NSX : Segment ID et Transport Zone
Partie 8 – NSX : Déployer les Logical Switches
Partie 9 – Présentation NSX Edge
Partie 10 – NSX : Installer un Logical Router
Partie 11 – Installer NSX Edge Service Gateway
Partie 12 – NSX : Présentation Logical Firewall
Partie 13 – NSX : Logical Firewall – Modification de règle par défaut
Partie 14 – NSX : Logical Firewall – Création d’une règle
Partie 15 – NSX : Présentation du Routage
Partie 16 – NSX : Routage Statique
Partie 17 – NSX : Routage Dynamique avec OSPF
Leave A Comment