VMware Engine met à niveau les clouds privés existants pour utiliser les composants VMware plus récents. Pour en savoir plus, consultez la section Annonces de service.

Tables de pare-feu

Une table de pare-feu répertorie les règles permettant de filtrer le trafic réseau vers et depuis des ressources de cloud privé. Vous pouvez appliquer des tables de pare-feu à un VLAN/sous-réseau. Les règles contrôlent le trafic réseau entre une adresse IP ou un réseau source, et entre une adresse IP ou un réseau de destination.

Règles de pare-feu

Le tableau suivant décrit les paramètres d'une règle de pare-feu.

Réglage Détails
Nom Nom identifiant de manière unique la règle de pare-feu et son objectif.
Priorité Nombre compris entre 100 et 4 096, 100 représentant la priorité la plus élevée. Les règles sont traitées par ordre de priorité. En cas de correspondance du trafic avec une règle, le traitement des règles s'arrête. Par conséquent, les règles de priorités inférieures ayant les mêmes attributs que les règles de priorités supérieures ne sont pas traitées. Veillez à éviter les règles conflictuelles.
Suivi de l'état Le suivi peut être sans état (cloud privé, Internet ou VPN) ou avec état (adresse IP publique).
Protocol (Protocole) Les options sont "Tout", "TCP" ou "UDP". Si vous avez besoin d'ICMP, utilisez la valeur "Tout".
Sens Indique si la règle s'applique au trafic entrant ou sortant.
Action Autorisez ou refusez le type de trafic défini dans la règle.
Source Une adresse IP, un bloc CIDR (Classless Inter-Domain Routing), par exemple 10.0.0.0/24, ou la valeur "Tout". La spécification d'une plage, d'un tag de service ou d'un groupe de sécurité d'application vous permet de créer moins de règles de sécurité.
Port source Port d'où provient le trafic réseau. Vous pouvez spécifier un seul port ou une plage de ports, tels que 443 ou 8000-8080. La spécification d'une plage vous permet de créer moins de règles de sécurité.
Destination Une adresse IP, un bloc CIDR (10.0.0.0/24, par exemple) ou la valeur "Tout". La spécification d'une plage, d'un tag de service ou d'un groupe de sécurité d'application vous permet de créer moins de règles de sécurité.
Port de destination Port de destination du trafic réseau. Vous pouvez spécifier un seul port ou une plage de ports, tels que 443 ou 8000-8080. Spécifier une plage vous permet de créer moins de règles de sécurité.

Règles sans état

Une règle sans état n'examine que les paquets individuels et les filtre en fonction de la règle. Utilisez des règles sans état pour le trafic entre les points suivants :

  • Sous-réseaux de clouds privés
  • Sous-réseau sur site et sous-réseau de cloud privé
  • Trafic Internet provenant des clouds privés

Règles avec état

Une règle avec état permet de suivre les connexions qui l'utilisent. Une règle avec état crée un enregistrement de flux pour les connexions existantes. La communication est autorisée ou refusée en fonction de l'état de connexion de l'enregistrement de flux. Utilisez ce type de règle pour les adresses IP publiques afin de filtrer le trafic provenant d'Internet.

Règles par défaut

Chaque table de pare-feu possède les règles par défaut décrites dans le tableau suivant :

Priorité Nom Suivi de l'état Direction Type de trafic Protocole Source Port source Destination Port de destination Action
65 000 allow-all-to-internet Avec état Sortant Adresse IP publique ou trafic Internet All Tout Tout Tout Tout Autoriser
65001 deny-all-from-internet Avec état Entrant Adresse IP publique ou trafic Internet All Tout Tout Tout Tout Refuser
65002 allow-all-to-intranet Sans état Sortant Cloud privé interne ou trafic VPN All Tout Tout Tout Tout Autoriser
65003 allow-all-from-intranet Sans état Entrant Cloud privé interne ou trafic VPN All Tout Tout Tout Tout Autoriser

Étape suivante