Performance Cloud VMware – Comment configurer la passerelle Edge (Règles du pare-feu et règles « NAT » ou Traduction d'adresse réseau)


Notes

Pour vous assurer que votre passerelle Edge utilise la dernière version disponible, veuillez suivre cet article: https://helpdesk.sherweb.com/fr/support/solutions/articles/67000693568-performance-cloud-vmware-mise-%C3%A0-jour-de-la-passerelle-edge


Si plusieurs adresses IP publiques sont requises dans votre centre de données virtuel, veuillez contacter notre équipe d'assistance Cloud. Des frais supplémentaires peuvent s'appliquer.

Définitions

CIDR ou « Classless InterDomain Routing » est la façon simplifiée pour décrire un réseau et son masque de sous-réseau avec sa valeur binaire. Exemple : le réseau 192.168.1.0 avec le masque de sous-réseau 255.255.255.0 est, en notation CIDR, 192.168.1.0/24
 

Pour faciliter la lecture et pour faire correspondre les captures d’écran, l’acronyme anglais « NAT » pour « Network Address Translation » est utilisé au lieu de la traduction française « Traduction d'Adresse Réseau ».

Qu’est-ce qu’une passerelle Edge?

Une passerelle Edge connecte un réseau acheminé de centre de données virtuel d’organisation à des réseaux externes. Cela fournit des services comme l’équilibrage des charges, la traduction d’adresses réseau ou « NAT » et le pare-feu.

Localiser l'adresse IP externe de la passerelle Edge

  1. Connectez-vous au portail Performance Cloud VMware à l'aide de vos informations d'identification.
     
  2. Sélectionnez votre centre de données virtuel.


  3. Sous la section Mise en réseau, cliquez sur Dispositifs Edge. Ensuite, cliquez sur votre passerelle Edge.

     
  4. Cliquez sur Interfaces de la passerelle, puis localisez votre adresse IP externe principale.
    74.115.204.67 est l'adresse IP externe principale dans cet exemple.

Configurer une règle NAT source (SNAT)

Pour traduire l'adresse IP source d'une adresse IP privée en une adresse IP publique, créez une règle NAT source (SNAT). Exemple ci-dessous pour traduire un réseau privé en l’adresse IP WAN principale (en sortie).
 

  1. Sous la section Mise en réseau, cliquez sur Dispositifs Edge. Ensuite, sélectionnez votre passerelle Edge et cliquez sur SERVICES.
      

      
  2. Cliquez sur NAT. Ensuite, sous Règles NAT44, cliquez sur + RÈGLE SNAT.

     
  3. Configurez une nouvelle règle SNAT comme suit :
    • IP/plage source d'origine (10.0.1.0/24 dans cet exemple)
    • Cliquez sur SÉLECTIONNER pour choisir l'adresse IP publique souhaitée pour l'adresse IP/plage source traduite
    • Optionnel – Inscrire une description.
    • Assurez-vous que la règle est activée
      et cliquez sur CONSERVER



  4. La nouvelle règle SNAT devrait ressembler à ceci :


  5. Cliquez sur Enregistrer les modifications.


Configurer une règle de pare-feu pour SNAT

  1. Allez dans l'onglet Pare-feu, assurez-vous qu'il est activé et cliquez sur le bouton +.


  2. Une nouvelle règle de pare-feu apparaîtra.

     
  3. Modifiez les champs de la nouvelle règle de pare-feu comme suit :
    • Nom: Nommez la règle de pare-feu (Exemple: Accepter-S_10.0.1.0-D_Tous)

    • Source: Passez la souris sur le champ Source et cliquez sur IP pour entrer une adresse IP, un CIDR ou une plage d’adresses IP. Vous pouvez également cliquer sur le signe + pour sélectionner un objet comme des machines virtuelles, des interfaces de passerelle, des réseaux du VDC.



      Dans cet exemple, tout le réseau privé (10.0.1.0/24) est configuré.

    • Destination: Passez la souris sur le champ Destination et cliquez sur IP pour entrer une adresse IP, un CIDR ou une plage d’adresses IP. Vous pouvez également cliquer sur le signe + pour sélectionner un objet comme des machines virtuelles, des interfaces de passerelle, des réseaux du VDC.



      Dans cet exemple, la valeur Tous est conservée autorisant tout le trafic sortant.

    • Service: Passez la souris sur le champ Service et cliquez sur le bouton + pour choisir un protocole, un port source et un port de destination si nécessaire.

      Dans cet exemple, la valeur Tous est conservée autorisant tout le trafic sortant.

    • Action : Sélectionnez Accepter ou Refuser pour autoriser ou refuser le trafic qui correspond à la règle.
      Dans cet exemple, nous gardons la valeur Accepter.

  4. La nouvelle règle de pare-feu devrait ressembler à ceci :


  5. Cliquez sur Enregistrer les modifications.

     
  6. Testez Internet depuis à partir d’une machine virtuelle avec la commande « ping ».

Créer une règle NAT de destination (DNAT)

Pour traduire l'adresse IP de destination d'une adresse IP publique en une adresse IP privée, créez une règle NAT de destination (DNAT). Dans l'exemple ci-dessous, nous allons ouvrir un port personnalisé pour une seule adresse IP publique pour accéder à une machine virtuelle via une connexion de bureau à distance.
 

  1. Sous la section Mise en réseau, cliquez sur Dispositifs Edge. Ensuite, sélectionnez votre passerelle Edge et cliquez sur SERVICES.
     


  2. Cliquez sur NAT. Ensuite, sous Règles NAT44, cliquez sur + RÈGLE DNAT.

     
  3. Configurez une nouvelle règle DNAT comme suit :

    • Sélectionnez l'adresse IP d'origine ou la plage d'adresses IP sur laquelle appliquer cette règle. (Adresse IP publique de la passerelle Edge dans cet exemple)

    • Sélectionnez le protocole pour appliquer cette règle. Pour appliquer cette règle à tous les protocoles, sélectionnez Tous. (TCP dans cet exemple)

    • Saisissez le port d'origine auquel appliquer cette règle. (Port 7000 dans cet exemple)
       
    • Saisissez l'adresse IP ou la plage d'adresses IP traduites à partir des adresses d’origine. (L'adresse IP interne de la machine virtuelle dans cet exemple)
       
    • Saisissez le port traduit à partir du port d’origine. (3389 dans cet exemple)

    • Optionnel – Entrez une description.

      Assurez-vous que la règle est activée et cliquez sur CONSERVER.





  4. La nouvelle règle DNAT devrait ressembler à ceci :


  5. Cliquez sur Enregistrer les modifications.

Configurer la règle de pare-feu pour DNAT

  1. Allez dans l'onglet Pare-feu, assurez-vous qu'il est activé et cliquez sur le bouton +.


  2. Une nouvelle règle de pare-feu apparaîtra.

     
  3. Modifiez les champs de la nouvelle règle de pare-feu comme suit :

    • Nom : nommez votre règle de pare-feu (Exemple : Accepter-S_199.244.76.86-D_RDP7000)
       
    • Source : passez la souris sur le champ Source et cliquez sur IP pour entrer une adresse IP, un CIDR ou une plage d’adresses IP. Vous pouvez également cliquer sur le signe + pour sélectionner un objet comme des machines virtuelles, des interfaces de passerelle, des réseaux du VDC.



      Dans cet exemple, l'adresse IP publique d'un bureau distant est configurée (199.244.76.86) pour autoriser la règle à cet adresse IP uniquement.

      Remarque : Dans la mesure du possible, nous vous déconseillons de mettre « Tous » ici pour des raisons de sécurité et de performance.

    • Destination: Passez la souris sur le champ Destination et cliquez sur IP pour entrer une adresse IP, un CIDR ou une plage d’adresses IP. Vous pouvez également cliquer sur le signe + pour sélectionner un objet comme des machines virtuelles, des interfaces de passerelle, des réseaux du VDC.



      Dans cet exemple, l'adresse IP publique de la passerelle Edge est configurée (74.115.204.14).

    • Service: Passez la souris sur le champ Service et cliquez sur le bouton + pour choisir un protocole, un port source et un port de destination si nécessaire.

      Dans cet exemple, nous faisons correspondre le port d'origine et le protocole définis dans la règle DNAT.



    • Action : Sélectionnez Accepter ou Refuser pour autoriser ou refuser le trafic qui correspond à la règle.
      Dans cet exemple, nous gardons la valeur Accepter.

  4. La nouvelle règle de pare-feu devrait ressembler à ceci :


  5. Cliquez sur Enregistrer les modifications.

     

  6. Testez les nouvelles règles.

    Dans cet exemple, nous pouvons maintenant initier une connexion de bureau à distance à partir du bureau ayant l'adresse IP autorisée.

Scénario multi-réseaux

Pour un environnement plus robuste, nous suggérons d’implanter la segmentation et la ségrégation du réseau. L'objectif est d'isoler et de restreindre l'accès aux informations sensibles.

Dans l'exemple ci-dessous, nous avons un serveur de base de données sur un réseau dédié. Tous les ports sont fermés à partir du serveur Web à l'exception du port SQL qui est permis. Cette configuration réduit la surface d’attaque pour le serveur de base de données.


Voici la configuration de pare-feu et NAT nécessaire pour réaliser ce scénario :




Filtrage en sortie

Pour un environnement plus robuste, nous suggérons également d'envisager la mise en place d'un filtrage des ports en sortie.


Vous pouvez envisager de bloquer les ports sortants connus pour être utilisés à des fins malveillantes.

 

Certains ports ou services n'ont généralement pas besoin d'être disponibles sur Internet et sont généralement réservés aux réseaux internes. Certains de ces services peuvent être associés à des vulnérabilités ou à des activités malveillantes.

 

La décision de bloquer ces ports ou services doit être prise en connaissance des exigences de votre réseau.