Comment configurer la passerelle Edge (Règles du pare-feu et règles « NAT » ou Traduction d'adresse réseau) dans Performance Cloud VMware (NSX-T)
TABLE DES MATIÈRES
- Prérequis
- Notes Importantes
- Définitions
- Localiser l'adresse IP externe de la passerelle Edge
- Définir des applications personnalisées
- Configurer une règle NAT source (SNAT)
- Configurer une règle de pare-feu pour SNAT
- Créer une règle NAT de destination (DNAT)
- Configurer la règle de pare-feu pour DNAT
- Scénario multi-réseaux
- Filtrage en sortie
Prérequis
- Afin de configurer les règles de pare-feu, des ensembles d'adresses IP sont requis. Si vous n'avez pas encore créé vos ensembles d'adresses IP, veuillez suivre cet article pour les directives.
- Afin de suivre ce guide, nous assumons que les réseaux virtuels requis sont déjà en place. Si ce n'est pas encore le cas, veuillez suivre cet article pour créer les réseaux virtuels requis.
Notes Importantes
- Si plusieurs adresses IP publiques sont requises dans votre centre de données virtuel, veuillez contacter notre équipe d'assistance. Des frais supplémentaires peuvent s'appliquer.
- Les applications avec plus d'un (1) port ne peuvent pas être utilisées pour la configuration « NAT ». Cependant, ces applications peuvent être utilisées pour les règles de pare-feu.
- Soyez prudent lorsque vous configurez les règles de destination (DNAT) avec « TOUS » (ANY) pour le port source. Cette configuration est utilisée pour une traduction un pour un (1:1) d'une (1) adresse IP publique vers une (1) adresse IP interne. Sans une adresse IP publique dédiée, cette configuration DNAT peut être en conflit avec votre configuration VPN site à site.
Définitions
CIDR ou « Classless InterDomain Routing » est la façon simplifiée pour décrire un réseau et son masque de sous-réseau avec sa valeur binaire. Exemple : le réseau 192.168.1.0 avec le masque de sous-réseau 255.255.255.0 est, en notation CIDR, 192.168.1.0/24
Pour faciliter la lecture et pour faire correspondre les captures d’écran, l’acronyme anglais « NAT » pour « Network Address Translation » est utilisé au lieu de la traduction française « Traduction d'Adresse Réseau ».
Qu’est-ce qu’une passerelle Edge?
Une passerelle Edge connecte un réseau acheminé de centre de données virtuel d’organisation à des réseaux externes. Cela fournit des services comme l’équilibrage des charges, la traduction d’adresses réseau ou « NAT », les réseaux virtuels privés ou « VPN » et le pare-feu.
Localiser l'adresse IP externe de la passerelle Edge
- Connectez-vous au portail Performance Cloud VMware à l'aide de vos informations d'identification.
- Sélectionnez votre centre de données virtuel.
- Sous la section Mise en réseau, cliquez sur Dispositifs Edge. Ensuite, cliquez sur votre passerelle Edge.
- Cliquez sur Allocations d’adresses IP, puis localisez votre ou vos adresses IP allouées.
173.46.155.69 est l'adresse IP externe principale dans cet exemple.
Définir des applications personnalisées
Plus de quatre cents (400) applications sont intégrées dans les passerelles Edge.
Vous pouvez également créer des applications personnalisées. Utile pour créer des règles de pare-feu avec des ports personnalisés.
- Toujours dans les paramètres de votre Passerelle Edge, allez dans la section nommée « Profils de port d’application » et cliquez sur NOUVEAU.
- Saisissez le nom et la description de l'application.
Sélectionnez le protocole et entrez le(s) port(s) requis.
Ensuite, cliquez sur ENREGISTRER.
Configurer une règle NAT source (SNAT)
Pour traduire l'adresse IP source d'une adresse IP privée en une adresse IP publique, créez une règle NAT source (SNAT). Exemple ci-dessous pour traduire un réseau privé en l’adresse IP WAN principale (en sortie).
- Sous la section Mise en réseau, cliquez sur Dispositifs Edge. Cliquez ensuite sur votre Passerelle Edge.
- Allez dans la section NAT et cliquez sur NOUVEAU.
- Configurez une nouvelle règle SNAT comme suit :
- Saisissez le nom de la règle
- Facultatif – Entrez une description.
- Changer le type d'interface pour SNAT
- Saisissez l'une des adresses IP externes disponibles dans le champ IP externe.
- Entrez l'adresse IP interne ou la plage souhaitée pour la règle SNAT.
- Ouvrez la section Paramètres avancés:
- Assurez-vous que la règle est activée
Ensuite, cliquez sur ENREGISTRER.
- La nouvelle règle SNAT devrait ressembler à ceci :
Configurer une règle de pare-feu pour SNAT
- Allez dans la section Pare-feu et cliquez sur MODIFIER LES RÈGLES
- Dans la nouvelle fenêtre, cliquez sur NOUVEAU EN HAUT
- Modifiez les champs de la nouvelle règle de pare-feu comme suit :
- Nom: Nommez la règle de pare-feu (Exemple: PERMETTRE-TRAFFIC-SORTANT)
- Source: Cliquez sur le crayon pour sélectionner la source pour cette règle de pare-feu. Ensuite, cliquez sur CONSERVER.
Dans cet exemple, l'ensemble d’adresses IP nommé PROD est sélectionné. - Destination: Cliquez sur le crayon pour sélectionner la destination pour cette règle de pare-feu. Ensuite, cliquez sur CONSERVER.
Dans cet exemple, la valeur « N’importe quelle destination » est choisie pour autoriser tout le trafic sortant.
- Action : Choisissez entre Autoriser ou Annuler
- Nom: Nommez la règle de pare-feu (Exemple: PERMETTRE-TRAFFIC-SORTANT)
Ensuite, cliquez sur ENREGISTRER.
4. La nouvelle règle de pare-feu devrait ressembler à ceci :
- Testez Internet depuis à partir d’une machine virtuelle avec la commande « ping ».
Créer une règle NAT de destination (DNAT)
Pour traduire l'adresse IP de destination d'une adresse IP publique en une adresse IP privée, créez une règle NAT de destination (DNAT). Dans l'exemple ci-dessous, nous allons ouvrir un port personnalisé pour une seule adresse IP publique pour accéder à une machine virtuelle via une connexion de bureau à distance.
- Sous la section Mise en réseau, cliquez sur Dispositifs Edge. Cliquez ensuite sur votre Passerelle Edge.
- Allez dans la section NAT et cliquez sur NOUVEAU.
- Configurez une nouvelle règle DNAT comme suit :
- Entrez le nom de la nouvelle règle
- Facultatif – Entrez une description.
- Changez le type d'interface pour DNAT
- Entrez l'une des adresses IP externes disponibles pour le champ IP externe.
- Entrez le port externe pour cette règle DNAT
- Entrez l'adresse IP interne pour cette règle DNAT
- Sélectionnez l'application (port local)
- Ouvrez la section Paramètres avancés :
- Assurez-vous que la règle est activée
Ensuite, cliquez sur ENREGISTRER
- La nouvelle règle DNAT devrait ressembler à ceci :
Configurer la règle de pare-feu pour DNAT
- Allez dans la section Pare-feu et cliquez sur MODIFIER LES RÈGLES
- Dans la nouvelle fenêtre, cliquez sur NOUVEAU EN HAUT
- Modifiez les champs de la nouvelle règle de pare-feu comme suit :
- Nom: Nommez la règle de pare-feu (Exemple: RDP-SERVEUR01)
- Applications: Cliquez sur le crayon pour sélectionner la ou les applications pour cette règle de pare-feu. Ensuite, cliquez sur ENREGISTRER.
Dans cet exemple, les deux applications RDP ont été choisies (celle personnalisée et celle par défaut)
Note : un filtre a été défini pour n'afficher que les applications nommées "RDP".
- Source: Cliquez sur le crayon pour sélectionner la source pour cette règle de pare-feu. Ensuite, cliquez sur CONSERVER.
Dans cet exemple, l'ensemble d’adresses IP nommé BUREAUX DISTANTS est sélectionné.
Notes: Dans la mesure du possible, nous vous déconseillons de configurer « N'importe quelle source » pour des raisons de sécurité et de performances.
- Destination: Cliquez sur le crayon pour sélectionner la destination pour cette règle de pare-feu. Ensuite, cliquez sur CONSERVER.
Dans cet exemple, l'ensemble d’adresses IP nommé Serveur01 est sélectionné.
- Action : Choisissez entre Autoriser ou Annuler
Ensuite, cliquez sur ENREGISTRER.
- La nouvelle règle de pare-feu devrait ressembler à ceci :
- Testez les nouvelles règles.
Dans cet exemple, nous pouvons maintenant initier une connexion de bureau à distance à partir du bureau ayant l'adresse IP autorisée.
Scénario multi-réseaux
Pour un environnement plus robuste, nous suggérons d’implanter la segmentation et la ségrégation du réseau. L'objectif est d'isoler et de restreindre l'accès aux informations sensibles.
Dans l'exemple ci-dessous, nous avons un serveur de base de données sur un réseau dédié. Tous les ports sont fermés à partir du serveur Web à l'exception du port SQL qui est permis. Cette configuration réduit la surface d’attaque pour le serveur de base de données.
Voici la configuration de pare-feu et NAT nécessaire pour réaliser ce scénario :
Veuillez noter que les règles de pare-feu sont appliquées dans l'ordre dans lequel elles existent dans le tableau des règles. Si nécessaire, les règles peuvent être déplacées dans le bon ordre sans avoir à les recréer.
Dans cet exemple, des règles "AUCUN SNAT" ont été créées pour empêcher la traduction des adresses IP internes entre les réseaux WEB et DB.
Filtrage en sortie
Pour un environnement plus robuste, nous suggérons également d'envisager la mise en place d'un filtrage des ports en sortie.
Vous pouvez envisager de bloquer les ports sortants connus pour être utilisés à des fins malveillantes.
Certains ports ou services n'ont généralement pas besoin d'être disponibles sur Internet et sont généralement réservés aux réseaux internes. Certains de ces services peuvent être associés à des vulnérabilités ou à des activités malveillantes.
La décision de bloquer ces ports ou services doit être prise en connaissance des exigences de votre réseau.
Exemple :