Virtualisation VMware, NSX présentation (partie 5) – Le Firewall virtuel (Distributed Logical Firewall)

VMware partie 5, Le Firewall virtuel (Distributed Logical Firewall)
Selon le même mécanisme que pour le routeur virtuel, VMware a créé le firewall virtuel est un firewall distribué et pouvant être réparti sur plusieurs hôtes.

Le Firewall virtuel permet l’application de règles classiques de firewalling à chaque interface virtuelle de chaque VM connectées à son switch virtuel. Autant dire toutes les interfaces de communication des VMs. L’intérêt est qu’il n’est plus besoin de rassembler le trafic sur un seul équipement pour appliquer des règles, mais que cela peut se faire localement en entrée ou en sortie d’interface réseau virtuel.

Le firewall virtuel se situe dans le kernel de ESXi. Les règles de firewalling sont dans NSX, c’est ESXi qui compare les informations et les règles et élimine les paquets quand c’est nécessaire.

A noter que la mise en place classique d’un firewall global peut s’avérer nécessaire.

Nous avons vu que NSX Edge pouvait prendre en charge le firewalling des niveaux 3 et 4 de la couche OSI.
Pour les niveaux 5 et supérieur, il est nécessaire d’utiliser une solution tiers. Il est donc possible pour l’administrateur de rajouter des fonctionnalités de sécurité venant d’éditeurs comme Fortinet par exemple.

Pour faciliter la gestion, le firewall virtuel utilise des groupes, grâce au ‘Service Composer’. Ce ‘Service Composer’ repose sur des groupes d’objets ‘Security Group’ et sur des politiques de sécurité ‘Security Policy’.

Les ‘Security Group’ regroupent des objets définis par leur nom ou leur adresse MAC. Mais il est possible qu’un objet se voie attribuer dynamiquement à un groupe en fonction de règles.

Les ‘Security Policy’ peuvent être de trois types:

  • des règles de firewall
  • de l’analyse anti-virus
  • de la surveillance de trafic ou de l’IDS

Pour que les politiques de sécurité soient appliquées au trafic, il faut que les politiques ‘Security Policy’ soient appliquées à des éléments du trafic reconnus par les groupes ‘Security Group’.

  • LinkedIn
  • MySpace
  • Viadeo
  • Yahoo Bookmarks
  • Facebook
  • Ping
  • Twitter
  • Blogger Post
  • Windows Live Favorites
  • Jamespot
  • Technorati Favorites
  • Yoolink
  • Google Bookmarks
  • Share/Save/Bookmark
This entry was posted in Sécurité, Virtualisation and tagged , , , , , , , , , , , , . Bookmark the permalink.

Comments are closed.