Sommaire - Laboratoire express sur le pare-feu ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
HOL-2026-91-NET
Sommaire
HOL-2026-91-NET - Laboratoire express sur le pare-feu distribué VMware NSX-T ............ 2
Pare-feu distribué et outils - Introduction ................................................................ 3
Pare-feu distribué ................................................................................................... 6
Conclusion du laboratoire express ........................................................................ 30
Annexe - Instructions concernant le déroulement du laboratoire.......................... 31
HOL-2026-91-NET Page 1
HOL-2026-91-NET
HOL-2026-91-NET -
Laboratoire express sur le
pare-feu distribué
VMware NSX-T
HOL-2026-91-NET Page 2
HOL-2026-91-NET
Pare-feu distribué et outils -
Introduction
Bienvenue dans le laboratoire express sur le pare-feu distribué et les outils
NSX-T.
Nous avons créé des laboratoires express pour vous permettre de découvrir rapidement
les produits VMware. Dans ce module, vous apprendrez à configurer le pare-feu
distribué, la protection contre les usurpations d’identité (Spoof Guard) et à utiliser divers
outils dans NSX-T.
Responsables du laboratoire :
• Joe Collon, ingénieur système NSX, Amériques
• Kevin Moats, responsable technique de compte, Amériques
Vous pouvez télécharger ce manuel de laboratoire depuis le site des documents de
laboratoire d’essai en ligne accessible à l’adresse suivante :
http://docs.hol.vmware.com
Ce laboratoire peut être disponible dans d’autres langues. Le document suivant vous
aidera à définir vos préférences linguistiques et à déployer un manuel localisé pour
votre laboratoire :
http://docs.hol.vmware.com/announcements/nee-default-language.pdf
Le laboratoire complet VMware NSX-T : Démarrage (HOL-2026-01-NET) se compose des
modules suivants :
• Module 1 : Introduction à NSX-T
• Module 2 : Préparation des hôtes et commutation logique
• Module 3 : Routage logique
• Module 4 : DHCP et NAT
• Module 5 : Équilibrage de charge
• Module 6 : Pare-feu distribué et outils
Si vous suivez un laboratoire pour la première fois, consultez l’ pour profiter de
meilleures pratiques et conseils sur l’utilisation de la console de l’environnement de
laboratoire.
Pare-feu distribué et outils
Ce module a pour objectif de montrer le fonctionnement et la configuration du pare-feu
distribué (DFW) et des outils opérationnels dans NSX-T. Le pare-feu distribué dans NSX-
HOL-2026-91-NET Page 3
HOL-2026-91-NET
T 2.4 est installé par défaut avec une stratégie de connectivité de liste noire.
Autrement dit, tout le trafic est autorisé et la micro-segmentation est désactivée. Dans
ce module, nous allons exécuter les opérations suivantes :
• Vérification de la fonctionnalité d’une application à 3 niveaux lorsque la stratégie
de connectivité NSX-T est définie sur une stratégie de liste noire
• Remplacement de la stratégie de connectivité de liste noire par une stratégie de
liste blanche
• Vérification que notre application Web à 3 niveaux ne fonctionne plus et est
bloquée par la règle par défaut de refus global
• Activation des règles de pare-feu distribué préconfigurées pour l’application à
3 niveaux
• Vérification que notre application Web à 3 niveaux fonctionne de nouveau
• Étude du balisage et du regroupement NSX-T et recréation des règles
d’autorisations pour le pare-feu distribué
• Vérification que notre application Web à 3 niveaux fonctionne de nouveau
Diagramme logique HOL-2026
Ce diagramme illustre les machines virtuelles composant notre application Web à
3 niveaux à des fins de test.
HOL-2026-91-NET Page 4
HOL-2026-91-NET Ports de l’application Web à 3 niveaux Ce diagramme illustre la configuration requise pour les ports de notre application Web à 3 niveaux. HOL-2026-91-NET Page 5
HOL-2026-91-NET Pare-feu distribué Pare-feu distribué dans NSX-T Dans ce chapitre, nous allons vérifier et configurer le pare-feu distribué de NSX-T. Par défaut, la stratégie de connectivité NSX-T est de type « liste noire ». Autrement dit, tout le trafic est autorisé et des règles de pare-feu de liste noire ou de refus doivent être créées pour bloquer le trafic. Vérifions que notre application à 3 niveaux créée précédemment fonctionne comme prévu. Se connecter à une application Web à 3 niveaux 1. Double-cliquez sur l’icône Chrome présente sur le Bureau. 1. Cliquez sur le dossier 3 Tier App dans la barre des favoris. 2. Cliquez sur le raccourci Web-01a HOL-2026-91-NET Page 6
HOL-2026-91-NET
Vérifier la connectivité à Web-01a
1. Vérifiez que vous êtes bien connecté à Web-01a et que les données ont été
extraites du serveur d’application.
Remarque : n’hésitez pas à tester les raccourcis Web-02a et Web-03a pour vérifier qu’ils
fonctionnent également.
Maintenant que nous avons vérifié que notre application à 3 niveaux fonctionne,
remplaçons la stratégie de connectivité par une stratégie de liste blanche.
Se connecter à NSX-T Manager
HOL-2026-91-NET Page 7
HOL-2026-91-NET
1. Cliquez pour ouvrir un nouvel onglet.
2. Cliquez sur le raccourci NSX-T pour lancer la page de connexion.
1. Saisissez admin comme nom d’utilisateur et VMware1!VMware1! comme mot
de passe.
2. Cliquez sur LOG IN.
HOL-2026-91-NET Page 8
HOL-2026-91-NET
Accéder à la page de gestion du pare-feu distribué
1. Cliquez sur Security
2. Cliquez sur Distributed Firewall
3. Cliquez sur Blacklist
1. Cliquez sur le bouton radio en regard de Whitelist pour adopter cette stratégie
de connectivité.
2. Cliquez sur Save pour enregistrer la configuration
3. Maintenant que la stratégie de connectivité est définie sur Whitelist, des règles
d’autorisations explicites doivent être créées pour autoriser les communications
dans l’environnement. Vérifions que notre application à 3 niveaux est bloquée.
HOL-2026-91-NET Page 9
HOL-2026-91-NET Vérifier que l’application à 3 niveaux est bloquée 1. Revenez au premier onglet Chrome. 2. Cliquez sur le dossier 3 Tier App dans la barre des favoris. 3. Cliquez sur le raccourci Web-01a. 4. Vérifiez que l’application n’est plus accessible. Remarque : l’expiration du délai d’affichage de la page peut prendre jusqu’à 20 secondes. Vous pouvez aussi vérifier que web-02a et web-03a sont inaccessibles. Maintenant que nous savons que l’application est inaccessible, il convient d’activer les règles préconfigurées et de procéder de nouveau au test. HOL-2026-91-NET Page 10
HOL-2026-91-NET
Revenir à l’onglet de gestion NSX-T
1. Cliquez sur l’onglet de gestion NSX-T.
Découvrir les règles préconfigurées pour l’application à
3 niveaux
1. Vérifiez que vous êtes dans la section Application du pare-feu distribué.
2. Développez la section 3 tier app.
3. Vérifiez les règles préconfigurées requises pour que l’application à 3 niveaux
fonctionne.
HOL-2026-91-NET Page 11HOL-2026-91-NET
Activer les règles de pare-feu distribué préconfigurées
1. Activez chaque règle préconfigurée en cliquant sur le curseur d’activation/de
désactivation à droite de la règle.
2. Cliquez sur PUBLISH pour enregistrer les paramètres.
3. Maintenant que les règles d’autorisations sont activées, testons la connectivité
de l’application à 3 niveaux.
Tester la connectivité de l’application à 3 niveaux
HOL-2026-91-NET Page 12HOL-2026-91-NET 1. Revenez au premier onglet Chrome. 2. Cliquez sur le dossier 3 Tier App dans la barre des favoris. 3. Cliquez sur le raccourci Web-01a. 4. Vérifiez que l’application est à nouveau accessible. Nous venons d’activer le pare-feu distribué dans NSX-T et de montrer que les règles préconfigurées pour l’application à 3 niveaux fonctionnent comment prévu. Nous allons maintenant supprimer et reconfigurer les règles et groupes pour examiner de plus près leur configuration. Si vous souhaitez ignorer cette configuration, vous pouvez passer directement au module suivant. Supprimer la règle préconfigurée pour l’application à 3 niveaux 1. Revenez à l’onglet Chrome NSX-T. HOL-2026-91-NET Page 13
HOL-2026-91-NET 2. Cliquez sur les 3 points en regard de la règle 3 Tier App. 3. Cliquez sur Delete policy. Publier les modifications Accéder à l’écran Groups dans l’inventaire Supprimer les groupes préconfigurés HOL-2026-91-NET Page 14
HOL-2026-91-NET
1. Supprimez les groupes app_servers, db_servers et web_servers en procédant
comme suit pour chacun d’eux.
1. Cliquez sur les trois points.
2. Cliquez sur Delete.
3. Cliquez sur DELETE pour confirmer.
Faites de même pour les trois groupes (app_servers, db_servers et web_servers).
Actualiser l’écran
HOL-2026-91-NET Page 15HOL-2026-91-NET 1. Cliquez sur le bouton d’actualisation. 2. Vérifiez que les groupes ont bien été supprimés. Créer un groupe de serveurs Web 1. Cliquez sur Add Group. 2. Saisissez web_servers. 3. Cliquez sur Set Members. HOL-2026-91-NET Page 16
HOL-2026-91-NET Sélectionner des membres du groupe de serveurs Web 1. Cliquez sur Members. 2. Dans le menu déroulant, sélectionnez la catégorie VirtualMachine. 3. Faites défiler l’écran jusqu’au bas de la liste. 4. Cochez les cases des 4 serveurs web. 5. Cliquez sur APPLY. Remarque : c’est une façon parmi d’autres de créer un groupe de machines virtuelles. Les groupes supprimés précédemment utilisaient des balises au lieu de membres statiques. HOL-2026-91-NET Page 17
HOL-2026-91-NET 1. Cliquez sur SAVE pour enregistrer le groupe. Créer un groupe de serveurs d’application 1. Cliquez sur Add Group. 2. Saisissez app_servers. 3. Cliquez sur Set Members. HOL-2026-91-NET Page 18
HOL-2026-91-NET Sélectionner des membres du groupe de serveurs d’application 1. Cliquez sur Members. 2. Dans le menu déroulant, sélectionnez la catégorie VirtualMachine. 3. Cochez la case app-01a. 4. Cliquez sur APPLY. Remarque : c’est une façon parmi d’autres de créer un groupe de machines virtuelles. Les groupes supprimés précédemment utilisaient des balises au lieu de membres statiques. HOL-2026-91-NET Page 19
HOL-2026-91-NET 1. Cliquez sur SAVE pour enregistrer le groupe. Créer un groupe de serveurs de base de données 1. Cliquez sur Add Group. 2. Saisissez db_servers. 3. Cliquez sur Set Members. HOL-2026-91-NET Page 20
HOL-2026-91-NET Sélectionner des membres du groupe de serveurs de base de données 1. Cliquez sur Members. 2. Dans le menu déroulant, sélectionnez la catégorie VirtualMachine. 3. Cochez la case db-01a. 4. Cliquez sur APPLY. Remarque : c’est une façon parmi d’autres de créer un groupe de machines virtuelles. Les groupes supprimés précédemment utilisaient des balises au lieu de membres statiques. HOL-2026-91-NET Page 21
HOL-2026-91-NET
1. Cliquez sur SAVE pour enregistrer le groupe.
Vérifier que vos nouveaux groupes ont bien été créés
1. Vérifiez que vos trois groupes ont bien été créés.
2. Facultatif : vous pouvez cliquer sur le lien View Members de chaque groupe
pour vérifier que les VM correctes sont incluses.
HOL-2026-91-NET Page 22HOL-2026-91-NET Configuration requise pour les ports de l’application à 3 niveaux Pour rappel, voici la configuration requise pour les ports pour que l’application à 3 niveaux fonctionne. Passons ensuite à la section Distributed Firewall pour créer les règles. Accéder à la section de pare-feu distribué 1. Cliquez sur Security. 2. Cliquez sur Distributed Firewall. 3. Cliquez sur Application. HOL-2026-91-NET Page 23
HOL-2026-91-NET Créer une nouvelle règle de sécurité 1. Cliquez sur ADD POLICY. 2. Dans le champ de texte, saisissez 3 Tier App. Ajouter une règle d’accès client HOL-2026-91-NET Page 24
HOL-2026-91-NET 1. Cliquez sur les trois points en regard de la règle 3 Tier App. 2. Cliquez sur Add Rule. 1. Cliquez sur le champ de nom et nommez la règle Client Access. 2. Laissez le champ Source défini sur Any. 3. Cliquez sur l’icône de crayon sous Destinations. 1. Cochez la case en regard du groupe web_servers créé précédemment. 2. Cliquez sur APPLY pour enregistrer la destination. HOL-2026-91-NET Page 25
HOL-2026-91-NET 1. Cliquez sur l’icône de crayon sous Services. 1. Saisissez HTTPS dans la zone de recherche pour trouver le service HTTPS. 2. Cochez la case en regard du service HTTPS. 3. Cliquez sur APPLY. Vérifier et publier la règle d’accès client 1. Vérifiez que la règle Client Access est configurée comme suit : 2. Cliquez sur Publish. HOL-2026-91-NET Page 26
HOL-2026-91-NET
Paramètres de la règle d’accès client :
Nom : Client Access
Sources : Any
Destinations : web_servers
Services : HTTPS
Action : Allow
Créer une règle d’accès Web à application
1. Procédez de la même manière pour créer la règle d’accès Web à application
que pour créer la règle d’accès client.
2. Cliquez sur PUBLISH.
Paramètres de la règle d’accès Web à application :
Nom : Web to App Access
Sources : web_servers
Destinations : app_servers
Services : TCP_8443
Action : Allow
HOL-2026-91-NET Page 27HOL-2026-91-NET
Créer une règle d’accès Application à base de données
1. Procédez de la même manière pour créer la règle d’accès Application à base
de données que pour créer la règle d’accès client.
2. Cliquez sur PUBLISH.
Paramètres de la règle d’accès Application à base de données :
Nom : App to DB Access
Sources : app_servers
Destinations : db_servers
Services : HTTP
Action : Allow
HOL-2026-91-NET Page 28HOL-2026-91-NET Tester l’application à 3 niveaux 1. Revenez à l’onglet Chrome 3 Tier App. 2. Cliquez sur le dossier 3 Tier App dans la barre des favoris. 3. Cliquez sur le raccourci web-01a. 4. Vérifiez que l’application à 3 niveaux fonctionne correctement. Félicitations ! Vous avez terminé de configurer les règles de micro-segmentation pour une application à 3 niveaux. HOL-2026-91-NET Page 29
HOL-2026-91-NET
Conclusion du laboratoire express
Ce laboratoire vous a permis de découvrir le pare-feu distribué et les outils
qui peuvent être déployés et utilisés dans NSX-T.
Vous avez terminé le laboratoire express.
Félicitations ! Vous avez terminé le laboratoire express.
Le laboratoire complet VMware NSX-T : Démarrage (HOL-2026-01-NET) se compose des
modules ci-dessous.
Liste des modules du laboratoire :
• Module 1 : Introduction à NSX-T
• Module 2 : Préparation des hôtes et commutation logique
• Module 3 : Routage logique
• Module 4 : DHCP et NAT
• Module 5 : Équilibrage de charge
• Module 6 : Pare-feu distribué et outils
Comment terminer le laboratoire
Pour terminer votre laboratoire, cliquez sur le bouton END.
HOL-2026-91-NET Page 30HOL-2026-91-NET
Annexe - Instructions concernant le
déroulement du laboratoire
Emplacement de la console principale
1. La zone délimitée par un cadre ROUGE correspond à la console principale. Le
manuel de laboratoire apparaît dans le volet affiché sur la droite de la console
principale.
2. Des consoles supplémentaires peuvent être utilisées pour certains laboratoires.
Elles s’affichent alors dans des onglets distincts en haut à gauche. Vous pourrez,
au besoin, être invité à ouvrir une console supplémentaire spécifique.
3. Au début de votre laboratoire, le minuteur est réglé sur 90 minutes. Vous ne
pouvez pas sauvegarder le laboratoire. Vous devez effectuer toutes les tâches
durant la session de laboratoire. Vous avez toutefois la possibilité de cliquer sur
EXTEND pour obtenir un délai supplémentaire. Si vous effectuez ce laboratoire
dans le cadre d’un événement VMware, vous avez droit à deux prolongations,
pour un délai supplémentaire total de 30 minutes. Chaque clic vous donne droit
à 15 minutes supplémentaires. En dehors des événements VMware, vous pouvez
prolonger la durée du laboratoire jusqu’à 9 heures et 30 minutes. Chaque clic
vous donne droit à une heure supplémentaire.
HOL-2026-91-NET Page 31HOL-2026-91-NET
Méthodes alternatives à la saisie de données au clavier
Au cours de ce module, vous allez être invité à saisir du texte dans la console principale.
Outre la saisie directe au clavier, vous disposez de deux méthodes très utiles facilitant
l’entrée des données complexes.
Cliquer sur un élément de texte dans le manuel de
laboratoire pour le faire glisser dans la fenêtre de console
active
Vous pouvez également cliquer sur du texte et des commandes CLI (Command Line
Interface) directement à partir du manuel du laboratoire, pour les faire glisser dans la
fenêtre active de la console principale.
Accéder au clavier international en ligne
Vous pouvez également utiliser le clavier international en ligne proposé dans la console
principale.
1. Cliquez sur l’icône en forme de clavier dans la barre d’outils Lancement rapide de
Windows.
HOL-2026-91-NET Page 32HOL-2026-91-NET Cliquer une fois dans la fenêtre active de la console Cet exemple vous montre comment utiliser le clavier en ligne pour saisir le signe « @ » utilisé dans les adresses e-mail. Sur la disposition de clavier US, le signe « @ » correspond à la combinaison Maj-2. 1. Cliquez une fois dans la fenêtre de console active. 2. Cliquez sur la touche Maj. Cliquer sur la touche @ 1. Cliquez sur la touche « @ ». Vous remarquez que le signe @ a été saisi dans la fenêtre active de la console. HOL-2026-91-NET Page 33
HOL-2026-91-NET Invite ou filigrane d’activation Au moment de démarrer le laboratoire, vous remarquerez peut-être sur le bureau un filigrane indiquant que Windows n’est pas activé. L’un des principaux avantages de la virtualisation réside dans la possibilité de transférer et d’exécuter une machine virtuelle sur n’importe quelle plate-forme. Les laboratoires d’essai en ligne tirent parti de cette capacité, qui nous permet de les exécuter depuis différents Data Centers. Cependant, ces Data Centers ne sont pas tous dotés des mêmes processeurs, ce qui a pour effet de déclencher un contrôle d’activation Microsoft via Internet. Rassurez-vous, VMware et ses laboratoires d’essai en ligne sont en parfaite conformité avec les conditions de licence de Microsoft. Le laboratoire que vous suivez est un pod autonome qui ne dispose pas d’un accès complet à Internet, dont Windows a besoin pour vérifier l’activation. L’absence d’un accès complet à Internet provoque l’échec de ce processus automatisé, d’où l’apparition du filigrane. Ce problème superficiel est sans incidence sur votre laboratoire. Observer la partie inférieure droite de l’écran HOL-2026-91-NET Page 34
HOL-2026-91-NET Vérifiez que l’exécution de toutes les routines de démarrage est terminée et que le laboratoire est prêt à démarrer. Si l’état affiché est différent de « Ready », patientez quelques minutes. Si le laboratoire n’est toujours pas à l’état « Ready » au bout de 5 minutes, demandez de l’aide. Cliquez pour revenir à l’introduction sur VMware Cloud on AWS. HOL-2026-91-NET Page 35
HOL-2026-91-NET Conclusion Merci d’avoir participé aux laboratoires d’essai en ligne VMware. Visitez le site http://hol.vmware.com/ pour poursuivre ce laboratoire en ligne. SKU du laboratoire: HOL-2026-91-NET Version: 20191024-204358 HOL-2026-91-NET Page 36
Vous pouvez aussi lire
