---
title: "Gestion du pare-feu distribué dans NSX"
description: "Découvrez la gestion du pare-feu distribué au travers de la création d'une règle qui bloque le trafic entre une machine virtuelle et l'ensemble des machines virtuelles d'un autre segment"
url: https://docs.ovhcloud.com/fr/guides/hosted-private-cloud/powered-by-vmware/nsx-manage-distributed-firewall
lang: fr
lastUpdated: 2023-02-27
---
# Gestion du pare-feu distribué dans NSX

## Objectif

La fonctionnalité du pare-feu distribué dans NSX permet de faire du filtrage avec tous les éléments de votre cluster VMware qui sont sur des segments Overlay ou VLAN. Il doit être utilisé normalement sur les connexions est-ouest (ovh-T1-gw)  mais il fonctionne aussi avec des éléments du cluster VMware qui se trouvent connectés sur la passerelle nord-sud (ovh-T0-gw). Le filtrage s'applique à partir de la source (VM, segment, réseau, etc...).

Pour simplifier l'administration de NSX, il est possible de positionner des marqueurs (_tags_) sur vos éléments (segments, machines virtuelles, rôles, etc..) et de créer des groupes qui contiennent les objets associés aux marqueurs ou des plages d'adresses IP (cette solution n'est pas à privilégier).

**Découvrez la gestion du pare-feu distribué au travers de la création d'une règle qui bloque le trafic entre une machine virtuelle et l'ensemble des machines virtuelles d'un autre segment.**

:::warning
OVHcloud vous met à disposition des services dont la configuration, la gestion et la responsabilité vous incombent. Il vous appartient donc de ce fait d’en assurer le bon fonctionnement.

Ce guide a pour but de vous accompagner au mieux sur des tâches courantes. Néanmoins, nous vous recommandons de faire appel à un [prestataire spécialisé](https://partner.ovhcloud.com/fr/) si vous éprouvez des difficultés ou des doutes concernant l’administration, l’utilisation ou la mise en place d’un service sur un serveur.

:::

## Prérequis

- Être contact administrateur de l'infrastructure [VMware on OVHcloud](https://www.ovhcloud.com/fr/enterprise/products/hosted-private-cloud/), celui-ci recevant les identifiants de connexion.
- Avoir un identifiant utilisateur actif avec les droits spécifiques pour NSX (créé dans l'<ManagerLink to="/">espace client OVHcloud</ManagerLink>).
- Avoir **NSX** déployé avec deux segments configurés dans votre configuration NSX. Vous pouvez vous aider de notre guide sur la [gestion des segments dans NSX](/fr/guides/hosted-private-cloud/powered-by-vmware/nsx-segment-management.md).

## En pratique

Nous allons isoler les communications entre une machine virtuelle et l'ensemble des machines virtuelles d'un segment, de manière bi-directionnelle en effectuant ces opérations :

- Création de deux marqueurs (tags), un sur une machine virtuelle et l'autre sur un segment.
- Création de deux groupes associés, l'un contenant le premier marqueur et l'autre le second.
- Création d'une stratégie dans le pare-feu distribué qui contiendra deux règles :
  - Une règle qui interdira le trafic venant du premier groupe vers le second.
  - Une autre règle qui interdira le trafic venant du second groupe vers le premier.

### Création des marqueurs (tags)

Dans l'interface NSX, allez dans l'onglet `Networking
` et cliquez sur `Segments
` à gauche dans la rubrique **Connectivity**
.
Cliquez ensuite sur les `trois points verticaux
` à gauche du segment que vous voulez marquer et choisissez `Edit
` dans le menu.
![01 Create tag on segment 01](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/01-create-tag-on-segment01.png)
A droite de **Tags**
, saisissez `ovsegment
` à la place de tag et cliquez sur `Add Item(s) ovsegment
` en dessous de la zone de saisie.
![01 Create tag on segment 02](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/01-create-tag-on-segment02.png)
Saisissez `ov1
` à la place de **Scope**
 et cliquez sur `Add Item(s) ov1
` en dessous de la zone de saisie.
![01 Create tag on segment 02](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/01-create-tag-on-segment02.png)
Cliquez sur le signe `\+
` à gauche de votre marqueur.
![01 Create tag on segment 03](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/01-create-tag-on-segment03.png)
Le marqueur créé est affiché en bas à droite de **Tags**, vous pouvez en créer d'autres en fonction de vos besoins.

Cliquez sur `SAVE
`.
![01 Create tag on segment 04](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/01-create-tag-on-segment04.png)
Cliquez sur `CLOSE EDITING
` pour finaliser le balisage de votre segment.
![01 Create tag on segment 05](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/01-create-tag-on-segment04.png)
Allez sur l'onglet `Inventory
` et cliquez sur `Virtual Machines
` à gauche dans l'inventaire pour afficher la liste des machines virtuelles.
Cliquez ensuite sur les `trois points verticaux
` à gauche de la machine virtuelle que vous voulez marquer et choisissez `Edit
` dans le menu.
![02 Create tag on vm 01](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/02-create-tag-on-vm01.png)
Saisissez `vm
` à la place de **Tag**
 et cliquez sur `Add Item(s) vm
` en dessous de la zone de saisie.
![02 Create tag on vm 02](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/02-create-tag-on-vm02.png)
Saisissez `ov2
` à la place de **Scope**
 et cliquez sur `Add Item(s) ov2
` en dessous de la zone de saisie.
![02 Create tag on vm 03](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/02-create-tag-on-vm03.png)
Cliquez sur le signe `\+
` à gauche de votre marqueur.
![02 Create tag on vm 04](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/02-create-tag-on-vm04.png)
Le marqueur est créé, cliquez sur `SAVE
` pour enregistrer vos modifications.
![02 Create tag on vm 05](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/02-create-tag-on-vm05.png)
Restez dans l'inventaire et cliquez sur `Tags
` à gauche pour afficher la liste des marqueurs.
![03 Show tags 01](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/03-show-tags01.png)
### Ajout de groupes qui contiennent les marqueurs (tags)

Toujours dans l'inventaire, allez dans `Groups
` à gauche et cliquez sur `ADD GROUP
` pour créer un groupe.
![04 Create Group With tag on segment 01](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/04-create-group-with-tag-on-segment01.png)
Saisissez `g-segment01
` en dessous de la colonne **Name**
 et cliquez sur `Set
` sous la colonne **Compute Members**
.
![04 Create Group With tag on segment 02](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/04-create-group-with-tag-on-segment02.png)
Laissez `Generic
` sélectionné et cliquez sur `\+ ADD CRITERION
`.
![04 Create Group With tag on segment 03](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/04-create-group-with-tag-on-segment03.png)
Choisissez ces paramètres :

- **Type** : `NSX Segment`.
- **Tags** : Equals `ovsegment`.
- **Scope**: Equals `ov1`.

Cliquez sur `APPLY
`.
![04 Create Group With tag on segment 04](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/04-create-group-with-tag-on-segment04.png)
Cliquez sur `SAVE
`.
![04 Create Group With tag on segment 05](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/04-create-group-with-tag-on-segment05.png)
Le groupe est créé, cliquez sur le bouton `View Members
` se trouvant sur la ligne de votre groupe pour en afficher la liste des membres.
![04 Create Group With tag on segment 06](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/04-create-group-with-tag-on-segment06.png)
Cliquez sur `IP Addresses
` pour afficher les adresses IP qui sont utilisées sur votre segment et qui ont été automatiquement ajoutées à votre groupe.
![04 Create Group With tag on segment 07](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/04-create-group-with-tag-on-segment07.png)
Cliquez sur `NSX Segments
` pour afficher le segment membre de ce groupe automatiquement rajouté à partir des critères. Vous pouvez cliquer sur `CLOSE
` pour fermer cette fenêtre.
![04 Create Group With tag on segment 08](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/04-create-group-with-tag-on-segment08.png)
Cliquez sur `ADD GROUP
` pour créer un deuxième groupe.
![05 Create Group With tag on VM 01](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/05-create-group-with-tag-on-vm01.png)
Saisissez `g-vm
` en dessous de la colonne **Name**
 et cliquez sur `Set
` sous la colonne **Compute Members**
.
![05 Create Group With tag on VM 02](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/05-create-group-with-tag-on-vm02.png)
Laissez `Generic
` sélectionné et cliquez sur `\+ ADD CRITERION
`.
![05 Create Group With tag on VM 03](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/05-create-group-with-tag-on-vm03.png)
Choisissez ces paramètres :

- **Type** : `Virtual Machine`.
- **Tags** : Equals `vm`.
- **Scope**: Equals `ov2`.

Cliquez sur `APPLY
`.
![05 Create Group With tag on VM 04](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/05-create-group-with-tag-on-vm04.png)
Cliquez sur `SAVE
`.
![05 Create Group With tag on VM 05](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/05-create-group-with-tag-on-vm05.png)
Cliquez sur `View Members
` sur la ligne de votre groupe pour en afficher les membres.
![05 Create Group With tag on VM 06](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/05-create-group-with-tag-on-vm06.png)
Dans la rubrique **Virtual Machines**, vous voyez la machine virtuelle balisée qui a été automatiquement ajoutée.

Cliquez sur `CLOSE
` pour fermer cette fenêtre.
![05 Create Group With tag on VM 07](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/05-create-group-with-tag-on-vm07.png)
### Mise en place d'une règle de pare-feu distribué

Nous allons maintenant créer, sur le pare-feu distribué, une règle de blocage bidirectionnel entre les deux groupes créés.

Allez sur l'onglet `Security
`, sélectionnez `Distributed Firewall
` et cliquez sur `\+ ADD POLICY
`.
![06 Create distributed firewall rules 01](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules01.png)
Nommez votre stratégie `Isolate vm and segment
`.
![06 Create distributed firewall rules 02](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules02.png)
Cliquez sur les `trois points verticaux
` à gauche de votre stratégie et choisissez `Add Rule
` dans le menu.
![06 Create distributed firewall rules 03](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules03.png)
Cliquez sur l'icône en forme de `stylo
` à droite de **Any**
 dans la colonne **Sources**
.
![06 Create distributed firewall rules 04](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules04.png)
Restez sur l'onglet `groups
`, cochez le groupe `g-segment01
` et cliquez sur `APPLY
`
![06 Create distributed firewall rules 05](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules05.png)
Cliquez sur l'icône en forme de `stylo
` à droite de **Any**
 dans la colonne **Destinations**
.
![06 Create distributed firewall rules 06](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules06.png)
Cochez le groupe `g-vm
` et cliquez sur `APPLY
`.
![06 Create distributed firewall rules 07](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules07.png)
Choisissez `Drop
` pour supprimer les paquets sur cette règle et cliquez sur les `trois points verticaux
` à gauche de votre stratégie.
![06 Create distributed firewall rules 08](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules08.png)
Cliquez sur `Add Rule
` dans le menu.
![06 Create distributed firewall rules 09](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules09.png)
Cliquez sur l'icône en forme de `stylo
` à droite de **Any**
 dans la colonne **Sources**
.
![06 Create distributed firewall rules 10](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules10.png)
Cochez le groupe `g-vm
` et cliquez sur `APPLY
`
![06 Create distributed firewall rules 11](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules11.png)
Cliquez sur l'icône en forme de `stylo
` à droite de **Any**
 dans la colonne **Destinations**
.
![06 Create distributed firewall rules 12](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules12.png)
Cochez le groupe `g-segment01
` et cliquez sur `APPLY
`.
![06 Create distributed firewall rules 13](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules13.png)
Choisissez `Drop
` pour supprimer les paquets sur cette règle et cliquez sur `PUBLISH
` pour valider la création de la stratégie et de ses deux règles associées.
![06 Create distributed firewall rules 14](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules14.png)
Votre règle est active, le trafic n'est plus possible dans les deux sens entre la machine virtuelle membre du groupe g-vm et le segment membre du group g-segment.

![06 Create distributed firewall rules 14](/images/hosted-private-cloud/powered-by-vmware/nsx-05-manage-distributed-firewall/06-create-distributed-firewall-rules14.png)
## Aller plus loin

[Premiers pas avec NSX](/fr/guides/hosted-private-cloud/powered-by-vmware/nsx-first-steps.md)

[Gestion des segments dans NSX](/fr/guides/hosted-private-cloud/powered-by-vmware/nsx-segment-management.md)

[Documentation VMware sur le pare-feu distribué dans NSX](https://docs.vmware.com/fr/VMware-NSX-T-Data-Center/3.2/administration/GUID-6AB240DB-949C-4E95-A9A7-4AC6EF5E3036.html)

Si vous avez besoin d'une formation ou d'une assistance technique pour la mise en oeuvre de nos solutions, contactez votre commercial ou cliquez sur [ce lien](https://www.ovhcloud.com/fr/professional-services/) pour obtenir un devis et demander une analyse personnalisée de votre projet à nos experts de l’équipe Professional Services.

Échangez avec notre [communauté d’utilisateurs](https://community.ovhcloud.com/).