您必须启用云安全性以建立从 Edge 到云安全服务站点的安全隧道。这样,就可以将安全流量重定向到第三方云安全站点。

开始之前:
  • 确保您具有访问权限以配置网络服务。
  • 确保 SD-WAN Orchestrator 具有 3.3.x 或更高版本。
  • 您应在第三方 CSS 中配置了云安全服务网关端点 IP 和 FQDN 凭据。
  1. 在企业门户中,单击配置 (Configure) > 配置文件 (Profiles)
  2. 单击一个配置文件旁边的设备图标,或者单击该配置文件的链接,然后单击设备 (Device) 选项卡。
  3. 云安全 (Cloud Security) 部分中,将拨盘从关闭 (Off) 位置切换到开启 (On) 位置。
  4. 配置以下设置:

    选项 描述
    云安全服务 (Cloud Security Service) 从下拉菜单中选择一种云安全服务。您也可以从下拉列表中单击新建云安全服务 (New Cloud Security Service) 以创建新的服务类型。
    隧道协议 (Tunneling Protocol) 该选项仅适用于 Zscaler 云安全服务。选择 IPsec 或 GRE。默认情况下,将选择 IPsec。
    哈希 (Hash) 从下拉列表中选择 SHA 1 或 SHA 256 以作为哈希函数。默认情况下,将选择 SHA 1。
    注: VMware 不支持 MD5,建议不要选择 MD5 以作为哈希函数。
    加密 (Encryption) 从下拉列表中选择 AES 128 或 AES 256 以作为加密算法。默认情况下,将选择“无”(None)。
    密钥交换协议 (Key Exchange Protocol)

    该选项不适用于 Symantec 云安全服务。

    选择 IKEv1 或 IKEv2 以作为密钥交换方法。默认情况下,将选择 IKEv2。
  5. 单击保存更改 (Save Changes)

在配置文件中启用云安全服务并配置设置时,该设置将自动应用于与配置文件关联的 Edge。如果需要,您可以覆盖特定 Edge 的配置。请参阅为 Edge 配置云安全服务

对于在 3.3.1 版之前创建的配置文件(启用并配置了云安全服务),您可以选择重定向流量,如下所示:

  • 仅将 Web 流量重定向到云安全服务
  • 将所有 Internet 流量重定向到云安全服务
  • 根据业务策略设置重定向流量 - 仅从 3.3.1 版开始提供该选项。如果选择该选项,则无法再使用其他两个选项。
注: 对于您为 3.3.1 或更高版本创建的新配置文件,默认情况下,将根据业务策略设置重定向流量。

您可以在业务策略中创建一个规则以将流量重定向到云安全服务。

  1. 在配置文件的业务策略 (Business Policy) 选项卡中,单击新建规则 (New Rule) 以创建新规则,或者从操作 (Actions) 下拉菜单中选择新建 (New) 以执行该操作。

    此时将显示配置规则 (Configure Rule) 对话框。

  2. 规则名称 (Rule Name) 输入唯一的名称。
  3. 操作 (Action) 区域中,单击 Internet 回传 (Internet Backhaul) 按钮,然后选择云安全服务 (Cloud Security Service)

  4. 单击确定 (OK)

    将在业务策略 (Business Policy) 屏幕中显示新规则。