VMware 支持可作为 VNF 以将流量传输到 Edge 的第三方防火墙。

请选择第三方防火墙,然后相应地配置设置。您可能还需要在第三方防火墙中配置其他设置。有关其他配置,请参阅相应第三方防火墙的部署指南。

对于 VNF 类型 Check Point 防火墙 (Check Point Firewall)Fortinet 防火墙 (Fortinet Firewall),请使用 edge.vnf.extraImageInfos 系统属性配置 VNF 映像。您必须是操作员用户才能配置该系统属性。如果您没有操作员角色访问权限,请与您的操作员联系以配置 VNF 映像。

注: 您必须在该系统属性中提供正确的校验和值。Edge 计算下载的 VNF 映像的校验和,并将值与该系统属性中的可用值进行比较。只有在两个校验和值相同时,Edge 才会部署 VNF。

过程

  1. 在企业门户中,单击配置 (Configure) > 网络服务 (Network Services)
  2. 服务 (Services) 页面中,向下滚动到 VNF 部分,然后单击新建 (New)
  3. VNF 服务管理配置 (VNF Service Management Configuration) 窗口中,输入安全 VNF 服务的描述性名称,然后从下拉列表中选择一种 VNF 类型。
  4. 根据选定的 VNF 类型配置设置。
    1. 对于 VNF 类型 Palo Alto Networks 防火墙 (Palo Alto Networks Firewall),请配置以下设置:
      configure-vnf-dialog
      1. 主 Panorama IP 地址 (Primary Panorama IP Address) - 输入 Panorama 服务器的主 IP 地址。
      2. 辅助 Panorama IP 地址 (Secondary Panorama IP Address) - 输入 Panorama 服务器的辅助 IP 地址。
      3. Panorama 身份验证密钥 (Panorama Auth Key) - 输入在 Panorama 服务器上配置的身份验证密钥。VNF 使用身份验证密钥登录并与 Panorama 通信。
      4. 单击保存更改 (Save Changes)
      在将 Palo Alto Networks 配置为 VNF 类型后,请定义 VNF 许可证。这些许可证将应用于一个或多个 VNF 配置的 Edge。
      1. 服务 (Services) 页面中,向下滚动到 VNF 许可证 (VNF Licenses) 部分,然后单击新建 (New)
      2. VNF 许可证配置 (VNF License Configuration) 窗口中,配置以下设置:

        configure-vnfs-vnf-license-config-dialog-valid

        • 名称 (Name) - 输入 VNF 许可证的描述性名称。
        • VNF 类型 (VNF Type) - 从下拉列表中选择 VNF 类型。目前,Palo Alto Networks 防火墙 (Palo Alto Networks Firewall) 是唯一可用的选项。
        • 许可证服务器 API 密钥 (License Server API Key) - 输入您的 Palo Alto Networks 帐户中的许可证密钥。SD-WAN Orchestrator 使用该密钥与 Palo Alto Networks 许可证服务器进行通信。
        • 授权代码 (Auth Code) - 输入从 Palo Alto Networks 购买的授权代码。
        • 单击测试 (Test) 以验证配置。
      3. 单击保存更改 (Save Changes)
      在 Edge 上将 Palo Alto Networks 防火墙 (Palo Alto Networks Firewall) 配置为 VNF 类型时,您可以应用 VNF 许可证。
      注: 如果要从 VNF 类型移除 Palo Alto 网络防火墙 (Palo Alto Networks Firewall) 配置的部署,在移除配置之前,请确保已取消激活 Palo Alto 网络的 VNF 许可证 (VNF License)
    2. 对于 VNF 类型 Check Point 防火墙 (Check Point Firewall),请配置以下设置:
      1. 主 Check Point 管理服务器 IP (Primary Check Point Mgmt Server IP) - 输入将连接到 Check Point 防火墙的 Check Point 智能控制台 IP 地址。
      2. 用于访问管理服务器的 SIC 密钥 (SIC Key for Mgmt Server Access) - 输入用于在 Check Point 智能控制台中注册 VNF 的密码。
      3. 管理员密码 (Admin Password) - 输入管理员密码。
      4. VNF 映像位置 (VNF Image Location) - 输入 SD-WAN Orchestrator 从中下载 VNF 映像的映像位置。
      5. 映像版本 (Image Version) - 从下拉列表中选择一个 Check Point VNF 映像版本。映像版本来自于 edge.vnf.extraImageInfos 系统属性。
      6. 文件校验和类型 (File Checksum Type) - 指定用于验证 VNF 映像的方法,在选择映像版本后,将自动填充该字段。
      7. 文件校验和 (File Checksum) - 指定用于验证 VNF 映像的校验和,在选择映像版本后,将自动填充该字段。校验和值来自于 edge.vnf.extraImageInfos 系统属性。
      8. 下载类型 (Download Type) - 选择映像类型。对于 https,请输入用户名和密码。对于 s3,请输入 AccessKeyid 和 SecretAccessKey,然后选择区域。
      9. 单击保存更改 (Save Changes)
    3. 对于 VNF 类型 Fortinet 防火墙 (Fortinet Firewall),请配置以下设置:
      1. Fortinet 管理服务器 IP (Fortinet Mgmt Server IP) - 输入 FortiManager IP 地址以连接到 FortiGate。
      2. Fortimanager 序列号 (Fortimanager Serial Number) - 输入 FortiManager 的序列号。
      3. 注册密码 (Registration Password) - 输入用于在 FortiManager 中注册 VNF 的密码。
      4. VNF 映像位置 (VNF Image Location) - 输入 SD-WAN Orchestrator 从中下载 VNF 映像的映像位置。
      5. 映像版本 (Image Version) - 从下拉列表中选择一个 Fortinet VNF 映像版本。可以使用以下选项:6.4.0、6.2.4、6.0.5、6.2.0。映像版本来自于 edge.vnf.extraImageInfos 系统属性。
      6. 文件校验和类型 (File Checksum Type) - 指定用于验证 VNF 映像的方法,在选择映像版本后,将自动填充该字段。
      7. 文件校验和 (File Checksum) - 指定用于验证 VNF 映像的校验和,在选择映像版本后,将自动填充该字段。校验和值来自于 edge.vnf.extraImageInfos 系统属性。
      8. 下载类型 (Download Type) - 选择映像类型。对于 https,请输入用户名和密码。对于 s3,请输入 AccessKeyid 和 SecretAccessKey,然后选择区域。
      9. 单击保存更改 (Save Changes)

结果

VNF 部分显示创建的 VNF 服务。下图显示了 VNF 类型为“Check Point 防火墙”(Check Point Firewall) 的示例。

后续步骤

您可以为 Edge 配置安全 VNF,以通过 VNF 管理服务传输流量。请参阅: