防火墙是一种网络安全设备,它监控入站和出站网络流量,并根据一组定义的安全规则确定是允许还是阻止特定的流量。SD-WAN Orchestrator 支持为配置文件和 Edge 配置无状态和有状态防火墙。
有关防火墙的更多信息,请参阅配置防火墙。
要使用新的 Orchestrator UI 配置防火墙,请执行以下操作:
- 在企业门户中,单击在窗口顶部提供的启动新 Orchestrator UI (Open New Orchestrator UI) 选项。
- 在弹出窗口中,单击启动新 Orchestrator UI (Launch New Orchestrator UI)。
- 该 UI 将在新选项卡中打开,其中显示了监控和配置选项。
- 在新的 UI 中,单击配置文件 (Profiles) 页面将显示现有的配置文件。 。
- 要配置一个配置文件,请单击指向该配置文件的链接,或者单击该配置文件的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示配置选项。
- 单击防火墙 (Firewall) 选项卡。
从配置文件 (Profiles) 页面中,您可以单击配置文件的防火墙 (Firewall) 列中的查看 (View) 链接以直接导航到防火墙 (Firewall) 页面。
- 防火墙 (Firewall) 选项卡显示以下内容:
- Edge 访问 (Edge Access) - 允许配置一个配置文件以进行 Edge 访问。您必须确保在防火墙设置下面为支持访问、控制台访问、USB 端口访问、SNMP 访问和本地 Web UI 访问选择相应的选项,以使 Edge 变得更安全。这会阻止任何恶意用户访问 Edge。默认情况下,由于安全原因,已停用支持访问、控制台访问、SNMP 访问和本地 Web UI 访问。有关更多信息,请参阅配置 Edge 访问。
- 防火墙状态 (Firewall Status) - 允许为与配置文件关联的所有 Edge 启用或禁用防火墙规则,以及配置防火墙设置和入站 ACL。
注: 您可以将 防火墙状态 (Firewall Status) 切换到“关闭”(OFF) 以停用配置文件的防火墙功能。
- Syslog 转发 (Syslog Forwarding) - 默认情况下,将为企业停用 syslog 转发功能。要将来自企业 SD-WAN Edge 的 SD-WAN Orchestrator 范围事件和防火墙日志收集到一个或多个集中式远程 syslog 收集器(服务器)中,企业用户必须在企业级别激活该功能。要在 SD-WAN Orchestrator 中为每个分段配置 syslog 收集器详细信息,请参阅为配置文件配置 syslog 设置。
注: 您可以在基于 IPv4 的 syslog 服务器中查看 IPv4 和 IPv6 防火墙日志记录详细信息。
- 防火墙规则 (Firewall Rules) - 显示现有的预定义防火墙规则。您可以单击 + 新建规则 (+ NEW RULE) 以创建新的防火墙规则。有关更多信息,请参阅使用新 Orchestrator UI 配置防火墙规则。要删除现有的防火墙规则,请选中这些规则前面的复选框,然后单击删除 (DELETE)。要复制防火墙规则,请选择该规则,然后单击克隆 (CLONE)。
- 有状态防火墙 (Stateful Firewall) - 默认情况下,将为企业激活有状态防火墙功能。要为企业停用有状态防火墙功能,请与具有超级用户权限的操作员联系。有关更多信息,请参阅配置有状态防火墙设置。
- 网络和泛洪保护 (Network & Flood Protection) - 为了保护企业网络中的所有连接尝试,VMware SD-WAN Orchestrator 允许您在配置文件和 Edge 级别配置网络和泛洪保护设置以防范各种类型的攻击。有关更多信息,请参阅配置网络和泛洪保护设置。
默认情况下,所有 Edge 从关联的配置文件中继承防火墙规则、有状态防火墙设置、网络和泛洪保护设置以及 Edge 访问配置。在
Edge 配置 (Edge Configuration) 对话框的
防火墙 (Firewall) 选项卡下面,您可以在
配置文件中的规则 (Rule From Profile) 区域中查看所有继承的防火墙规则。(可选)在 Edge 级别,您还可以按照以下步骤覆盖配置文件防火墙规则和 Edge 访问配置。
- 在新的 UI 中,单击 。
- 选择一个要覆盖继承的防火墙设置的 Edge,然后单击防火墙 (Firewall) 选项卡。
- 如果要修改 Edge 继承的配置文件规则和防火墙设置,请选中覆盖 (Override) 复选框。
注: 将在“Edge 覆盖”(Edge Overrides) 区域中显示覆盖规则。Edge 覆盖规则优先于 Edge 继承的配置文件规则。与任何配置文件防火墙规则相同的任何防火墙覆盖匹配值将覆盖该配置文件规则。
- 在 Edge 级别,您可以导航到其他设置 (Additional Settings) > 入站 ACL (Inbound ACLs) 以分别配置端口转发和 1:1 NAT IPv4 或 IPv6 规则。有关配置端口转发和 1:1 NAT 规则的详细信息,请参阅为 Edge 配置防火墙。
注: 在配置 IPv6 端口转发和 1:1 NAT 规则时,您只能输入全局或单播 IP 地址,而不能输入链路本地地址。