为配置文件配置 Edge 访问时,您必须确保在防火墙设置下为支持访问、控制台访问、USB 端口访问、SNMP 访问和本地 Web UI 访问选择相应的选项,以使 Edge 变得更安全。这会阻止任何恶意用户访问 Edge。

默认情况下,由于安全原因,已停用支持访问、控制台访问、SNMP 访问和本地 Web UI 访问。

开机自检

在 5.1.0 版本中,在 SD-WAN Orchestrator 开机或重新引导后,将执行开机自检以验证软件作者并确保关键文件和代码未收到警示或损坏。该功能的用例包括通用条件要求和中高风险部署(财务、政府等)。
注: 默认情况下,将停用开机自检功能。(在控制台上显示一条警告消息,生成一个事件,然后继续执行开机自检。)
开机自检功能包括在 SD-WAN Orchestrator 开机或重新引导时进行的以下检查:
  • 软件完整性测试:在构建时确定关键系统文件并对其进行签名。将验证签名的完整性。此过程使用加密签名来验证真实性和完整性。
  • 加密模块的已知答案测试:加密模块(例如 Openssl)将运行已知答案测试,并验证这些测试是否全部通过。
  • 熵源测试:验证熵源的随机数生成功能。
注: 开机自检将指示通过/失败结果。只有在开机自检通过时,系统才会继续启动其余应用程序。如果开机自检失败,将显示错误消息以指示测试失败位置,并且系统引导过程将停止。

在开机和重新引导过程中,将对以下文件进行签名和验证:

  • Edge(其中的所有文件):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator 和 SD-WAN 网关
    注: 对于以下模块,完整性检查在 ENFORCED 模式下运行,并在无法验证这些模块时导致引导失败。
    • SD-WAN 网关 - 包名称存储在以下位置中:/opt/vc/etc/post/vcg_critical_packages.in
      • 网关关键模块
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator - 包名称存储在以下位置中:/opt/vc/etc/post/vco_critical_packages.in
      • SD-WAN Orchestrator 关键模块:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

过程

要为配置文件配置 Edge 访问,请执行以下步骤:

过程

  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles) > 防火墙 (Firewall)。将显示防火墙 (Firewall) 页面。

  2. Edge 访问 (Edge Access) 区域下面,您可以使用以下选项配置设备访问:
    字段 描述
    支持访问 (Support Access)

    如果要明确指定可通过 SSH 从中访问该 Edge 的 IP 地址,请选择允许以下 IP (Allow the following IPs)。您可以输入以逗号 (,) 分隔的 IPv4 和 IPv6 地址。

    默认情况下,将选择全部拒绝 (Deny All)

    控制台访问 (Console Access) 选择允许 (Allow) 以激活通过物理控制台(串行端口或视频图形阵列 (Video Graphics Array, VGA) 端口)的 Edge 访问。默认情况下,将选择拒绝 (Deny),并在 Edge 激活后停用控制台登录。
    注: 每次将控制台访问设置从 允许 (Allow) 更改为 拒绝 (Deny) 或相反时,必须手动重新引导 Edge。
    强制开机自检 如果选择了已启用 (Enabled),失败的开机自检将停用 Edge。要恢复 Edge,必须对 Edge 进行出厂重置并重新激活 Edge。注意:在 5.1.0 和更高版本中支持该功能。
    USB 端口访问 (USB Port Access)

    选择允许 (Allow) 以在 Edge 上激活 USB 端口访问,选择拒绝 (Deny) 以停用 USB 端口访问。

    此选项仅适用于 Edge 型号 510 和 6x0。

    注: 每当将 USB 端口访问设置从 允许 (Allow) 更改为 拒绝 (Deny)(反之亦然)时,如果您有权访问 Edge,则必须重新引导 Edge,此外,如果 Edge 位于远程站点中,则必须使用 SD-WAN Orchestrator 重新启动 Edge。有关说明,请参阅 远程操作
    SNMP 访问 (SNMP Access) 允许通过 SNMP 从路由接口/WAN 进行 Edge 访问。选择以下选项之一:
    • 全部拒绝 (Deny All) - 默认情况下,将为所有连接到 Edge 的设备停用 SNMP 访问。
    • 允许所有 LAN (Allow All LAN) - 允许所有连接到 Edge 的设备通过 LAN 网络进行 SNMP 访问。
    • 允许以下 IP (Allow the following IPs) - 允许您明确指定可通过 SNMP 从中访问 Edge 的 IP 地址。IP 地址必须以逗号 (,) 分隔。
    本地 Web UI 访问 (Local Web UI Access) 允许通过本地 Web UI 从路由接口/WAN 进行 Edge 访问。选择以下选项之一:
    • 全部拒绝 (Deny All) - 默认情况下,将为所有连接到 Edge 的设备停用本地 Web UI 访问。
    • 允许所有 LAN (Allow All LAN) - 允许所有连接到 Edge 的设备通过 LAN 网络进行本地 Web UI 访问。
    • 允许以下 IP (Allow the following IPs) - 允许您明确指定可通过本地 Web UI 从中访问 Edge 的 IP 地址。IP 地址必须以逗号 (,) 分隔。
    本地 Web UI 端口号 (Local Web UI Port Number) 输入可从中访问 Edge 的本地 Web UI 端口号。
  3. 单击保存更改 (Save Changes)

下一步做什么

如果要覆盖特定 Edge 的 Edge 访问设置,请使用 Edge 防火墙 (Edge Firewall) 页面上提供的 启用 Edge 覆盖 (Enable Edge Override) 选项。有关相关信息,请参阅 为 Edge 配置防火墙