您可以在配置文件和 Edge 级别配置防火墙规则,以允许、丢弃、拒绝或跳过入站和出站流量。如果激活了有状态防火墙功能,则将验证防火墙规则以筛选入站和出站流量。启用无状态防火墙时,您可以控制只筛选出站流量。防火墙规则匹配 IP 地址、端口、VLAN ID、接口、MAC 地址、域名、协议、对象组、应用程序和 DSCP 标记等参数。在数据包符合匹配条件时,将执行一个或多个关联的操作。如果数据包与任何参数均不匹配,则会对该数据包执行默认操作。

要在配置文件级别配置防火墙规则,请执行以下步骤。

过程

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)配置文件 (Profiles) 页面将显示现有的配置文件。
  2. 选择一个配置文件以配置防火墙规则,然后单击防火墙 (Firewall) 选项卡。
    配置文件 (Profiles) 页面中,您可以单击配置文件的 防火墙 (Firewall) 列中的 查看 (View) 链接以直接导航到 防火墙 (Firewall) 页面。
  3. 转到配置防火墙 (Configure Firewall) 部分,然后在防火墙规则 (Firewall Rules) 区域下面单击 + 新建规则 (+ NEW RULE)。将显示配置规则 (Configure Rule) 对话框。
  4. 规则名称 (Rule Name) 文本框中,为规则输入唯一的名称。要从现有规则创建防火墙规则,请从复制规则 (Duplicate Rule) 下拉菜单中选择要复制的规则。
  5. 匹配 (Match) 部分中,配置规则的匹配条件:
    字段 描述
    IP 版本 (IP Version) 默认情况下,将选择“IPv4 和 IPv6”(IPv4 and IPv6) 地址类型。您可以根据所选地址类型配置源和目标 IP 地址,如下所述:
    • IPv4 - 仅允许将 IPv4 地址配置为源和目标。
    • IPv6 - 仅允许将 IPv6 地址配置为源和目标。
    • IPv4 和 IPv6 (IPv4 and IPv6) - 允许在匹配条件中同时配置 IPv4 和 IPv6 地址。如果选择此模式,则无法配置源或目标 IP 地址。
    注: 升级时,先前版本的防火墙规则将移动到 IPv4 模式。
    源 (Source)
    允许指定数据包的源。选择任何以下选项:
    • 任意 (Any) - 默认情况下,允许所有源地址。
    • 对象组 (Object Group) - 允许您选择地址组和服务组的组合。有关更多信息,请参阅对象组使用对象组配置防火墙规则
      注: 如果选定的地址组包含任何域名,在与源进行匹配时,将忽略这些域名。
    • 定义 (Define) - 允许您将源流量定义为特定的 VLAN、接口、IPv4 或 IPv6 地址、MAC 地址,或者传输端口。选择以下选项之一:
      • VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。
      • 接口和 IP 地址 (Interface and IP Address) - 匹配来自从下拉菜单中选择的指定接口和 IPv4 或 IPv6 地址的流量。
        注: 如果无法选择某个接口,则表明该接口未激活或未分配给此分段。
        注: 如果选择 IPv4 和 IPv6 (IPv4 and IPv6)(混合模式)作为地址类型,则仅基于指定接口匹配流量。
        除了 IP 地址以外,您还可以指定以下地址类型之一以匹配源流量:
        • CIDR 前缀 (CIDR prefix) - 如果要将网络定义为 CIDR 值(例如 172.10.0.0 /16),请选择该选项。
        • 子网掩码 (Subnet mask) - 如果要根据子网掩码(例如 172.10.0.0 255.255.0.0)定义网络,请选择该选项。
        • 通配符掩码 (Wildcard mask) - 如果您希望能够将策略实施范围缩小到不同 IP 子网中的一组具有相同匹配主机 IP 地址值的设备,请选择该选项。通配符掩码基于反向子网掩码匹配一个或一组 IP 地址。掩码二进制值中的“0”表示值是固定的,掩码二进制值中的“1”表示值是通配符(可以是 1 或 0)。例如,IP 地址为 172.0.0 的通配符掩码 0.0.0.255(二进制值等同于 00000000.00000000.00000000.11111111),前三个八位字节是固定值,最后一个八位字节是可变值。该选项仅适用于 IPv4 地址。
      • Mac 地址 (Mac Address) - 基于指定的 MAC 地址匹配流量。
      • 传输端口 (Transport Port) - 匹配来自指定源端口或端口范围的流量。
    目标 (Destination) 允许指定数据包的目标。选择任何以下选项:
    • 任意 (Any) - 默认情况下,允许所有目标地址。
    • 对象组 (Object Group) - 允许您选择地址组和服务组的组合。有关更多信息,请参阅对象组使用对象组配置防火墙规则
    • 定义 (Define) - 允许您将目标流量定义为特定的 VLAN、接口、IPv4 或 IPv6 地址、域名、协议,或者端口。选择以下选项之一:
      • VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。
      • 接口 (Interface) - 匹配来自从下拉菜单中选择的指定接口的流量。
        注: 如果无法选择某个接口,则表明该接口未激活或未分配给此分段。
      • IP 地址 (IP Address) - 匹配指定 IPv4 或 IPv6 地址和域名的流量。
        注: 如果选择 IPv4 和 IPv6 (IPv4 and IPv6)(混合模式)作为地址类型,则无法将 IP 地址指定为目标。

        除了 IP 地址以外,您还可以指定以下地址类型之一以匹配源流量:CIDR 前缀 (CIDR prefix)子网掩码 (Subnet mask)通配符掩码 (Wildcard mask)

        可以使用域名 (Domain Name) 字段与整个域名或域名的一部分进行匹配。例如,“salesforce”将流量与“mixe”进行匹配。

      • 传输 (Transport) - 匹配来自指定源端口或端口范围的流量。
        协议 (Protocol) - 匹配从下拉菜单中选择的指定协议的流量。支持的协议包括 GRE、ICMP、TCP 和 UDP。
        注: 混合模式(IPv4 和 IPv6)不支持 ICMP。
    应用程序 (Application) 选择任何以下选项:
    • 任意 (Any) - 默认情况下,将防火墙规则应用于任何应用程序。
    • 定义 (Define) - 用于选择应用程序和差分服务代码点 (Differentiated Services Code Point, DSCP) 标记以应用特定的防火墙规则。
    注: 在创建与应用程序匹配的防火墙规则时,防火墙依靠 DPI(深度数据包检查)引擎以确定特定流量所属的应用程序。通常,DPI 无法根据第一个数据包来确定应用程序。DPI 引擎通常需要使用流量中的前 5-10 个数据包以确定应用程序,但防火墙需要从第一个数据包中对流量进行分类和转发。这可能会导致第一个流量与防火墙列表中的更一般规则匹配。在正确确定应用程序后,与同一元组匹配的任何将来的流量将自动重新分类,并与正确的规则相匹配。
  6. 操作 (Action) 部分中,配置在流量与定义的条件匹配时执行的操作。
    字段 描述
    防火墙 (Firewall) 选择在满足规则条件时防火墙应对数据包执行的任何以下操作:
    • 允许 (Allow) - 默认情况下,允许数据包。
    • 丢弃 (Drop) - 以静默方式丢弃数据包,而不向源发送任何通知。
    • 拒绝 (Reject) - 丢弃数据包,并发送明确重置消息以通知源。
    • 跳过 (Skip) - 在查找期间跳过规则,并处理下一个规则。不过,将在部署 SD-WAN 时使用该规则。
      注: 仅当为配置文件和 Edge 激活了 有状态防火墙 (Stateful Firewall) 功能时,您才能配置 拒绝 (Reject)跳过 (Skip) 操作。
    日志 (Log) 如果要在触发该规则时创建日志条目,请选中该复选框。
  7. 选中 IDS/IPS 复选框,然后激活 IDS 或 IPS 切换开关以创建防火墙。当用户仅激活 IPS 时,将自动激活 IDS。EFS 引擎会检查通过 Edge 发送/接收的流量,并将内容与 EFS 引擎中配置的特征码进行匹配。IDS/IPS 特征码将使用有效的 EFS 许可证持续进行更新。有关 EFS 的更多信息,请参阅增强型防火墙服务概述

    注: 仅当防火墙操作是 允许 (Allow) 时,才能在规则中激活 EFS。如果防火墙操作不是 允许 (Allow),将停用 EFS。
    • 入侵检测系统 (Intrusion Detection System) - 在 Edge 上激活 IDS 时,Edge 会根据引擎中配置的某些特征码检测流量是否为恶意。如果检测到攻击,则当 Orchestrator 中激活了防火墙日志记录时,EFS 引擎会生成警示,并将警示消息发送到 SASE Orchestrator/Syslog 服务器,且不会丢弃任何数据包。
    • 入侵防御系统 (Intrusion Prevention System) - 在 Edge 上激活 IPS 时,Edge 会根据引擎中配置的某些特征码检测流量是否为恶意。如果检测到攻击,EFS 引擎会生成警示,并且仅当特征码规则中的操作为“拒绝”(Reject) 且与恶意流量匹配时,才会阻止传输到客户端的流量。如果特征码规则中的操作为“警示”(Alert),则将允许流量而不会丢弃任何数据包,即使您配置了 IPS 也是如此。
    注: VMware 建议客户在 Edge 上激活 IDS/IPS 时不要激活 VNF。
  8. 要将 EFS 日志发送到 Orchestrator,请打开捕获 EFS 日志 (Capture EFS Log) 切换按钮。
    注: 要让 Edge 将防火墙日志发送到 Orchestrator,请确保在“全局设置”(Global Settings) UI 页面下,在客户级别激活“启用 Orchestrator 的防火墙日志记录”(Enable Firewall logging to Orchestrator) 客户功能。如果希望激活“防火墙日志记录”(Firewall Logging) 功能,客户必须与操作员联系。
  9. 创建或更新防火墙规则时,您可以在注释历史记录 (Comment History) 选项卡的新注释 (New Comment) 字段中添加有关规则的注释。一条注释最多允许 50 个字符,但是可以为同一规则添加任意数量的注释。
  10. 在配置所有所需的设置后,单击创建 (Create)
    将为选定配置文件创建一个防火墙规则,并在 配置文件防火墙 (Profile Firewall) 页面的 防火墙规则 (Firewall Rules) 区域下面显示该规则。
    注: 无法在 Edge 级别更新在配置文件级别创建的规则。要覆盖规则,用户需要在 Edge 级别使用新参数创建相同的规则以覆盖配置文件级别的规则。