增强型防火墙服务 (EFS) 在 VMware SD-WAN Edge 上提供额外的 EFS 安全功能。由 NSX 安全功能提供支持的 EFS 功能在 VMware SD-WAN Edge 上支持入侵检测系统 (IDS) 服务和入侵防御系统 (IPS) 服务。Edge 防火墙 EFS 可在分支到分支、分支到 Hub 或分支到 Internet 流量模式中保护 Edge 流量免受入侵。

目前,SD-WAN Edge 防火墙提供有状态检查以及应用程序识别,而无需额外的 EFS 安全功能。虽然有状态防火墙 SD-WAN Edge 可提供安全功能,但这并不足够,并且在提供与 VMware SD-WAN 本机集成的 EFS 安全功能方面造成了缺口。Edge EFS 填补了这些安全缺口,并在 SD-WAN Edge 上与 VMware SD-WAN 一起以本机方式提供增强型防火墙服务。

客户可以使用 VMware SASE Orchestrator 中的防火墙功能配置和管理 EFS。

限制

  • 激活 EFS 后,仅支持静态寻址。请勿在 LAN 网络(如 DHCPv4 客户端、DHCPv6 客户端、DHCPv6 PD 和 IPv6 SLAAC)上使用动态地址。

如果使用动态寻址,并且地址范围在专用地址范围(对于 IPv4)和 ULA 地址范围(对于 IPv6)之外(如 RFC1918 中所述),则由于地址不是 suricata.yaml 中 HOME_NETWORK 设置的一部分,可能不会进行规则匹配。