客户可以使用 VMware SASE Orchestrator 中的防火墙功能配置和管理增强型防火墙服务 (EFS)。

开始之前

为使 EFS 功能正常运行,请完成以下操作:
  • 确保 Edge 版本已升级到 5.2.0.0。
  • 确保已在企业级别激活 EFS 功能。如果希望激活 EFS 功能,请与您的操作员联系。操作员可以从 SD-WAN > 全局设置 (Global Settings) > 客户配置 (Customer Configuration) > SD-WAN 设置 (SD-WAN Settings) > 功能访问 (Feature Access) UI 页面激活 EFS 功能。

在配置文件级别配置 EFS 规则设置

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)配置文件 (Profiles) 页面将显示现有的配置文件。
  2. 要为某个配置文件配置防火墙,请单击指向该配置文件的链接,然后单击防火墙 (Firewall) 选项卡。或者,您也可以单击该配置文件的防火墙 (Firewall) 列中的查看 (View) 链接。
  3. 将显示防火墙 (Firewall) 页面。
  4. 打开增强型防火墙服务 (Enhanced Firewall Services) 切换按钮,以便为与该配置文件关联的所有 Edge 激活 EFS 功能。默认情况下,不会激活该功能。
  5. 防火墙规则 (Firewall Rules) 下,您可以创建新的 EFS 规则或修改 EFS 设置的现有防火墙规则。
    • 要创建新的 EFS 规则,请执行以下操作:
      1. 单击 + 新建规则 (+ New Rule) 按钮。
      2. 规则名称 (Rule Name) 文本框中,为规则输入唯一的名称。要从现有规则创建防火墙规则,请从复制规则 (Duplicate Rule) 下拉菜单中选择要复制的规则。
      3. 配置匹配 (Match) 条件,以及在流量匹配定义的匹配条件时执行的防火墙操作 (Firewall Actions)。有关更多信息,请参阅配置防火墙规则
      4. 选中 IDS/IPS 复选框,然后激活 IDS 或 IPS 切换开关以创建防火墙。当用户仅激活 IPS 时,将自动激活 IDS。EFS 引擎会检查通过 Edge 发送/接收的流量,并将内容与 EFS 引擎中配置的特征码进行匹配。
        注: 仅当防火墙操作是 允许 (Allow) 时,才能在规则中激活 EFS。如果防火墙操作不是 允许 (Allow),将停用 EFS。
        • 入侵检测系统 (Intrusion Detection System) - 在 Edge 上激活 IDS 时,Edge 会根据引擎中配置的某些特征码检测流量是否为恶意。如果检测到攻击,则当 Orchestrator 中激活了防火墙日志记录时,EFS 引擎会生成警示,并将警示消息发送到 SASE Orchestrator/Syslog 服务器,且不会丢弃任何数据包。
        • 入侵防御系统 (Intrusion Prevention System) - 在 Edge 上激活 IPS 时,Edge 会根据引擎中配置的某些特征码检测流量是否为恶意。如果检测到攻击,EFS 引擎会生成警示,并且仅当特征码规则中的操作为“拒绝”(Reject) 且与恶意流量匹配时,才会阻止传输到客户端的流量。如果特征码规则中的操作为“警示”(Alert),则将允许流量而不会丢弃任何数据包,即使您配置了 IPS 也是如此。
        注: VMware 建议客户在 Edge 上激活 IDS/IPS 时不要激活 VNF。
      5. 要将 EFS 日志发送到 Orchestrator,请打开捕获 EFS 日志 (Capture EFS Log) 切换按钮。
        注: 要让 Edge 将防火墙日志发送到 Orchestrator,请确保在“全局设置”(Global Settings) UI 页面下,在客户级别激活“启用 Orchestrator 的防火墙日志记录”(Enable Firewall logging to Orchestrator) 客户功能。如果希望激活“防火墙日志记录”(Firewall Logging) 功能,客户必须与操作员联系。
      6. 单击创建 (Create)
    • 要修改 EFS 设置的现有防火墙规则,请执行以下操作:
      1. 配置文件防火墙 (Profile Firewall) 页面的防火墙规则 (Firewall Rules) 区域下,单击要修改的现有防火墙的规则名称 (Rule Name) 列下的链接。
      2. 修改 IDS/IPS 设置,然后单击编辑 (Edit)
  6. 单击保存更改 (Save Changes)

在 Edge 级别配置 EFS 规则设置

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > Edge (Edges)Edge (Edges) 页面将显示现有的 Edge。
  2. 要配置某个 Edge,请单击指向该 Edge 的链接,或者单击该 Edge 的防火墙 (Firewall) 列中的查看 (View) 链接。
  3. 单击防火墙 (Firewall) 选项卡。
  4. 要覆盖特定 Edge 继承的 EFS 设置,请选中覆盖 (Override) 复选框,然后打开增强型防火墙服务 (Enhanced Firewall Services) UI 标签旁边的切换按钮。
  5. Edge 防火墙 (Edge Firewall) 页面的防火墙规则 (Firewall Rules) 区域下,您可以为 Edge 创建新的 EFS 规则或覆盖继承的 EFS 规则设置。请按照在配置文件级别配置 EFS 规则设置一节的步骤 5 中所述的过程进行操作。
  6. 覆盖 EFS 规则设置后,单击保存更改 (Save Changes)

注: 在使用 IDS/IPS 的情况下在全局设置级别或每个规则级别激活 EFS 服务时,未升级到 5.2.0 版本的现有 Edge 的防火墙规则不会受到任何影响。