增强型防火墙服务 (EFS) 在 VMware SD-WAN Edge 上提供额外的 EFS 安全功能。由 NSX 安全功能提供支持的 EFS 功能在 VMware SD-WAN Edge 上支持 URL 类别筛选、URL 信誉筛选、恶意 IP 筛选、入侵检测系统 (IDS) 和入侵防御系统 (IPS) 服务。Edge 增强防火墙服务 (EFS) 可保护 Edge 流量免受分支到分支、分支到 Hub 或分支到 Internet 流量模式的入侵。

目前，SD-WAN Edge 防火墙提供有状态检查以及应用程序识别，而无需额外的 EFS 安全功能。虽然有状态防火墙 SD-WAN Edge 可提供安全功能，但这并不足够，并且在提供与 VMware SD-WAN 本机集成的 EFS 安全功能方面造成了缺口。Edge EFS 填补了这些安全缺口，并在 SD-WAN Edge 上与 VMware SD-WAN 一起以本机方式提供增强型威胁防护。

客户可以使用 VMware SASE Orchestrator 中的防火墙功能配置和管理 EFS 功能。客户可以将防火墙规则配置为根据 IDS/IPS 特征码匹配、类别和/或 URL 或 IP 的信誉阻止 Web 流量。

限制

• 如果激活了 EFS 并配置了 IDS/IPS，则仅支持静态寻址。请勿在 LAN 网络（如 DHCPv4 客户端、DHCPv6 客户端、DHCPv6 PD 和 IPv6 SLAAC）上使用动态地址。

如果使用动态寻址，并且地址范围在专用地址范围（对于 IPv4）和 ULA 地址范围（对于 IPv6）之外（如 RFC1918 中所述），则由于地址不是 suricata.yaml 中 HOME_NETWORK 设置的一部分，可能不会进行规则匹配。