如果客户在 VMware SASE Orchestrator 的全局设置级别激活了增强型防火墙服务 (EFS) 功能,现在可以单独配置和管理安全服务,例如 URL 筛选(URL 类别筛选、URL 信誉筛选)、恶意 IP 筛选、入侵检测系统 (IDS) 和入侵防御系统 (IPS)。要根据 URL 或 IP 的 IDS/IPS 特征码匹配、类别和/或信誉阻止用户流量,客户必须使用预配置的安全服务创建一个安全服务组,并将该安全服务组与防火墙规则相关联。

开始之前

为使 EFS 功能正常运行,请完成以下操作:
  • 确保 Edge 版本为 6.0.0,以便 URL 筛选(URL 类别和 URL 信誉)和恶意 IP 筛选按预期工作。对于 IDS 和 IPS 服务配置,请确保 Edge 版本为 5.2.0 及更高版本。
  • 确保已在企业级别激活 EFS 功能。如果希望激活 EFS 功能,请与您的操作员联系。操作员可以从 SD-WAN > 全局设置 (Global Settings) > 客户配置 (Customer Configuration) > SD-WAN 设置 (SD-WAN Settings) > 功能访问 (Feature Access) UI 页面激活 EFS 功能。
在企业门户的 SD-WAN 服务中,要配置安全服务,请单击 配置 (Configure) > 增强型安全 (Enhanced Security) > 安全服务 (Security Services)。此时将显示 安全服务 (Security Services) 页面。
客户可以配置以下安全服务:

配置 URL 类别服务

URL 类别服务包括将一个或多个类别分配给 URL/域。由于有数亿个网站和 URL,因此为单个 URL 配置策略非常乏味,因此这些 URL 已映射到特定类别,然后筛选策略将应用于这些类别。
注: 如果“URL 筛选”(URL Filtering) 服务中没有可用的分类信息,URL 将分类为具有“未知”(Unknown) 类别。

目前,有 80 多个 URL 类别,包括社交网络、金融服务、网络钓鱼等。

要配置 URL 类别,请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 增强型安全 (Enhanced Security) > 安全服务 (Security Services)。此时将显示安全服务 (Security Services) 页面。
  2. 单击 URL 类别 (URL Categories) 选项卡,然后单击 +添加规则 (+ADD RULE)。此时将显示配置 URL 类别服务 (Configure URL Category Service) 弹出窗口。
  3. 输入 URL 类别服务的唯一名称,并根据需要提供描述。
  4. 允许类别 (Allow Categories) 列表中,您可以选择要阻止的类别,然后使用左箭头按钮将其移动到阻止的类别 (Blocked Categories) 列表中。同样,您可以选择要允许的类别并进行记录,然后使用右箭头按钮将其移动到监控器类别 (Monitor Categories) 列表中。
    注: 将自动捕获与“阻止的类别”(Blocked Categories) 和“监控器类别”(Monitor Categories) 匹配的防火墙规则的日志。对于“允许类别”(Allow Categories),允许但不会记录流量。
  5. 要允许具有未知 (Unknown) 类别的 URL,请取消选中底部的复选框。
    注: 默认情况下,将阻止 未知 (Unknown) 类别。
  6. 单击保存更改 (Save Changes)。将创建一个 URL 类别服务规则,并且该规则将显示在 URL 类别 (URL Categories) 页面上的表中。
  7. 单击“安全服务”(Security Service) 的链接可修改设置。要删除安全服务,请选中相应组前面的复选框,然后单击删除 (Delete)
    注: 无法删除正在使用的安全服务。如果要删除安全服务,必须先将其从关联的安全服务组和防火墙规则中移除。

    要查看阻止的类别、监控器类别及与安全服务关联的安全组列表,请单击阻止的类别 (Blocked Categories)监控器类别 (Monitor Categories)使用者 - 安全组 (Used By - Security Group) 列中的相应链接。

配置 URL 信誉服务

URL 信誉提供网站的可信赖度。URL 和 IP 地址的信誉评分分类如下所示:

  • 81-100:值得信任
  • 61-80:低风险
  • 41-60:中等风险
  • 21-40:可疑
  • 01-20:高风险
  • 注: 可信是最安全的信誉,风险最小。

URL 信誉服务会查找目标 URL 的评分,并在 Edge 流量评分表明存在威胁时阻止这些流量。

要配置 URL 信誉,请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 增强型安全 (Enhanced Security) > 安全服务 (Security Services)。此时将显示安全服务 (Security Services) 页面。
  2. 单击 URL 信誉 (URL Reputation) 选项卡,然后单击 +添加规则 (+ADD RULE)。将显示配置 URL 信誉服务 (Configure URL Reputation Service) 弹出窗口。
  3. 输入 URL 信誉服务的唯一名称,并根据需要提供描述。
  4. 可接受的最低信誉 (Minimum Acceptable Reputation) 下拉菜单中,选择一个可接受的信誉,以允许传入/传出 URL 的流量。配置可接受的最低信誉后,需要阻止的所有其他信誉将自动列在阻止的信誉 (Blocked Reputation(s)) 框中。将阻止并自动记录与所选 URL 信誉级别以下的任何 URL 的流量,允许高于选定 URL 信誉级别的流量,但不会自动记录这些流量。您可以使用捕获日志 (Capture Logs) 下拉菜单指定要记录的信誉。
  5. 要允许具有未知 (Unknown) 信誉的 URL,请取消选中底部的复选框。如果 URL 筛选 (URL Filtering) 服务中没有可用的信誉信息,URL 将分类为具有“未知”(Unknown) 信誉。
    注: 默认情况下,将阻止 未知 (Unknown) 信誉。
  6. 单击保存更改 (Save Changes)。将创建一个 URL 信誉服务规则,并且该规则将显示在 URL 信誉 (URL Reputation) 页面上的表中。
  7. 单击“安全服务”(Security Service) 的链接可修改设置。要删除安全服务,请选中相应组前面的复选框,然后单击删除 (Delete)

配置恶意 IP 服务

阻止 IP 地址对于保护网络或网站免受恶意活动的影响非常有用。Webroot 分配的 IP 信誉评分提供 IP 的可信赖度。恶意 IP 服务查找目标 IP 的 IP 信誉评分,如果 Edge 流量评分指示存在恶意活动,则阻止这些流量。

要配置恶意 IP,请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 增强型安全 (Enhanced Security) > 安全服务 (Security Services)。此时将显示安全服务 (Security Services) 页面。
  2. 单击恶意 IP (Malicious IP) 选项卡,然后单击 +添加规则 (+ADD RULE)。将显示配置恶意 IP 筛选服务 (Configure Malicious IP Filtering Service) 弹出窗口。
  3. 输入恶意 IP 服务的唯一名称,并根据需要提供描述。
  4. 操作 (Action) 下拉菜单中,选择在检测到传入/传出恶意 IP 的 IPv4 流量时执行的操作。您可以选择以下任一选项:
    • 监控(Monitor)- 允许并记录来自恶意 IP 服务的 IPv4 流量。
    • 阻止(Block)- 自动阻止并记录来自恶意 IP 服务的 IPv4 流量。
    注: 如果 IP 不是恶意 IP,将允许 IPv4 流量,但不会记录此流量。
  5. 单击保存更改 (Save Changes)。将创建一个恶意 IP 服务规则,并且该规则将显示在恶意 IP (Malicious IP) 页面上的表中。
  6. 单击“安全服务”(Security Service) 的链接可修改设置。要删除安全服务,请选中相应组前面的复选框,然后单击删除 (Delete)

配置 IDS/IPS 安全服务

要配置入侵检测系统 (IDS)/入侵防御系统 (IPS) 服务,请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 增强型安全 (Enhanced Security) > 安全服务 (Security Services)。此时将显示安全服务 (Security Services) 页面。
  2. 单击 IDS/IPS 选项卡,然后单击 +添加规则 (+ADD RULE)。此时将显示配置 IDS/IPS 安全服务 (Configure IDS/IPS Security Service) 弹出窗口。
  3. 输入 IDS/IPS 服务的唯一名称,并根据需要提供描述。
  4. 入侵检测和防御 (Intrusion Detection and Prevention) 部分下,激活入侵检测 (IDS) 和/或入侵防御 (IPS) 切换开关。当用户仅激活 IPS 时,将自动激活 IDS。EFS 引擎会检查通过 Edge 发送/接收的流量,并将内容与 EFS 引擎中配置的特征码进行匹配。IDS/IPS 特征码将使用有效的 EFS 许可证持续进行更新。有关 EFS 的更多信息,请参阅增强型防火墙服务概述
    • 入侵检测 (Intrusion Detection) - 在 Edge 上激活 IDS 时,Edge 会根据引擎中配置的某些特征码检测流量是否为恶意。如果检测到攻击,则当 Orchestrator 中激活了防火墙日志记录时,EFS 引擎会生成警示,并将警示消息发送到 SASE Orchestrator/Syslog 服务器,且不会丢弃任何数据包。
    • 入侵防御 (Intrusion Prevention) - 在 Edge 上激活 IPS 时,Edge 会根据引擎中配置的某些特征码检测流量是否为恶意。在检测到攻击时,如果特征码规则中的操作为“拒绝”(Reject),EFS 引擎将生成警示并阻止传入客户端的流量。如果特征码规则中的操作为“警示”(Alert),则将允许流量而不会丢弃任何数据包,即使您配置了 IPS 也是如此。
    注: VMware 建议客户在 Edge 上激活 IDS/IPS 时不要激活 VNF。
  5. 如果要将 IDS/IPS 日志发送到 Orchestrator,请从日志 (Log) 下拉菜单中选择是 (Yes)
  6. 单击保存更改 (Save Changes)。将创建一个 IDS/IPS 服务规则,并且该规则将显示在 IDS/IPS 页面上的表中。
  7. 单击“安全服务”(Security Service) 的链接可修改设置。要删除安全服务,请选中相应组前面的复选框,然后单击删除 (Delete)

配置安全服务组

安全服务组用于将单个安全服务(URL 筛选(“URL 类别”(URL Categories)、“URL 信誉”(URL Reputation))、恶意 IP 检测和 IDS/IPS)组合在一起。要创建安全服务组,请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 增强型安全 (Enhanced Security) > 安全服务 (Security Services)。此时将显示安全服务 (Security Services) 页面。
  2. 单击安全服务组 (Security Service Group) 选项卡,然后单击 + 创建组(+ CREATE GROUP)。将显示新建安全服务组 (New Security Service Group) 页面。
  3. 如果要从现有服务组创建新服务组,请从复制安全服务组 (Duplicate Security Service Group) 下拉菜单中选择一个选项,然后单独重命名规则名称。将自动应用选定安全服务组中的所有其他配置。
  4. 要创建新服务组,请输入安全服务组的唯一名称,并根据需要提供描述。
  5. 创建安全服务组 (Create Security Service Group) 部分中,您可以为“URL 类别”(URL Categories)、“URL 信誉”(URL Reputation)、“恶意 IP”(Malicious IP) 和“IDS/IPS”选择预先创建的安全服务,并将它们组合在一起来创建安全组。如果不希望使用预先创建的服务,可以单击新建 (New) 按钮,然后创建新安全服务,以将其与安全组相关联。单击查看 (View) 按钮,以查看所选安全服务的配置详细信息。
  6. 单击保存更改 (Save Changes)。将创建一个安全服务组,并且该组显示在安全服务组 (Security Service Group) 页面上的表中。
  7. 单击“安全服务组”(Security Service Group) 的链接可修改设置。要删除安全服务组,请选中相应组前面的复选框,然后单击删除 (Delete)
    注: 无法删除正在使用的安全服务组。如果要删除安全服务组,必须先从关联的防火墙规则中移除该安全服务组。
注: 您可以将一个安全服务组与多个防火墙规则相关联。有关步骤,请参阅 在配置文件级别将安全服务组与防火墙规则相关联
注: 不能将多个安全服务组与一个防火墙规则相关联。

在配置文件级别将安全服务组与防火墙规则相关联

要在配置文件级别将安全服务组与新防火墙规则相关联,请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)配置文件 (Profiles) 页面将显示现有的配置文件。
  2. 选择一个配置文件以配置防火墙规则,然后单击防火墙 (Firewall) 选项卡。
  3. 转到配置防火墙 (Configure Firewall) 部分,然后在防火墙规则 (Firewall Rules) 区域下面,单击 + 新建规则 (+ NEW RULE)。将显示新建规则 (New Rule) 页面。
  4. 规则名称 (Rule Name) 文本框中,为规则输入唯一的名称。要从现有规则创建防火墙规则,请从复制规则 (Duplicate Rule) 下拉菜单中选择要复制的规则。
  5. 匹配 (Match)防火墙操作 (Firewall Action) 部分中,分别配置规则的匹配条件,以及流量符合定义的条件时执行的操作。有关更多信息,请参阅配置防火墙规则
  6. 安全服务 (Security Services) 部分中,通过从下拉菜单中选择“安全服务组”(Security Service Group) 来为规则配置安全服务。将显示安全服务组内配置的所有安全服务的摘要。您可以单击每个安全服务旁边的查看 (View) 按钮,以查看配置详细信息。
    注: 仅当防火墙操作是 允许 (Allow) 时,才能在规则中激活安全服务。如果防火墙操作不是 允许 (Allow),将停用安全服务。
  7. 在配置所有所需的设置后,单击创建 (Create)。将为选定配置文件创建一个防火墙规则,并在配置文件防火墙 (Profile Firewall) 页面的防火墙规则 (Firewall Rules) 区域下面显示该规则。
  8. 单击保存更改 (Save Changes)
要在配置文件级别将安全服务组与现有防火墙规则相关联,请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)配置文件 (Profiles) 页面将显示现有的配置文件。
  2. 选择一个配置文件以配置防火墙规则,然后单击防火墙 (Firewall) 选项卡。
  3. 转到配置防火墙 (Configure Firewall) 部分,在防火墙规则 (Firewall Rules) 区域下面,选择要更改安全服务配置的规则名称。
  4. 安全服务 (Security Services) 部分下,选择要与规则关联的其他服务组,然后单击编辑 (Edit)
  5. 单击保存更改 (Save Changes)

在 Edge 级别将安全服务组与防火墙规则相关联

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > Edge (Edges)Edge (Edges) 页面将显示现有的 Edge。
  2. 要配置某个 Edge,请单击指向该 Edge 的链接,或者单击该 Edge 的防火墙 (Firewall) 列中的查看 (View) 链接。
  3. 单击防火墙 (Firewall) 选项卡。
  4. 转到配置防火墙 (Configure Firewall) 部分,然后从防火墙规则 (Firewall Rules) 区域中,您可以使用安全服务配置创建新规则,或修改现有规则的安全服务设置。请按照在配置文件级别将安全服务组与防火墙规则相关联一节的步骤 6 中所述的过程进行操作。
    注: 无法在 Edge 级别更新在配置文件级别创建的规则。要覆盖规则,用户需要在 Edge 级别使用新参数创建相同的规则以覆盖配置文件级别的规则。
  5. 在配置所有所需的设置后,单击创建 (Create)。将为选定的 Edge 创建一个防火墙规则,并在 Edge 防火墙 (Edge Firewall) 页面的防火墙规则 (Firewall Rules) 区域下面显示该规则。
  6. 单击保存更改 (Save Changes)