您可以使用第三方防火墙在 SD-WAN Edge 上通过 VNF 部署和转发流量。
只有操作员能够激活安全 VNF 配置。如果“安全 VNF”(Security VNF) 选项不可用,请与您的操作员联系。
前提条件
确保您配置了:
- SASE Orchestrator 并激活了运行支持部署特定安全 VNF 的软件版本的 SD-WAN Edge。有关支持的软件版本和 Edge 平台的更多信息,请参阅安全虚拟网络功能 中的支持列表。
- 配置了 VNF 管理服务。有关更多信息,请参阅配置 VNF 管理服务。
过程
- 在设备 (Device) 选项卡中,向下滚动到安全 VNF (Security VNF) 部分,然后单击 + 配置安全 VNF (+ Configure Security VNF)。此时将显示配置安全 VNF (Configure Security VNF) 窗口。
- 在安全 VNF (Security VNF) 下,从下拉菜单中选择一个预定义的 VNF 管理服务。您也可以单击 + 添加 (+ Add) 以创建新的 VNF 管理服务。有关更多信息,请参阅配置 VNF 管理服务。
- 下图显示了将 Fortinet 防火墙 (Fortinet Firewall) 作为安全 VNF 类型的示例。如果选择 Fortinet 防火墙 (Fortinet Firewall),请配置以下其他设置:
- 虚拟机内核数 (VM Cores) - 从下拉列表中选择内核数。虚拟机许可证基于虚拟机内核数。确保您的虚拟机许可证与所选的内核数匹配。
- 检查模式 (Inspection Mode) - 选择以下模式之一:
- 代理 (Proxy) - 默认情况下,将选择该选项。基于代理的检查涉及缓冲流量以及检查整体数据以进行分析。
- 流量 (Flow) - 基于流量的检查在流量数据通过 FortiGate 设备时对其进行检查,而不进行任何缓冲。
- 许可证 (License) - 拖放虚拟机许可证,或者将许可证内容粘贴到文本框中。
- 下图显示了将 Check Point 防火墙 (Check Point Firewall) 作为安全 VNF 类型的示例。
- 如果选择 Palo Alto Networks 防火墙 (Palo Alto Networks Firewall) 作为安全 VNF,请配置以下其他设置:
- 许可证 (License) - 从下拉列表中选择 VNF 许可证。
- 设备组名称 (Device Group Name) - 输入在 Panorama 服务器上预配置的设备组名称。
- 配置模板名称 (Config Template Name) - 输入在 Panorama 服务器上预配置的配置模板名称。
注: 如果要从 VNF 类型中移除 Palo Alto Networks 防火墙 (Palo Alto Networks Firewall) 配置的部署,在移除配置之前,请确保已取消激活 Palo Alto Networks 的 VNF 许可证 (VNF License)。
- 下图显示了将 Fortinet 防火墙 (Fortinet Firewall) 作为安全 VNF 类型的示例。如果选择 Fortinet 防火墙 (Fortinet Firewall),请配置以下其他设置:
结果
将在
安全 VNF (Security VNF) 部分中显示配置详细信息。
下一步做什么
如果要将多个流量分段重定向到 VNF,请定义分段和服务 VLAN 之间的映射。请参阅定义分段和服务 VLAN 之间的映射。
您可以将安全 VNF 插入到 VLAN 以及路由接口中,以将来自 VLAN 或路由接口的流量重定向到 VNF。请参阅为 VLAN 配置 VNF 插入。
