Konfigurace pravidla brány firewall

SD-WAN Orchestrator umožňuje konfigurovat pravidla brány firewall na úrovni profilů a Edge pro povolení, zahození, odmítnutí nebo přeskočení příchozího a odchozího provozu. Brána firewall používá k vytvoření pravidel parametry, jako jsou zdrojová IP adresa / port, cílová IP adresa / port, aplikace, kategorie aplikací a tagy DSCP.

Chcete-li nakonfigurovat pravidlo brány firewall s povolenou stavovou bránou firewall na úrovni profilu, postupujte podle následujících kroků.

Procedura

V SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Profily (Profiles) > Brána firewall (Firewall).
Aktivujte Stavová bránu firewall (Stateful Firewall) pro zvolený profil.
V oblasti Pravidla brány firewall (Firewall Rules) klikněte na možnost Nové pravidlo (New Rule). Otevře se dialogové okno Konfigurace pravidla (Configure Rule).
Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla.

V oblasti Shoda (Match) nakonfigurujte podmínky pro shodu s pravidlem:

Nastavení	Popis
Zdroj (Source)	Umožňuje specifikovat zdroj pro pakety. Vyberte jednu z následujících možností: Libovolný (Any) – povoluje ve výchozím nastavení všechny zdrojové adresy. Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin portů. Definovat (Define) – umožňuje definovat zdrojový provoz na konkrétní VLAN, IP adresu, adresu MAC nebo port. Pro IP adresu zvolte jednu ze tří možností: Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například: `172.10.0.0 /16`). Maska podsítě (Subnet mask) – tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například: `172.10.0.0 255.255.0.0`). Invertovaná maska (Wildcard mask) – tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP adresy, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a „1“ znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například inverzní maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný.
Cíl (Destination)	Umožňuje specifikovat cíl pro pakety. Vyberte jednu z následujících možností: Libovolný (Any) – povoluje ve výchozím nastavení všechny cílové adresy. Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin portů. Další informace o skupině objektů naleznete v tématu Skupiny objektů. Definovat (Define) – umožňuje definovat cílový provoz na konkrétní VLAN, IP adresu, adresu MAC nebo port. Pro IP adresu zvolte jednu ze tří možností: Předpona CIDR (CIDR prefix), Maska podsítě (Subnet mask) nebo Invertovaná maska (Wildcard mask).
Aplikace (Application)	Umožňuje specifikovat aplikace pro uplatnění pravidla brány firewall. Vyberte jednu z následujících možností: Libovolné (Any) – použije ve výchozím nastavení pravidlo brány firewall na libovolnou aplikaci. Definovat (Define) – umožňuje vybrat konkrétní aplikaci.

V oblasti Akce (Actions) nakonfigurujte akce pro pravidlo:

Nastavení	Popis
Brána firewall (Firewall)	Vyberte některou z následujících akcí, kterou má brána firewall provést s pakety, pokud jsou splněny podmínky pravidla: Povolit (Allow) – povoluje datové pakety ve výchozím nastavení. Zahodit (Drop) – zahodí datové pakety bez odeslání oznámení zdroji. Odmítnout (Reject) – zahodí pakety a informuje zdroj zasláním explicitní zprávy. Přeskočit (Skip) – přeskočí pravidlo a přejde na další pravidlo. Toto pravidlo však bude použito ve chvíli zavádění SD-WAN.
Protokol (Log)	Toto pole zaškrtněte, pokud chcete, aby byla při aktivaci tohoto pravidla vytvořena položka protokolu.

Nastavení

Popis

Brána firewall (Firewall)

Vyberte některou z následujících akcí, kterou má brána firewall provést s pakety, pokud jsou splněny podmínky pravidla:

Povolit (Allow) – povoluje datové pakety ve výchozím nastavení.
Zahodit (Drop) – zahodí datové pakety bez odeslání oznámení zdroji.
Odmítnout (Reject) – zahodí pakety a informuje zdroj zasláním explicitní zprávy.
Přeskočit (Skip) – přeskočí pravidlo a přejde na další pravidlo. Toto pravidlo však bude použito ve chvíli zavádění SD-WAN.

Protokol (Log)

Toto pole zaškrtněte, pokud chcete, aby byla při aktivaci tohoto pravidla vytvořena položka protokolu.

Klikněte na tlačítko OK.

Výsledek

Pro zvolený profil je vytvořeno pravidlo brány firewall, které se zobrazí v oblasti Pravidla brány firewall (Firewall Rules) na stránce Brána firewall profilu (Profile Firewall).