Pravidla brány firewall a konfigurace přístupu Edge dědí všechny Edge z přiřazeného profilu. Na kartě Brána firewall (Firewall) v dialogovém okně Konfigurace Edge (Edge Configuration) si můžete v oblasti Pravidlo z profilu (Rule From Profile) prohlédnout všechna zděděná pravidla brány firewall. Na úrovni Edge můžete podle potřeby také přepsat pravidla brány firewallu a konfiguraci přístupu Edge.
Z pozice podnikového administrátora můžete podle pokynů na této stránce upravit pravidla předávání portů a NAT 1:1 u brány firewall jednotlivě pro každé Edge.
Ve výchozím nastavení bude veškerý příchozí provoz blokován, pokud nebudou nakonfigurována pravidla brány firewall pro předávání portů a NAT 1:1. Vnější IP adresa bude vždy WAN IP nebo IP adresa z podsítě WAN IP.
Pravidla předávání portů a NAT 1:1 u brány firewall
Pravidla předávání portů a NAT 1:1 u brány firewall dokáží internetovým klientům zajistit přístup k serverům připojeným k rozhraní LAN pro Edge. Přístup lze zajistit pomocí pravidel pro předávání portů nebo podle pravidel překladu síťových adres NAT 1:1.
Pravidla pro předávání portů
Pravidla pro předávání portů umožňují určit pravidla pro předávání přenášených dat ze specifického portu sítě WAN do zařízení (IP adresa LAN nebo port sítě LAN) v místní podsíti. Případně můžete také omezit příchozí data podle IP adresy nebo podsítě. Pravidla předávání portů lze nakonfigurovat pomocí vnější IP adresy, která je ve stejné podsíti jako IP adresa sítě WAN. Pokud poskytovatel internetových služeb směruje přenášená data do podsítě na straně SD-WAN Edge, můžete také překládat vnější IP adresy v podsítích, které se liší od adresy rozhraní sítě WAN.
Pokud se rozhodnete nakonfigurovat pravidlo předávání portů, zadejte následující informace.
- Do textového pole Název (Name) zadejte (volitelně) název pravidla.
- Z rozevírací nabídky Protokol (Protocol) vyberte protokol předávání portů TCP nebo UDP.
- Z rozevírací nabídky Rozhraní (Interface) vyberte rozhraní pro příchozí data.
- Do textového pole Vnější IP adresa (Outside IP) zadejte IP adresu, na které je hostitel (aplikace) dostupný z vnější sítě.
- Do textového pole Porty sítě WAN (WAN Ports) zadejte jeden port sítě WAN nebo rozsah portů oddělených symbolem mínus „-“ (například 20-25).
- Do textových polí IP adresa sítě LAN (LAN IP) a Port LAN (LAN Port) zadejte IP adresu a číslo portu LAN, kam budou žádosti předávány.
- Z rozevírací nabídky Segment vyberte segment, do kterého bude IP adresa LAN patřit.
- V textovém poli Vzdálená IP adresa / podsíť (Remote IP/subnet) zadejte IP adresu příchozích přenášených dat, které chcete přeposílat na interní server. Pokud žádnou IP adresu nezadáte, povolíte tím neomezený provoz.
Na následujícím snímku najdete konfiguraci předávání portů.
Nastavení NAT 1:1
Nastavení se používá k mapování vnější IP adresy podporované SD-WAN Edge na server připojený k rozhraní LAN pro Edge (jako je například webový nebo poštovní server). Pokud poskytovatel internetových služeb směruje přenášená data do podsítě na straně SD-WAN Edge, můžete také překládat vnější IP adresy v podsítích, které se liší od adresy rozhraní sítě WAN. Každé mapování probíhá mezi jednou IP adresou mimo bránu firewall pro konkrétní rozhraní sítě WAN a jednou IP adresou sítě LAN za bránou firewall. V rámci každého mapování můžete určit, které porty budou předány na vnitřní IP adresu. Pomocí symbolu + na pravé straně můžete přidat dodatečná nastavení NAT 1:1.
Pokud se rozhodnete nakonfigurovat pravidlo NAT 1:1, zadejte následující informace.
- Do textového pole Název (Name) zadejte název pravidla.
- Do textového pole Vnější IP adresa (Outside IP) zadejte IP adresu, na které je hostitel dostupný z vnější sítě.
- Z rozevírací nabídky Rozhraní (Interface) vyberte rozhraní sítě WAN, na které bude vnější IP adresa vázána.
- Do textového pole Vnitřní IP adresa (LAN) (Inside (LAN) IP) zadejte skutečnou IP adresu (LAN) hostitele.
- Z rozevírací nabídky Segment vyberte segment, do kterého bude IP adresa LAN patřit.
- Označením pole Odchozí přenos dat (Outbound Traffic) můžete povolit, aby branou firewall procházela odchozí data z Edge směrovaná z internetu do klienta LAN.
- Do příslušných polí zadejte podrobnosti povoleného zdroje přenášených dat (protokol, porty, vzdálená IP adresa / podsíť (Remote IP/subnet)) pro potřeby mapování.
Na následujícím snímku najdete konfiguraci NAT 1:1.
Konfigurace potlačení na úrovni Edge
Podle potřeby můžete na úrovni Edge potlačit pravidla brány firewall zděděná z profilu. Pokud se rozhodnete potlačit pravidla na úrovni Edge, klikněte v nabídce Pravidla brány firewall (Firewall Rules) na možnost Nové pravidlo (New Rule) a postupujte podle pokynů v části Konfigurace pravidel brány firewall. Pravidla potlačení se objeví v oblasti Potlačení na úrovni Edge (Edge Overrides). Pravidla potlačení na úrovni Edge mají přednost před pravidly pro Edge zděděnými z profilu. Jakékoli hodnoty nastavení pro potlačení pravidel, které jsou stejné také u pravidel brány firewall na úrovni profilu, budou mít před danými pravidly profilu přednost.
Přepsání stavové brány firewall
Na úrovni Edge můžete volitelně přepsat nastavení stavové brány firewall zaškrtnutím pole Povolit potlačení Edge (Enable Edge Override) v oblasti Nastavení stavové brány firewall (Stateful Firewall Settings). Více informací o nastavení stavové brány firewall naleznete v tématu Konfigurace nastavení stavové brány firewall.
Přepsání nastavení sítě a ochrany proti floodingu
Na úrovni Edge můžete volitelně přepsat nastavení sítě a ochrany proti floodingu zaškrtnutím pole Povolit potlačení Edge (Enable Edge Override) v oblasti Nastavení stavové brány firewall (Stateful Firewall Settings). Více informací o síti a ochraně před floodingem naleznete v tématu Konfigurace sítě a ochrany proti floodingu.
Přepsání nastavení konfigurace přístupu k Edge
Na úrovni Edge můžete volitelně také přepsat konfiguraci přístupu k Edge zaškrtnutím pole Povolit potlačení Edge (Enable Edge Override) v oblasti Přístup k Edge (Edge Access). Více informací o konfiguraci přístupu k Edge naleznete v tématu Konfigurace přístupu k Edge.
Související odkazy