Brána firewall je bezpečnostní zařízení sítě, které sleduje příchozí a odchozí provoz sítě a rozhoduje, zda povolit nebo blokovat konkrétní provoz na základě definované sady pravidel zabezpečení. SD-WAN Orchestrator podporuje konfiguraci bezstavových a stavových bran firewall pro profily a Edge.
Další informace o bráně firewall naleznete v tématu Konfigurace brány firewall.
Konfigurace brány firewall pomocí nového uživatelského rozhraní systému Orchestrator:
- V podnikovém portálu klikněte na možnost Otevřít nové uživatelské rozhraní systému Orchestrator (Open New Orchestrator UI) dostupnou v horní části okna.
- Ve vyskakovacím okně klikněte na možnost Spustit nové uživatelské rozhraní systému Orchestrator (Launch New Orchestrator UI).
- Na nové kartě se otevře uživatelské rozhraní zobrazující možnosti monitorování a konfigurace.
- V novém uživatelském rozhraní klikněte na možnost Profily (Profiles) se zobrazí existující profily. . Na stránce
- Chcete-li nakonfigurovat profil, klikněte na odkaz k profilu nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) profilu. Možnosti konfigurace jsou zobrazeny na kartě zařízení Zařízení (Device).
- Klikněte na kartu Firewall (Brána firewall).
Ze stránky Profily (Profiles) můžete přejít na stránku Firewall přímo kliknutím na odkaz Zobrazit (View) ve sloupci Firewall profilu.
- Záložka Firewall zobrazuje následující:
- Přístup k Edge (Edge Access) – umožňuje nakonfigurovat profil pro přístup k Edge. Pro větší zabezpečení Edge v nastavení brány firewall musíte zvolit správnou možnost pro podpůrný přístup, přístup ke konzole, přístup k portu USB, přístup k SNMP a přístup k místnímu webovému uživatelskému rozhraní. Tím zabráníte jakémukoli uživateli se zlými úmysly v přístupu k Edge. Ve výchozím nastavení jsou přístup k podpoře, přístup ke konzole, přístup SNMP a přístup k místnímu webovému uživatelskému rozhraní z bezpečnostních důvodů deaktivovány. Více informací naleznete v části Konfigurování přístupu k Edge.
- Stav brány firewall (Firewall Status) – umožňuje zapíná nebo zapíná pravidla brány firewall, konfigurovat nastavení brány firewall a seznamy ACL pro všechny Edge spojené s profilem.
Poznámka: Funkci brány firewall pro Profily můžete deaktivovat vypnutím možnosti Stav brány firewall (Firewall Status).
- Předávání syslog (Syslog Forwarding) - ve výchozím nastavení je funkce Předávání syslog (Syslog Forwarding) pro podnik deaktivována. Chcete-li shromažďovat vázané události produktu SD-WAN Orchestrator a protokoly brány firewall pocházející z Zařízení SD-WAN Edge podniku do jednoho nebo více centralizovaných vzdálených kolektorů syslog (serverů), musí podnikový uživatel aktivovat tuto funkci na úrovni podniku. Pokud budete chtít nakonfigurovat detaily kolektoru Syslog pro každý segment v rámci SD-WAN Orchestrator, viz Konfigurace nastavení syslogu pro profily.
Poznámka: Detaily protokolování brány firewall IPv4 a IPv6 můžete sledovat na IPv4 serveru syslog.
- Pravidla brány firewall (Firewall Rules) – zobrazí se stávající předdefinovaná pravidla brány firewall. Můžete kliknout na možnost + NOVÉ PRAVIDLO (+ NEW RULE) a vytvořit nové pravidlo brány firewall. Další informace naleznete v části Konfigurace pravidla brány firewall pomocí nového uživatelského rozhraní systému Orchestrator. Chcete-li odstranit existující pravidla brány firewall, zaškrtněte políčka před pravidly a klikněte na možnost ODSTRANIT (DELETE). Pokud chcete duplikovat pravidlo brány firewall, vyberte pravidlo a klikněte na možnost KLONOVAT (CLONE).
- Stavová brána firewall (Stateful Firewall) – ve výchozím nastavení je funkce stavové brány firewall pro podnikovou síť aktivována. Chcete-li deaktivovat funkci Stavové brány firewall pro podnik, obraťte se na operátora s oprávněními superuživatele. Více informací naleznete v části Konfigurování nastavení stavové brány firewall
- Nastavení ochrany sítě a floodingu (Network & Flood Protection Settings) - chcete-li zabezpečit veškeré pokusy o připojení v podnikové síti, VMware SD-WAN Orchestrator vám umožní nakonfigurovat nastavení sítě a ochrany před floodingem na úrovních profilu a Edge za účelem ochrany před následujícími druhy útoků: Více informací naleznete v části Nastavení sítě a ochrany před floodingem.
Ve výchozím nastavení dědí všechny Edge pravidla brány firewall, nastavení stavové brány firewall, nastavení sítě a ochrany před floodingem a konfigurace přístupu Edge z přidruženého profilu. Na kartě
Brána firewall (Firewall) v dialogovém okně
Konfigurace Edge (Edge Configuration) si můžete v oblasti
Pravidlo z profilu (Rule From Profile) prohlédnout všechna zděděná pravidla brány firewall. Na úrovni Edge můžete podle potřeby také přepsat pravidla brány firewallu a konfiguraci přístupu Edge podle následujících kroků.
- V novém uživatelském rozhraní klikněte na možnost .
- Zvolte Edge, jehož nastavení firewallu chcete přepsat, a klikněte na záložku Firewall.
- Pokud chcete upravit pravidla zděděného profilu a nastavení brány firewall pro Edge, zaškrtněte pole Potlačit (Override).
Poznámka: Pravidla potlačení se objeví v oblasti Potlačení na úrovni Edge (Edge Overrides). Pravidla potlačení na úrovni Edge jsou prioritou před pravidly pro Edge zděděnými z Profilu. Jakékoli hodnoty nastavení pro potlačení pravidel, které jsou stejné také u pravidel brány firewall na úrovni profilu, budou mít před danými pravidly profilu přednost.
- Na úrovni Edge můžete konfigurovat pravidla předávání portů a NAT 1:1 IPv4 nebo IPv6 jednotlivě tak, že přejdete na Dodatečná nastavení (Additional Settings) > Příchozí seznamy ACL (Inbound ACL). Detailní informace o konfiguraci pravidel předávání portů a NAT 1:1 naleznete v Konfigurace brány firewall pro Edge.
Poznámka: Při konfiguraci pravidel předávání portů IPv6 a NAT 1:1 můžete zadat pouze globální nebo unicastovou IP adresu a nemůžete zadat místní adresu odkazu.