SD-WAN Orchestrator umožňuje konfigurovat pravidla brány firewall na úrovni profilů a Edge pro povolení, zahození, odmítnutí nebo přeskočení příchozího a odchozího provozu. Pokud je aktivována funkce stavové brány firewall, pravidlo brány firewall bude ověřeno pro filtrování příchozího i odchozího provozu. Pomocí bezstavové brány firewall můžete řídit filtrování pouze odchozího provozu. Pravidlo brány firewall porovnává parametry, jako jsou IP adresy, porty, ID VLAN, rozhraní, adresy MAC, názvy domén, protokoly, skupiny objektů, aplikace a značky DSCP. Pokud datový paket splňuje podmínky shody, budou provedeny přidružené akce. Pokud paket nesplňuje žádné parametry, provede se s paketem výchozí akce.

Chcete-li nakonfigurovat pravidlo brány firewall s povolenou stavovou bránou firewall na úrovni profilu, proveďte následující kroky.

Procedura

  1. V SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Profily (Profiles) > Brána firewall (Firewall).
  2. Aktivujte Stavová brána firewall (Stateful Firewall) pro zvolený profil.
  3. V oblasti Pravidla brány firewall (Firewall Rules) klikněte na možnost Nové pravidlo (New Rule). Otevře se dialogové okno Konfigurace pravidla (Configure Rule).
  4. Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla.
  5. V oblasti Shoda (Match) nakonfigurujte podmínky pro shodu s pravidlem:
    Nastavení Popis (Description)
    Typ (Type) Ve výchozím nastavení je vybrán typ adresy IPv4. Zdrojové a cílové IP adresy můžete nakonfigurovat podle vybraného typu následujícím způsobem:
    • Smíšené (Mixed) – v kritériích shody umožňuje konfigurovat adresy IPv4 i IPv6. Pokud zvolíte tento režim, nemůžete nakonfigurovat zdrojovou nebo cílovou IP adresu.
    • IPv4 – umožňuje jako zdroj a cíl konfigurovat pouze adresy IPv4.
    • IPv6 – umožňuje jako zdroj a cíl konfigurovat pouze adresy IPv6.
    Poznámka: Chcete-li nakonfigurovat pravidla brány firewall pomocí Smíšený (Mixed) nebo IPv6 typu adresy, musíte použít nové uživatelské rozhraní systému Orchestrator. Další informace naleznete v tématu Konfigurace pravidla brány firewall pomocí nového uživatelského rozhraní systému Orchestrator.
    Poznámka: Během upgradu se pravidla brány firewall z předchozích vydání přenáší do režimu IPv4.
    Zdroj (Source) Umožňuje specifikovat zdroj pro pakety. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení všechny zdrojové adresy.
    • Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin portů. Další informace naleznete v tématu Skupiny objektůKonfigurace pravidel brány firewall pomocí skupin objektů.
      Poznámka: Pokud vybraná skupina adres obsahuje názvy domén, budou při hledání shody se zdrojem ignorovány.
    • Definovat (Define) – umožňuje definovat zdrojový provoz na konkrétní VLAN, rozhraní, adresu IPv4 nebo IPv6 , adresu MAC nebo port.

      Pro IP adresu zvolte jednu ze tří možností:

      • Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například: 172.10.0.0 /16).
      • Maska podsítě (Subnet mask) – tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například: 172.10.0.0 255.255.0.0).
      • Invertovaná maska (Wildcard mask) – tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP adresy, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a „1“ znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například invertovaná maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný. Tato možnost je k dispozici pouze pro adresy IPv4.
      Poznámka: Pokud nelze vybrat rozhraní, rozhraní buď není aktivováno, nebo není přiřazeno k tomuto segmentu.
    Cíl Umožňuje specifikovat cíl pro pakety. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení všechny cílové adresy.
    • Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin portů. Další informace naleznete v tématu Skupiny objektůKonfigurace pravidel brány firewall pomocí skupin objektů.
    • Definovat (Define) – umožňuje definovat cíl provozu na konkrétní VLAN, rozhraní, adresu IPv4 nebo IPv6, název domény, protokol nebo port. Pro IP adresu zvolte jednu ze tří možností: Předpona CIDR (CIDR prefix), Maska podsítě (Subnet mask) nebo Invertovaná maska (Wildcard mask).

      Pokud nelze vybrat rozhraní, rozhraní buď není aktivováno, nebo není přiřazeno k tomuto segmentu.

      Použijte pole Název domény (Domain Name) pro shodu celého názvu domény nebo jeho části. Například při použití výrazu „salesforce“ se zobrazí tok dat pro umístění „mixe“.
    Aplikace (Application) Vyberte jednu z následujících možností:
    • Libovolné (Any) – použije ve výchozím nastavení pravidlo brány firewall na libovolnou aplikaci.
    • Definovat (Define) – povoluje vybrat aplikaci a příznak kódového bodu diferencované služby (DSCP) pro uplatnění specifického pravidla brány firewall.
    Poznámka: Při vytváření pravidel brány firewall porovnávajících aplikaci závisí brána firewall na modulu DPI (hloubkové kontroly paketu), který identifikuje aplikaci, ke které patří určitý tok. DPI obecně nebude schopen určit aplikaci na základě prvního paketu. Modul DPI obvykle k identifikaci aplikace vyžaduje prvních 5 až 10 paketů v toku, avšak brána firewall musí klasifikovat a přesměrovat tok již od úplně prvního paketu. To může způsobit, že se první tok bude shodovat s obecnějšími pravidly v seznamu pravidel brány firewall. Jakmile je aplikace správně identifikována, všechny budoucí toky odpovídající stejným řazeným kolekcím budou automaticky překlasifikovány podle správného pravidla.
  6. V oblasti Akce (Actions) nakonfigurujte akce pro pravidlo:
    Nastavení Popis (Description)
    Brána firewall (Firewall) Vyberte některou z následujících akcí, kterou má brána firewall provést s pakety, pokud jsou splněny podmínky pravidla:
    • Povolit (Allow) – povoluje datové pakety ve výchozím nastavení.
    • Zahodit (Drop) – zahodí datové pakety bez odeslání oznámení zdroji.
    • Odmítnout (Reject) – zahodí pakety a informuje zdroj zasláním explicitní zprávy.
    • Přeskočit (Skip) – přeskočí pravidlo a přejde na další pravidlo. Toto pravidlo však bude použito ve chvíli zavádění SD-WAN.
    Protokol (Log) Toto pole zaškrtněte, pokud chcete, aby byla při aktivaci tohoto pravidla vytvořena položka protokolu.
  7. Při vytváření nebo aktualizaci pravidla brány firewall můžete přidat komentáře k auditu pomocí textového pole Komentář k auditu (Audit Comment). Je povoleno maximálně 50 znaků a můžete přidat libovolný počet komentářů ke stejnému pravidlu.
  8. Kliknutím na tlačítko Historie auditu (Audit History) zobrazíte všechny komentáře k auditu přidané pro pravidlo. Konkrétní komentář můžete vyhledat zadáním hledaného textu do pole Hledat (Search).
  9. Klikněte na tlačítko OK.

Výsledek

Pro zvolený profil je vytvořeno pravidlo brány firewall, které se zobrazí v oblasti Pravidla brány firewall (Firewall Rules) na stránce Brána firewall profilu (Profile Firewall).