Pravidla brány firewall a konfigurace přístupu Edge dědí všechny Edge z přiřazeného profilu. Na kartě Brána firewall (Firewall) v dialogovém okně Konfigurace Edge (Edge Configuration) si můžete v oblasti Pravidlo z profilu (Rule From Profile) prohlédnout všechna zděděná pravidla brány firewall. Na úrovni Edge můžete podle potřeby také přepsat pravidla brány firewallu a konfiguraci přístupu Edge.



Z pozice podnikového administrátora můžete podle pokynů na této stránce upravit pravidla předávání portů a NAT 1:1 u brány firewall jednotlivě pro každé Edge.

Ve výchozím nastavení bude veškerý příchozí provoz blokován, pokud nebudou nakonfigurována pravidla předávání portů a NAT 1:1.u brány firewall. Vnější IP adresa bude vždy WAN IP nebo IP adresa z podsítě WAN IP.

Pravidla předávání portů a NAT 1:1 u brány firewall

Poznámka: Pravidla předávání portů a NAT 1:1 můžete nakonfigurovat jednotlivě pouze na úrovni Edge.

Pravidla předávání portů a NAT 1:1 u brány firewall dokáží internetovým klientům zajistit přístup k serverům připojeným k rozhraní LAN pro Edge. Přístup lze zajistit pomocí pravidel pro předávání portů nebo podle pravidel překladu síťových adres NAT 1:1.

Pravidla pro předávání portů

Pravidla pro předávání portů umožňují určit pravidla pro předávání přenášených dat ze specifického portu sítě WAN do zařízení (IP adresa LAN nebo port sítě LAN) v místní podsíti. Případně můžete také omezit příchozí data podle IP adresy nebo podsítě. Pravidla předávání portů lze nakonfigurovat v případě vnější IP adresy, která je ve stejné podsíti jako IP adresa sítě WAN. Pokud poskytovatel internetových služeb směruje přenášená data do podsítě na straně Zařízení SD-WAN Edge, můžete také překládat vnější IP adresy v podsítích, které se liší od adresy rozhraní sítě WAN.

Na následujícím snímku najdete konfiguraci předávání portů.

V části Pravidla předávání portů (Port Forwarding Rules) můžete nakonfigurovat pravidla předávání portů s adresou IPv4 zadáním následujících údajů.
Poznámka: Chcete-li konfigurovat pravidla předávání portů s adresou IPv6, musíte použít nové uživatelské rozhraní systému Orchestrator. Další informace naleznete v tématu Konfigurace brány firewall profilu pomocí nového uživatelského rozhraní systému Orchestrator.
  1. Do textového pole Název (Name) zadejte (volitelně) název pravidla.
  2. Z rozevírací nabídky Protokol (Protocol) vyberte protokol předávání portů TCP nebo UDP.
  3. Z rozevírací nabídky Rozhraní (Interface) vyberte rozhraní pro příchozí data.
  4. Do textového pole Vnější IP adresa (Outside IP) zadejte adresu IPv4 nebo IPv6, na které je hostitel (aplikace) dostupný z vnější sítě.
  5. Do textového pole Porty WAN (WAN Ports) zadejte port WAN nebo rozsah portů oddělených symbolem mínus „-“ (například 20-25).
  6. Do textových polí IP adresa sítě LAN (LAN IP)Port LAN (LAN Port) zadejte IP adresu IPv4 nebo IPv6 a číslo portu LAN, kam budou žádosti předávány.
  7. Z rozevírací nabídky Segment vyberte segment, do kterého bude IP adresa LAN patřit.
  8. V textovém poli Vzdálená IP adresa / podsíť (Remote IP/subnet) zadejte IP adresu příchozích přenášených dat, které chcete přeposílat na interní server. Pokud žádnou IP adresu nezadáte, povolíte tím neomezený provoz.

Nastavení NAT 1:1

Nastavení se používá k mapování vnější IP adresy podporované Zařízení SD-WAN Edge na server připojený k rozhraní LAN pro Edge (jako je například webový nebo poštovní server). Pokud poskytovatel internetových služeb směruje přenášená data do podsítě na straně Zařízení SD-WAN Edge, můžete také překládat vnější IP adresy v podsítích, které se liší od adresy rozhraní sítě WAN. Každé mapování probíhá mezi jednou IP adresou mimo bránu firewall pro konkrétní rozhraní sítě WAN a jednou IP adresou sítě LAN za bránou firewall. V rámci každého mapování můžete určit, které porty budou předány na vnitřní IP adresu. Pomocí symbolu + na pravé straně můžete přidat dodatečná nastavení NAT 1:1.

Na následujícím snímku najdete konfiguraci NAT 1:1.

V části Pravidla NAT 1:1 (1:1 NAT Rules) můžete nakonfigurovat pravidla NAT 1:1 s adresou IPv4 zadáním následujících podrobností.
Poznámka: Pokud budete chtít nakonfigurovat pravidla NAT 1:1 s adresou IPv6, musíte použít nové uživatelské rozhraní systému Orchestrator. Další informace naleznete v tématu Konfigurace brány firewall profilu pomocí nového uživatelského rozhraní systému Orchestrator.
  1. Do textového pole Název (Name) zadejte název pravidla.
  2. Do textového pole Vnější IP adresa (Outside IP) zadejte IP adresu IPv4 nebo IPv6, na které je hostitel dostupný z vnější sítě.
  3. Z rozevírací nabídky Rozhraní (Interface) vyberte rozhraní sítě WAN, na které bude vnější IP adresa vázána.
  4. Do textového pole Vnitřní IP adresa (LAN) (Inside (LAN) IP) zadejte skutečnou IP adresu IPv4 nebo IPv6 (LAN) hostitele.
  5. Z rozevírací nabídky Segment vyberte segment, do kterého bude IP adresa LAN patřit.
  6. Zaškrtávací pole Odchozí provoz (Outbound Traffic) zvolte, pokud chcete povolit, aby provoz z klienta LAN do internetu byl NATed na vnější IP adresu.
  7. Do příslušných polí zadejte detaily zdroje povoleného provozu (protokol, porty, vzdálená IP adresa / podsíť (Remote IP/subnet)) pro potřeby mapování.

Konfigurace potlačení na úrovni Edge

Podle potřeby můžete na úrovni Edge potlačit pravidla brány firewall zděděná z profilu. Pokud se rozhodnete potlačit pravidla na úrovni Edge, klikněte v nabídce Pravidla brány firewall (Firewall Rules) na možnost Nové pravidlo (New Rule) a postupujte podle pokynů v části Konfigurace pravidel brány firewall. Pravidla potlačení se objeví v oblasti Potlačení na úrovni Edge (Edge Overrides). Pravidla potlačení na úrovni Edge jsou prioritou před pravidly pro Edge zděděnými z profilu. Jakékoli hodnoty nastavení pro potlačení pravidel, které jsou stejné také u pravidel brány firewall na úrovni profilu, budou mít před danými pravidly profilu přednost.

Přepsání nastavení stavové brány firewall

Na úrovni Edge můžete volitelně přepsat nastavení stavové brány firewall zaškrtnutím pole Povolit potlačení Edge (Enable Edge Override) v oblasti Nastavení stavové brány firewall (Stateful Firewall Settings). Více informací o nastavení stavové brány firewall naleznete v tématu Konfigurace nastavení stavové brány firewall.

Přepsání nastavení sítě a ochrany před floodingem

Na úrovni Edge můžete volitelně přepsat nastavení sítě a ochrany před floodingem zaškrtnutím pole Povolit potlačení Edge (Enable Edge Override) v oblasti Nastavení stavové brány firewall (Stateful Firewall Settings). Více informací o nastavení sítš a ochrany před floodingem naleznete v tématu Nastavení konfigurace sítě a ochrany před floodingem.

Přepsání nastavení konfigurace přístupu k Edge

Na úrovni Edge můžete volitelně také přepsat konfiguraci přístupu k Edge zaškrtnutím pole Povolit potlačení Edge (Enable Edge Override) v oblasti Přístup k Edge (Edge Access). Více informací o konfiguraci přístupu k Edge naleznete v tématu Konfigurace přístupu k Edge.

Související odkazy