Ve výchozím nastavení dědí všechna zařízení Edge pravidla brány firewall, nastavení služeb EFS (Enhanced Firewall Services), nastavení stavové brány firewall, nastavení sítě a ochrany před floodingem, protokolování brány firewall, předávání syslogu a konfigurace přístupu zařízení Edge z přidruženého profilu.

Poznámka: Aby protokolování brány firewall do systému Orchestrator fungovalo, ujistěte se, že zařízení SD-WAN Edge jsou spuštěna ve verzi 5.2 a vyšší.
Na kartě Brána firewall (Firewall) v dialogovém okně Konfigurace Edge (Edge Configuration) si můžete v oblasti Pravidlo z profilu (Rule From Profile) prohlédnout všechna zděděná pravidla brány firewall. Volitelně můžete na úrovni zařízení Edge také přepsat zděděná pravidla brány firewall a různá nastavení brány firewall.
  1. Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Zařízení Edge (Edges).
  2. Zvolte Edge, jehož nastavení firewallu chcete přepsat, a klikněte na záložku Firewall.
  3. Zaškrtněte pole Přepsat (Override) u různých nastavení brány firewall, pro něž chcete upravit zděděná pravidla a nastavení brány firewall pro vybrané zařízení Edge.
    Poznámka: Pravidla přepsání Edge jsou prioritou před pravidly pro Edge zděděnými z Profilu. Jakékoli hodnoty nastavení pro potlačení pravidel, které jsou stejné také u pravidel brány firewall na úrovni profilu, budou mít před danými pravidly profilu přednost.
  4. Na úrovni Edge můžete konfigurovat pravidla předávání portů a NAT 1:1 IPv4 nebo IPv6 jednotlivě tak, že přejdete na Dodatečná nastavení (Additional Settings) > Příchozí seznamy ACL (Inbound ACL). Další informace naleznete v tématu Pravidla pro předávání portůNastavení NAT 1:1.
    Poznámka: Ve výchozím nastavení bude veškerý příchozí provoz blokován, pokud nebudou nakonfigurována pravidla předávání portů a NAT 1:1.u brány firewall. Vnější IP adresa bude vždy WAN IP nebo IP adresa z podsítě WAN IP.
    Poznámka: Při konfiguraci pravidel předávání portů IPv6 a NAT 1:1 můžete zadat pouze globální nebo unicastovou IP adresu a nemůžete zadat místní adresu odkazu.

Pravidla předávání portů a NAT 1:1 u brány firewall

Poznámka: Pravidla předávání portů a NAT 1:1 můžete nakonfigurovat jednotlivě pouze na úrovni Edge.

Pravidla předávání portů a NAT 1:1 u brány firewall dokáží internetovým klientům zajistit přístup k serverům připojeným k rozhraní LAN pro Edge. Přístup lze zajistit pomocí pravidel pro předávání portů nebo podle pravidel překladu síťových adres NAT 1:1.

Pravidla pro předávání portů

Pravidla pro předávání portů umožňují určit pravidla pro předávání přenášených dat ze specifického portu sítě WAN do zařízení (IP adresa LAN nebo port sítě LAN) v místní podsíti. Případně můžete také omezit příchozí data podle IP adresy nebo podsítě. Pravidla předávání portů lze nakonfigurovat v případě vnější IP adresy, která je ve stejné podsíti jako IP adresa sítě WAN. Pokud poskytovatel internetových služeb směruje přenášená data do podsítě na straně Zařízení SD-WAN Edge, můžete také překládat vnější IP adresy v podsítích, které se liší od adresy rozhraní sítě WAN.

Na následujícím snímku najdete konfiguraci předávání portů.

V části Pravidla předávání portů (Port Forwarding Rules) můžete konfigurovat pravidla předávání portů s adresou IPv4 nebo IPv6 kliknutím na tlačítko +Přidat (+Add) a poté zadáním následujících údajů.

  1. Do textového pole Název (Name) zadejte (volitelně) název pravidla.
  2. Z rozevírací nabídky Protokol (Protocol) vyberte protokol předávání portů TCP nebo UDP.
  3. Z rozevírací nabídky Rozhraní (Interface) vyberte rozhraní pro příchozí data.
  4. Do textového pole Vnější IP adresa (Outside IP) zadejte adresu IPv4 nebo IPv6, na které je hostitel (aplikace) dostupný z vnější sítě.
  5. Do textového pole Porty WAN (WAN Ports) zadejte port WAN nebo rozsah portů oddělených symbolem mínus „-“ (například 20-25).
  6. Do textových polí IP adresa sítě LAN (LAN IP)Port LAN (LAN Port) zadejte IP adresu IPv4 nebo IPv6 a číslo portu LAN, kam budou žádosti předávány.
  7. Z rozevírací nabídky Segment vyberte segment, do kterého bude IP adresa LAN patřit.
  8. V textovém poli Vzdálená IP adresa / podsíť (Remote IP/subnet) zadejte IP adresu příchozích přenášených dat, které chcete přeposílat na interní server. Pokud žádnou IP adresu nezadáte, povolíte tím neomezený provoz.
  9. Vyberte zaškrtávací pole Protokolování (Log) pro aktivaci protokolování pro toto pravidlo.
  10. Klikněte na tlačítko Uložit změny (Save Changes).

Nastavení NAT 1:1

Nastavení se používá k mapování vnější IP adresy podporované Zařízení SD-WAN Edge na server připojený k rozhraní LAN pro Edge (jako je například webový nebo poštovní server). Pokud poskytovatel internetových služeb směruje přenášená data do podsítě na straně Zařízení SD-WAN Edge, můžete také překládat vnější IP adresy v podsítích, které se liší od adresy rozhraní sítě WAN. Každé mapování probíhá mezi jednou IP adresou mimo bránu firewall pro konkrétní rozhraní sítě WAN a jednou IP adresou sítě LAN za bránou firewall. V rámci každého mapování můžete určit, které porty budou předány na vnitřní IP adresu. Pomocí symbolu + na pravé straně můžete přidat dodatečná nastavení NAT 1:1.

Na následujícím snímku najdete konfiguraci NAT 1:1.

V části Pravidla 1:1 NAT (1:1 NAT Rules) můžete konfigurovat pravidla 1:1 NAT s adresou IPv4 nebo IPv6 kliknutím na tlačítko +Přidat (+Add) a poté zadáním následujících údajů.

  1. Do textového pole Název (Name) zadejte název pravidla.
  2. Do textového pole Vnější IP adresa (Outside IP) zadejte IP adresu IPv4 nebo IPv6, na které je hostitel dostupný z vnější sítě.
  3. Z rozevírací nabídky Rozhraní (Interface) vyberte rozhraní sítě WAN, na které bude vnější IP adresa vázána.
  4. Do textového pole Vnitřní IP adresa (LAN) (Inside (LAN) IP) zadejte skutečnou IP adresu IPv4 nebo IPv6 (LAN) hostitele.
  5. Z rozevírací nabídky Segment vyberte segment, do kterého bude IP adresa LAN patřit.
  6. Pokud chcete povolit, aby provoz z klienta LAN do internetu byl NATed na vnější IP adresu, zaškrtněte pole Odchozí provoz (Outbound Traffic).
  7. Do příslušných polí zadejte detaily zdroje povoleného provozu (protokol, porty, vzdálená IP adresa / podsíť (Remote IP/subnet)) pro potřeby mapování.
  8. Vyberte zaškrtávací pole Protokolování (Log) pro aktivaci protokolování pro toto pravidlo.
  9. Klikněte na tlačítko Uložit změny (Save Changes).