Můžete nakonfigurovat pravidla brány firewall na úrovni profilů a Edge pro povolení, zahození, odmítnutí nebo přeskočení příchozího a odchozího provozu. Pokud je aktivována funkce stavové brány firewall, pravidlo brány firewall bude ověřeno pro filtrování příchozího i odchozího provozu. Pomocí bezstavové brány firewall můžete řídit filtrování pouze odchozího provozu. Pravidlo brány firewall porovnává parametry, jako jsou IP adresy, porty, ID VLAN, rozhraní, adresy MAC, názvy domén, protokoly, skupiny objektů, aplikace a značky DSCP. Pokud datový paket splňuje podmínky shody, budou provedeny přidružené akce. Pokud paket nesplňuje žádné parametry, provede se s paketem výchozí akce.
Chcete-li nakonfigurovat pravidlo brány firewall na úrovni profilu, proveďte následující kroky.
Procedura
- Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Profily (Profiles). Na stránce Profily (Profiles) se zobrazí existující profily.
- Zvolte profil pro konfiguraci pravidla brány firewall a klikněte na kartu Brána firewall (Firewall).
Ze stránky Profily (Profiles) můžete přejít na stránku Firewall přímo kliknutím na odkaz Zobrazit (View) ve sloupci Firewall profilu.
- Přejděte do sekce Konfigurovat bránu firewall (Configure Firewall) a v části Pravidla brány firewall (Firewall Rules) klikněte na + NOVÉ PRAVIDLO (+ NEW RULE). Otevře se dialogové okno Konfigurace pravidla (Configure Rule).
- Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla. Pokud chcete z existujícího pravidla vytvořit pravidlo brány firewall, vyberte pravidlo, které chcete duplikovat, z rozevírací nabídkyDuplikovat pravidlo (Duplicate Rule).
- V sekci Shoda (Match) nakonfigurujte podmínky pro shodu s pravidlem:
Pole Popis Verze IP (IP Version) Ve výchozím nastavení je vybrán typ adresy IPv4 a IPv6. Zdrojové a cílové IP adresy můžete nakonfigurovat podle vybraného typu adresy následujícím způsobem: - IPv4 – umožňuje jako zdroj a cíl konfigurovat pouze adresy IPv4.
- IPv6 – umožňuje jako zdroj a cíl konfigurovat pouze adresy IPv6.
- IPv4 a IPv6 – v kritériích shody umožňuje konfigurovat adresy IPv4 a IPv6. Pokud zvolíte tento režim, nemůžete nakonfigurovat zdrojovou nebo cílovou IP adresu.
Poznámka: Během upgradu se pravidla brány firewall z předchozích vydání přenáší do režimu IPv4.Zdroj (Source) Umožňuje specifikovat zdroj pro pakety. Vyberte jednu z následujících možností:- Libovolný (Any) – povoluje ve výchozím nastavení všechny zdrojové adresy.
- Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin služeb. Další informace naleznete v tématu Skupiny objektů a Konfigurace pravidla brány firewall pomocí skupiny objektů.
Poznámka: Pokud vybraná skupina adres obsahuje názvy domén, budou při hledání shody se zdrojem ignorovány.
- Definovat (Define) – umožňuje definovat zdrojový provoz na konkrétní VLAN, rozhraní, adresu IPv4 nebo IPv6, adresu MAC nebo přenosový port. Vyberte jednu z následujících možností:
- Síť VLAN (VLAN) – porovnává provoz ze zadané VLAN vybrané z rozevírací nabídky.
- Rozhraní a IP adresy (Interface and IP Address) – porovnává provoz ze zadaného rozhraní a adresy IPv4 nebo IPv6 vybrané z rozevírací nabídky.
Poznámka: Pokud nelze vybrat rozhraní, rozhraní buď není aktivováno, nebo není přiřazeno k tomuto segmentu.Poznámka: Pokud jako typ adresy vyberete možnost IPv4 a Ipv6 (IPv4 and IPv6) (smíšený režim), bude provoz odpovídající pouze na základě zadaného rozhraní.Spolu s IP adresou můžete pro porovnání zdrojového provozu určit jednu z následujících typů adresy:
- Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například:
172.10.0.0 /16
). - Maska podsítě (Subnet mask) – tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například:
172.10.0.0 255.255.0.0
). - Invertovaná maska (Wildcard mask) – tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP adresy, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a „1“ znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například invertovaná maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný. Tato možnost je k dispozici pouze pro adresy IPv4.
- Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například:
- Adresa Mac (Mac Address) – porovnává provoz na základě zadané adresy MAC.
- Port přenosu (Transport Port) – porovnává provoz ze zadaného zdrojového portu nebo rozsahu portů.
Cíl (Destination) Umožňuje specifikovat cíl pro pakety. Vyberte jednu z následujících možností: - Libovolný (Any) – povoluje ve výchozím nastavení všechny cílové adresy.
- Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin služeb. Další informace naleznete v tématu Skupiny objektů a Konfigurace pravidla brány firewall pomocí skupiny objektů.
- Definovat (Define) – umožňuje definovat cíl provozu na konkrétní VLAN, rozhraní, adresu IPv4 nebo IPv6, název domény, protokol nebo port. Vyberte jednu z následujících možností:
- Síť VLAN (VLAN) – porovnává provoz ze zadané VLAN vybrané z rozevírací nabídky.
- Rozhraní (Interface) – porovnává provoz ze zadaného rozhraní vybraného z rozevírací nabídky.
Poznámka: Pokud nelze vybrat rozhraní, rozhraní buď není aktivováno, nebo není přiřazeno k tomuto segmentu.
- IP adresa (IP Address) – porovnává provoz pro zadanou adresu IPv4 nebo IPv6 a název domény.
Poznámka: Pokud jako typ adresy vyberete IPv4 a Ipv6 (IPv4 and IPv6) (smíšený režim), nelze jako cíl zadat IP adresu.
Spolu s IP adresou můžete pro porovnání zdrojového provozu určit jeden z následujících typů adres: Předpona CIDR (CIDR prefix), Maska podsítě (Subnet mask) nebo Invertovaná maska (Wildcard mask).
Použijte pole Název domény (Domain Name) pro shodu celého názvu domény nebo jeho části. Například při použití výrazu „salesforce“ se zobrazí tok dat pro umístění „mixe“.
- Přenos (Transport) – porovnává provoz ze zadaného zdrojového portu nebo rozsahu portů.
Protokol (Protocol) – porovnává provoz se zadaným protokolem vybraným z rozevírací nabídky. Podporované protokoly jsou: GRE, ICMP, TCP a UDP.Poznámka: Protokol ICMP není podporován ve smíšeném režimu (IPv4 a IPv6).
Aplikace (Application) Vyberte jednu z následujících možností: - Libovolné (Any) – použije ve výchozím nastavení pravidlo brány firewall na libovolnou aplikaci.
- Definovat (Define) – povoluje vybrat aplikaci a příznak kódového bodu diferencované služby (DSCP) pro uplatnění specifického pravidla brány firewall.
Poznámka: Při vytváření pravidel brány firewall porovnávajících aplikaci závisí brána firewall na modulu DPI (hloubkové kontroly paketu), který identifikuje aplikaci, ke které patří určitý tok. DPI obecně nebude schopen určit aplikaci na základě prvního paketu. Modul DPI obvykle k identifikaci aplikace vyžaduje prvních 5 až 10 paketů v toku, avšak brána firewall musí klasifikovat a přesměrovat tok již od úplně prvního paketu. To může způsobit, že se první tok bude shodovat s obecnějšími pravidly v seznamu pravidel brány firewall. Jakmile je aplikace správně identifikována, všechny budoucí toky odpovídající stejným řazeným kolekcím budou automaticky překlasifikovány podle správného pravidla.Další informace o konkrétním případu použití odpovídajícím bráně firewall pro protokol FTPv6 / firemnímu pravidlu řízení naleznete v tématu Podpora brány firewall Edge pro FTPv6.
- V sekci Akce (Action) nakonfigurujte akce, které mají být provedeny, pokud provoz odpovídá definovaným kritériím.
Pole Popis Brána firewall (Firewall) Vyberte některou z následujících akcí, kterou má brána firewall provést s pakety, pokud jsou splněny podmínky pravidla: - Povolit (Allow) – povoluje datové pakety ve výchozím nastavení.
- Zahodit (Drop) – zahodí datové pakety bez odeslání oznámení zdroji.
Protokol (Log) Toto pole zaškrtněte, pokud chcete, aby byla při aktivaci tohoto pravidla vytvořena položka protokolu. - Zaškrtněte pole IDS/IPS a aktivujte IDS nebo IPS, abyste vytvořili bránu firewall. Pokud uživatel aktivuje pouze IPS, IDS bude aktivováno automaticky. Modul EFS kontroluje provoz odeslaný/přijatý prostřednictvím zařízení Edge a porovnává obsah s podpisy nakonfigurovanými v modulu EFS. Podpisy IDS/IPS jsou průběžně aktualizovány pomocí platné licence EFS. Další informace o EFS naleznete v tématu Vylepšené služby brány firewall.
Poznámka: EFS lze v pravidlu aktivovat pouze v případě, že akce brány firewall je Povolit (Allow). Pokud je akce brány firewall jiná než Povolit (Allow), modul EFS bude deaktivován.
- Systém zjišťování neoprávněného vniknutí (Intrusion Detection System) – když je na zařízeních Edge aktivováno IDS, zařízení Edge na základě určitých podpisů nakonfigurovaných v modulu zjistí, zda je tok provozu škodlivý, nebo ne. Pokud je útok rozpoznán, modul EFS vygeneruje výstrahu a odešle zprávu výstrahy do SASE Orchestrator / na server Syslog (pokud je v nástroji Orchestrator aktivováno protokolování brány firewall) a nezahodí žádné pakety.
- Systém prevence před neoprávněným vniknutím (Intrusion Prevention System) – když je na zařízeních Edge aktivováno IPS, zařízení Edge na základě určitých podpisů nakonfigurovaných v modulu zjistí, zda je tok provozu škodlivý, nebo ne. Pokud je detekován útok, modul EFS vygeneruje výstrahu a zablokuje tok dat ke klientovi pouze v případě, že má pravidlo podpisu akci Odmítnout (Reject), která se shoduje se škodlivým provozem. Pokud je akce v pravidlu podpisu Výstraha (Alert), provoz bude povolen bez odstranění paketů, i když nakonfigurujete IPS.
Poznámka: VMware doporučuje zákazníkovi, aby neaktivoval VNF, když je na zařízeních Edge aktivováno IDS/IPS. - Chcete-li odesílat protokoly EFS do nástroje Orchestrator, zapněte přepínač Zachycovat protokol EFS (Capture EFS Log).
Poznámka: Aby zařízení Edge mohlo odesílat protokoly brány firewall do nástroje Orchestrator, ujistěte se, že je zákaznická možnost Aktivovat protokolování brány firewall do nástroje Orchestrator (Enable Firewall Logging to Orchestrator) aktivována na úrovni zákazníka na stránce uživatelského rozhraní Globální nastavení (Global Settings). Zákazníci se musí obrátit na svého operátora, pokud si přejete aktivovat funkci protokolování brány firewall.
- Při vytváření nebo aktualizaci pravidla brány firewall můžete přidat komentáře k pravidlu v poli Nový komentář (New Comment) na kartě Historie komentářů (Comment History). Je povoleno maximálně 50 znaků a můžete přidat libovolný počet komentářů ke stejnému pravidlu.
- Po konfiguraci všech požadovaných nastavení klikněte na tlačítko Vytvořit (Create).
Pro zvolený profil je vytvořeno pravidlo brány firewall, které se zobrazí v oblasti Pravidla brány firewall (Firewall Rules) na stránce Brána firewall profilu (Profile Firewall).Poznámka: Pravidla vytvořená na úrovni profilu nelze aktualizovat na úrovni zařízení Edge. Aby bylo možné pravidlo přepsat, uživatel musí vytvořit stejné pravidlo na úrovni zařízení Edge s novými parametry k přepsání pravidla úrovně profilu.V části Pravidla firewallu (Firewall Rules) na stránce Firewall pro Profil (Profile Firewall) lze provést následující akce:
- ODSTRANIT (DELETE) – Chcete-li odstranit existující pravidla brány firewall, zaškrtněte pole před pravidly a klikněte na možnost ODSTRANIT (DELETE).
- KLONOVAT (CLONE) – Pokud chcete duplikovat pravidlo brány firewall, vyberte pravidlo a klikněte na možnost KLONOVAT (CLONE).
- HISTORIE KOMENTÁŘŮ (COMMENT HISTORY) – Chcete-li zobrazit všechny komentáře přidané při vytváření nebo aktualizaci pravidla, vyberte pravidlo a klikněte na možnost HISTORIE KOMENTÁŘŮ (COMMENT HISTORY).
- Hledat pravidlo (Search for Rule) – Umožňuje vyhledávat pravidlo podle názvu, IP adresy, portu / intervalu portů, skupiny adres a názvů skupin služeb.