Zákazníci mohou konfigurovat a spravovat služby EFS (Enhanced Firewall Services) pomocí funkce brány firewall v nástroji VMware SASE Orchestrator.
Než začnete
Aby funkce EFS fungovala:
- Ujistěte se, že je verze zařízení Edge upgradována na 5.2.0.0.
- Ujistěte se, že je funkce EFS aktivována na úrovni podniku. Pokud chcete funkci EFS aktivovat, obraťte se na operátora. Operátor může aktivovat funkci EFS ze stránky uživatelského rozhraní SD-WAN > Globální nastavení (Global Settings) > Konfigurace zákazníka (Customer Configuration) > Nastavení SD-WAN (SD-WAN Settings) > Přístup k funkci (Feature Access).
Nakonfigurujte nastavení pravidel EFS na úrovni profilu
- Ve službě SD-WAN podnikového portálu přejděte na možnost . Na stránce Profily (Profiles) se zobrazí existující profily.
- Chcete-li nakonfigurovat bránu firewall profilu, klikněte na odkaz na profil a pak klikněte na kartu Firewall. Alternativně můžete také kliknout na odkaz Zobrazit (View) ve sloupci Firewall pro profil.
- Otevře se stránka Brána firewall (Firewall).
- Zapnutím přepínacího tlačítka Vylepšené služby brány firewall (Enhanced Firewall Services) aktivujete funkci EFS pro všechna zařízení Edge spojená s profilem. Ve výchozím nastavení není tato funkce aktivována.
- V části Pravidla brány firewall (Firewall Rules) můžete pro nastavení EFS vytvořit nové pravidlo EFS nebo upravit existující pravidlo brány firewall.
- Vytvoření nového pravidla EFS:
- Klikněte na tlačítko + Nové pravidlo (+ New Rule).
- Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla. Pokud chcete z existujícího pravidla vytvořit pravidlo brány firewall, vyberte pravidlo, které chcete duplikovat, z rozevírací nabídkyDuplikovat pravidlo (Duplicate Rule).
- Nakonfigurujte podmínky Shody (Match) a Akce brány firewall (Firewall Actions) tak, aby byly provedeny, pokud provoz odpovídá definovaným kritériím shody. Další informace naleznete v tématu Konfigurace pravidla brány firewall.
- Zaškrtněte pole IDS/IPS a aktivujte IDS nebo IPS, abyste vytvořili bránu firewall. Pokud uživatel aktivuje pouze IPS, IDS bude aktivováno automaticky. Modul EFS kontroluje provoz odeslaný/přijatý prostřednictvím zařízení Edge a porovnává obsah s podpisy nakonfigurovanými v modulu EFS.
Poznámka: EFS lze v pravidlu aktivovat pouze v případě, že akce brány firewall je Povolit (Allow). Pokud je akce brány firewall jiná než Povolit (Allow), modul EFS bude deaktivován.
- Systém zjišťování neoprávněného vniknutí (Intrusion Detection System) – když je na zařízeních Edge aktivováno IDS, zařízení Edge na základě určitých podpisů nakonfigurovaných v modulu zjistí, zda je tok provozu škodlivý, nebo ne. Pokud je útok rozpoznán, modul EFS vygeneruje výstrahu a odešle zprávu výstrahy do SASE Orchestrator / na server Syslog (pokud je v nástroji Orchestrator aktivováno protokolování brány firewall) a nezahodí žádné pakety.
- Systém prevence před neoprávněným vniknutím (Intrusion Prevention System) – když je na zařízeních Edge aktivováno IPS, zařízení Edge na základě určitých podpisů nakonfigurovaných v modulu zjistí, zda je tok provozu škodlivý, nebo ne. Pokud je detekován útok, modul EFS vygeneruje výstrahu a zablokuje tok dat ke klientovi pouze v případě, že má pravidlo podpisu akci Odmítnout (Reject), která se shoduje se škodlivým provozem. Pokud je akce v pravidlu podpisu Výstraha (Alert), provoz bude povolen bez odstranění paketů, i když nakonfigurujete IPS.
Poznámka: VMware doporučuje zákazníkovi, aby neaktivoval VNF, když je na zařízeních Edge aktivováno IDS/IPS. - Chcete-li odesílat protokoly EFS do nástroje Orchestrator, zapněte přepínač Zachycovat protokol EFS (Capture EFS Log).
Poznámka: Aby zařízení Edge mohlo odesílat protokoly brány firewall do nástroje Orchestrator, ujistěte se, že je zákaznická možnost Aktivovat protokolování brány firewall do nástroje Orchestrator (Enable Firewall Logging to Orchestrator) aktivována na úrovni zákazníka na stránce uživatelského rozhraní Globální nastavení (Global Settings). Zákazníci se musí obrátit na svého operátora, pokud si přejete aktivovat funkci protokolování brány firewall.
- Klikněte na tlačítko Vytvořit (Create).
- Úprava existujícího pravidla brány firewall pro nastavení EFS:
- V oblasti Pravidla brány firewall (Firewall Rules) na stránce Brána firewall profilu (Profile Firewall) klikněte na odkaz ve sloupci Název pravidla (Rule name) pro existující bránu firewall, kterou chcete upravit.
- Upravte nastavení IDS/IPS a klikněte na možnost Upravit (Edit).
- Vytvoření nového pravidla EFS:
- Klikněte na tlačítko Uložit změny (Save Changes).
Konfigurace nastavení pravidel EFS na úrovni zařízení Edge
- Ve službě SD-WAN podnikového portálu přejděte na možnost . Na stránce Zařízení Edge (Edges) se zobrazí existující Edge.
- Chcete-li nakonfigurovat zařízení Edge, klikněte na odkaz na zařízení Edge nebo klikněte na odkaz Zobrazit (View) ve sloupci Brána firewall (Firewall) zařízení Edge.
- Klikněte na kartu Firewall (Brána firewall).
- Chcete-li přepsat zděděná nastavení EFS pro konkrétní zařízení Edge, zaškrtněte pole Přepsat (Override) a zapněte přepínací tlačítko vedle popisku uživatelského rozhraní Vylepšené služby firewall (Enhanced Firewall Services).
- V oblasti Pravidla brány firewall (Firewall Rules) na stránce Brána firewall zařízení Edge (Edge Firewall) můžete vytvořit nové pravidlo EFS nebo přepsat nastavení zděděného pravidla EFS pro zařízení Edge. Řiďte se postupem popsaným v kroku 5 v části Nakonfigurujte nastavení pravidel EFS na úrovni profilu.
- Po přepsání nastavení pravidel EFS klikněte na možnost Uložit změny (Save Changes).
Poznámka: Pravidla brány firewall u existujících zařízení Edge, která nejsou upgradována na verzi 5.2.0, nebudou mít po aktivaci služby EFS na úrovni globálního nastavení nebo na úrovni pravidla s IDS/IPS žádný vliv.