Zákazník s funkcí rozšířené brány firewall (EFS) aktivované na úrovni globálního nastavení v VMware SASE Orchestrator nyní může individuálně konfigurovat a spravovat služby zabezpečení, jako je filtrování adres URL (filtrování kategorií URL adres, filtrování podle reputace URL adres), filtrování škodlivých IP adres, systém zjišťování neoprávněného vniknutí (IDS) a systém prevence před neoprávněným vniknutím (IPS). Pokud chcete blokovat provoz uživatele na základě párování podpisu IDS/IPS, kategorie nebo reputace adresy URL nebo IP adresy, musí zákazník vytvořit skupinu služeb zabezpečení za použití předkonfigurovaných služeb zabezpečení a přiřadit danou skupinu služeb zabezpečení k pravidlům brány firewall.
Než začnete
Aby funkce EFS fungovala:
Ujistěte se, že je zařízení Edge pro filtrování adres URL (kategorie URL adres a reputace URL adres) verze 6.0.0 a funkce filtrování škodlivých IP adres funguje podle očekávání. U konfigurace služby IDS a IPS se ujistěte, že je zařízení Edge verze 5.2.0 a novější.
Ujistěte se, že je funkce EFS aktivována na úrovni podniku. Pokud chcete funkci EFS aktivovat, obraťte se na operátora. Operátor může aktivovat funkci EFS ze stránky uživatelského rozhraní SD-WAN > Globální nastavení (Global Settings) > Konfigurace zákazníka (Customer Configuration) > Nastavení SD-WAN (SD-WAN Settings) > Přístup k funkci (Feature Access).
Ve službě
SD-WAN podnikového portálu klikněte na možnost
Konfigurovat (Configure) >
Zvýšené zabezpečení (Enhanced Security) >
Služby pro zabezpečení (Security Services). Zobrazí se stránka
Služby pro zabezpečení (Security Services).
Zákazníci mohou konfigurovat následující služby zabezpečení:
Služba kategorií URL adres spočívá v přiřazování jedné nebo více kategorií adresám URL / doménám. Jelikož existují stovky milionů webových stránek a URL adres, je velmi únavné konfigurovat zásady pro jednotlivé URL adresy, takže tyto URL adresy jsou již namapovány do specifické kategorie, načež jsou pro vybrané kategorie uplatněny filtrovací zásady.
Poznámka: Adresa URL je klasifikována s kategorií „Neznámá“ (Unknown), pokud nejsou v rámci služby filtrování adres URL dostupné žádné informace o kategorizaci.
V současné době existuje více než 80 kategorií URL, mezi které patří Sociální sítě, Finanční služby, Phishing atd.
Chcete-li nakonfigurovat kategorie pro URL adresy, proveďte následující kroky:
Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Vylepšené zabezpečení (Enhanced Security) > Služby zabezpečení (Security Services). Zobrazí se stránka Služby pro zabezpečení (Security Services).
Klikněte na kartu Kategorie URL adres (URL Categories) a klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE). Otevře se vyskakovací okno Konfigurace služby kategorií URL adres (Configure URL Category Service).
Zadejte jedinečný název služby Kategorie URL adres (URL Categories) a podle potřeby zadejte popis.
Ze seznamu Povolené kategorie (Allow Categories) můžete vybrat kategorie, které chcete zablokovat, a přesunout je na seznam Blokované kategorie (Blocked Categories) pomocí tlačítka šipky vlevo. Podobně můžete pomocí šipky vpravo vybrat kategorie, které chcete povolit a zaprotokolovat a přesunout je do seznamu Monitorované kategorie (Monitor Categories).
Poznámka: Protokoly pro pravidla brány firewall, která odpovídají kategoriím Blokováno (Blocked) a Monitorování (Monitor), jsou zachycovány automaticky . V případě povolených kategorií je provoz povolen, ale není protokolován.
Chcete-li povolit URL adresu s kategorií Neznámé (Unknown), zrušte zaškrtnutí políčka v dolní části.
Poznámka: Ve výchozím nastavení budou
Neznámé (Unknown) kategorie blokovány.
Klikněte na tlačítko Uložit změny (Save Changes). Je vytvořeno pravidlo služby kategorie URL adres a zobrazí se v tabulce na stránce Kategorie URL adres (URL Categories).
Kliknutím na odkaz na skupinu zabezpečení můžete upravit nastavení. Chcete-li odstranit službu zabezpečení, zaškrtněte pole před skupinou a klikněte na možnost Odstranit (Delete).
Poznámka: Používané služby zabezpečení nelze odstranit. Chcete-li odstranit službu zabezpečení, musí být nejprve odstraněna z přidružených skupin služeb zabezpečení a pravidel brány firewall.
Pokud chcete zobrazit seznam blokovaných kategorií, monitorovaných kategorií a zabezpečujících skupin asociovaných se službou zabezpečení, klikněte na příslušné odkazy ve sloupcích Blokované kategorie (Blocked Categories), Monitorované kategorie (Monitor Categories) a Používá – Zabezpečující skupina (Used by ‑ Security Group).
Konfigurovat službu reputace URL
Reputace URL adres zajišťuje důvěryhodnost webových stránek. Klasifikace hodnocení reputace pro adresy URL a IP adresy je uvedena níže:
81–100: Důvěryhodná
61–80: Nízké riziko
41–60: Střední riziko
21–40: Podezřelá
01–20: Vysoké riziko
Poznámka: Důvěryhodná je nejbezpečnější reputace a nese nejmenší riziko.
Služba reputace adresy URL vyhledá hodnocení cílových adres URL a zablokuje provoz Edge, pokud jejich hodnocení naznačuje hrozbu.
Chcete-li nakonfigurovat reputaci pro URL adresy, proveďte následující kroky:
Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Vylepšené zabezpečení (Enhanced Security) > Služby zabezpečení (Security Services). Zobrazí se stránka Služby pro zabezpečení (Security Services).
Klikněte na kartu Reputace URL adresy (URL Reputation) a klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE). Otevře se vyskakovací okno Konfigurace služby reputace URL adresy (Configure URL Reputation Service).
Zadejte jedinečný název služby Reputace URL adres (URL Reputation) a podle potřeby zadejte popis.
Z rozbalovací nabídky Minimální přijatelná reputace (Minimum Acceptable Reputation) vyberte přijatelnou reputaci pro povolení provozu do/z URL adresy. Jakmile nakonfigurujete minimální přijatelnou reputaci, všechny ostatní reputace, které musí být blokovány, budou automaticky uvedeny v poli Blokované reputace (Blocked Reputation(s)). Provoz do/z jakékoli adresy URL pod vybranou úrovní reputace adresy URL bude automaticky zablokován a protokolován a provoz nad vybranou úrovní reputace adresy URL bude povolen, ale nebude automaticky protokolován. Pomocí rozevírací nabídky Protokoly zachycení (Capture Logs) můžete specifikovat reputace, které mají být protokolovány.
Chcete-li povolit URL adresu s reputací Neznámé (Unknown), zrušte zaškrtnutí políčka v dolní části. Adresa URL je klasifikována jako s „Neznámou“ (Unknown) reputací, pokud nejsou k dispozici žádné informace o reputaci ze služby Filtrování adres URL (URL Filtering).
Poznámka: Ve výchozím nastavení budou
Neznámé (Unknown) reputace blokovány.
Klikněte na tlačítko Uložit změny (Save Changes). Je vytvořeno pravidlo služby reputace URL adresy a zobrazí se v tabulce na stránce Reputace URL adresy (URL Reputation).
Kliknutím na odkaz na skupinu zabezpečení můžete upravit nastavení. Chcete-li odstranit službu zabezpečení, zaškrtněte pole před skupinou a klikněte na možnost Odstranit (Delete).
Konfigurace služby pro identifikaci škodlivých IP adres
Blokování IP adres může být užitečné pro ochranu sítě nebo webové stránky před škodlivými aktivitami. Skóre reputace IP adresy přiřazené službou Webroot označuje důvěryhodnost IP adres. Služba pro identifikaci škodlivých IP adres vyhledá hodnocení reputace IP adres u cílových IP adres a zablokuje provoz Edge, pokud jejich hodnocení indikuje škodlivé aktivity.
Chcete-li nakonfigurovat škodlivé IP adresy, proveďte následující kroky:
Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Vylepšené zabezpečení (Enhanced Security) > Služby zabezpečení (Security Services). Zobrazí se stránka Služby pro zabezpečení (Security Services).
Klikněte na kartu Škodlivá IP adresa (Malicious IP) a klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE). Otevře se vyskakovací okno Konfigurace služby filtrování škodlivých IP adres (Configure Malicious IP Filtering Service).
Zadejte jedinečný název služby škodlivé IP adresy a podle potřeby zadejte popis.
Z rozevírací nabídky Akce (Action) vyberte akci, která bude provedena, když je detekován provoz IPv4 směřující do škodlivé IP adresy. Vybrat můžete jakoukoli z následujících možností:
Monitorování (Monitor) – povoluje a automaticky protokoluje provoz IPv4 ze služby identifikace škodlivých IP adres.
Blokování (Block) – blokuje a automaticky protokoluje provoz IPv4 ze služby identifikace škodlivých IP adres.
Poznámka: Pokud adresa IP není škodlivá, je provoz IPv4 povolen, ale není protokolován.
Klikněte na tlačítko Uložit změny (Save Changes). Je vytvořeno pravidlo služby pro identifikaci škodlivé IP adresy, které se zobrazí v tabulce na stránce Škodlivá IP adresa (Malicious IP).
Kliknutím na odkaz na skupinu zabezpečení můžete upravit nastavení. Chcete-li odstranit službu zabezpečení, zaškrtněte pole před skupinou a klikněte na možnost Odstranit (Delete).
Konfigurovat službu pro zabezpečení IDS/IPS
Chcete-li nakonfigurovat služby pro systém zjišťování neoprávněného vniknutí (IDS) / systém prevence před neoprávněným vniknutím (IPS), proveďte následující kroky:
Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Vylepšené zabezpečení (Enhanced Security) > Služby zabezpečení (Security Services). Zobrazí se stránka Služby pro zabezpečení (Security Services).
Klikněte na kartu IDS/IPS a klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE). Otevře se vyskakovací okno Konfigurovat službu pro zabezpečení IDS/IPS (Configure IDS/IPS Security Service).
Zadejte jedinečný název služby IDS/IPS a podle potřeby zadejte popis.
V části Zjišťování a prevence před neoprávněným vniknutím (Intrusion Detection and Prevention) aktivujte přepínač zjišťování neoprávněného vniknutí (IDS)a/nebo prevence před neoprávněným vniknutím (IPS). Pokud uživatel aktivuje pouze IPS, služba IDS bude aktivována automaticky. Modul EFS kontroluje provoz odeslaný/přijatý prostřednictvím zařízení Edge a porovnává obsah s podpisy nakonfigurovanými v modulu EFS. Podpisy IDS/IPS jsou průběžně aktualizovány pomocí platné licence EFS. Další informace o EFS naleznete v tématu Vylepšené služby brány firewall.
Zjišťování neoprávněného vniknutí (Intrusion Detection) – když je na zařízeních Edge aktivováno IDS, zařízení Edge na základě určitých podpisů nakonfigurovaných v modulu zjistí, zda je tok provozu škodlivý, nebo ne. Pokud je útok rozpoznán, modul EFS vygeneruje výstrahu a odešle zprávu výstrahy do SASE Orchestrator / na server Syslog (pokud je v systému Orchestrator aktivováno protokolování brány firewall) a nezahodí žádné pakety.
Prevence před neoprávněným vniknutím (Intrusion Prevention) – když je na zařízeních Edge aktivováno IPS, zařízení Edge na základě určitých podpisů nakonfigurovaných v modulu zjistí, zda je tok provozu škodlivý, nebo ne. Pokud je zjištěn útok, modul systému souborů EFS vygeneruje výstrahu a zablokuje tok dat ke klientovi, pokud je akce v pravidlu podpisu „Odmítnout“ (Reject). Pokud je akce v pravidlu podpisu Výstraha (Alert), provoz bude povolen bez odstranění paketů, i když nakonfigurujete IPS.
Poznámka: VMware doporučuje zákazníkům, aby neaktivovali VNF, když je na zařízeních Edge aktivováno IDS/IPS.
Z rozevírací nabídky Protokol (Log) vyberte možnost Yes (Ano) pokud chcete odesílat protokoly IDS/IPS do systému Orchestrator.
Klikněte na tlačítko Uložit změny (Save Changes). Je vytvořeno pravidlo služby IDS/IPS, které se zobrazí v tabulce na stránce IDS/IPS .
Kliknutím na odkaz na skupinu zabezpečení můžete upravit nastavení. Chcete-li odstranit službu zabezpečení, zaškrtněte pole před skupinou a klikněte na možnost Odstranit (Delete).
Konfigurace skupiny služeb zabezpečení
Skupina služeb zabezpečení se používá k seskupování jednotlivých bezpečnostních služeb, konkrétně filtrování adres URL (kategorie URL adresy, reputace URL adresy), detekce škodlivých IP adres, IDS/IPS. Při vytváření skupiny služeb zabezpečení postupujte následovně:
Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Vylepšené zabezpečení (Enhanced Security) > Služby zabezpečení (Security Services). Zobrazí se stránka Služby pro zabezpečení (Security Services).
Klikněte na kartu Skupina služeb zabezpečení (Security Service Group) a klikněte na možnost + VYTVOŘIT SKUPINU (+ CREATE GROUP). Objeví se stránka Nová skupina služeb zabezpečení (New Security Service Group).
Pokud chcete vytvořit novou skupinu služeb z existující skupiny, vyberte z rozevírací nabídky možnost Duplikovat skupinu služeb zabezpečení (Duplicate Security Service Group) a přejmenujte pouze název pravidla. Všechny ostatní konfigurace budou z vybrané skupiny služeb zabezpečení použity automaticky.
Chcete-li vytvořit novou skupinu služeb, zadejte jedinečný název skupiny služeb zabezpečení a podle potřeby zadejte popis.
Z části Vytvořit skupinu služeb zabezpečení (Create Security Service Group) můžete vybrat předem vytvořené služby zabezpečení pro kategorie URL adres, reputaci URL adres, škodlivé IP adresy a IDS/IPS a seskupit je společně, a vytvořit tak zabezpečující skupinu. Pokud nechcete používat předem vytvořené služby, můžete kliknout na tlačítko Nová (New) a vytvořit novou službu zabezpečení pro přidružení k zabezpečující skupině. Kliknutím na tlačítko Zobrazit (View) zobrazíte podrobnosti o konfiguraci vybrané služby zabezpečení.
Klikněte na tlačítko Uložit změny (Save Changes). Tím je vytvořena skupina služeb zabezpečení, která bude uvedena v tabulce na stránce Skupina služeb zabezpečení (Security Service Group).
Kliknutím na odkaz na skupinu služeb zabezpečení můžete upravit nastavení. Chcete-li odstranit skupinu služeb zabezpečení, zaškrtněte pole před skupinou a klikněte na možnost Odstranit (Delete).
Poznámka: Používané skupiny služeb zabezpečení nelze odstranit. Chcete-li odstranit skupinu služeb zabezpečení, musí být nejprve odstraněna z pravidel přidružené brány firewall.
Poznámka: K pravidlu brány firewall nelze přiřadit více než jednu skupinu služeb zabezpečení.
Přiřazení skupiny služeb zabezpečení k pravidlu brány firewall na úrovni profilu
Chcete-li přiřadit skupinu služby zabezpečení k novému pravidlu brány firewall na úrovni profilu, proveďte následující kroky:
Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Profily (Profiles). Na stránce Profily (Profiles) se zobrazí existující profily.
Zvolte profil pro konfiguraci pravidla brány firewall a klikněte na kartu Brána firewall (Firewall).
Přejděte do sekce Konfigurovat bránu firewall (Configure Firewall) a v části Pravidla brány firewall (Firewall Rules) klikněte na + NOVÉ PRAVIDLO (+ NEW RULE). Zobrazí se stránka Nové pravidlo (New Rule).
Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla. Pokud chcete z existujícího pravidla vytvořit pravidlo brány firewall, vyberte pravidlo, které chcete duplikovat, z rozevírací nabídkyDuplikovat pravidlo (Duplicate Rule).
V částech Shoda (Match) a Brána firewall (Firewall) nakonfigurujte podmínky pro shodu s pravidlem a akce, které budou provedeny, pokud provoz odpovídá definovaným kritériím. Další informace naleznete v tématu Konfigurace pravidla brány firewall.
V části Služby zabezpečení (Security Services) nakonfigurujte službu zabezpečení pro pravidlo výběrem skupiny služeb zabezpečení z rozevírací nabídky. Zobrazí se souhrn všech služeb zabezpečení nakonfigurovaných v rámci skupiny služeb zabezpečení. Podrobnosti o konfiguraci můžete zobrazit kliknutím na tlačítko Zobrazit (View) proti každé ze služeb zabezpečení.
Poznámka: Služby zabezpečení lze v pravidlu aktivovat pouze v případě, že akce brány firewall je
Povolit (Allow). Pokud je akce brány firewall jiná než
Povolit (Allow), služby zabezpečení budou deaktivovány.
Po konfiguraci všech požadovaných nastavení klikněte na tlačítko Vytvořit (Create). Pro zvolený profil je vytvořeno pravidlo brány firewall, které se zobrazí v oblasti Pravidla brány firewall (Firewall Rules) na stránce Brána firewall profilu (Profile Firewall).
Klikněte na tlačítko Uložit změny (Save Changes).
Chcete-li přiřadit skupinu služby zabezpečení k existujícímu pravidlu brány firewall na úrovni profilu, proveďte následující kroky:
Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Profily (Profiles). Na stránce Profily (Profiles) se zobrazí existující profily.
Zvolte profil pro konfiguraci pravidla brány firewall a klikněte na kartu Brána firewall (Firewall).
Přejděte do části Konfigurovat bránu firewall (Configure Firewall) a v části Pravidla brány firewall (Firewall Rules) vyberte název pravidla, jehož konfiguraci služby zabezpečení chcete změnit.
V části Služby zabezpečení (Security Services) vyberte jinou skupinu služeb, kterou chcete přiřadit k pravidlu, a klikněte na možnost Upravit (Edit).
Klikněte na tlačítko Uložit změny (Save Changes).
Přiřazení skupiny služeb zabezpečení k pravidlu brány firewall na úrovni Edge
Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Zařízení Edge (Edges). Na stránce Zařízení Edge (Edges) se zobrazí existující Edge.
Chcete-li nakonfigurovat zařízení Edge, klikněte na odkaz na zařízení Edge nebo klikněte na odkaz Zobrazit (View) ve sloupci Brána firewall (Firewall) zařízení Edge.
Klikněte na kartu Firewall (Brána firewall).
Přejděte do části Konfigurovat bránu firewall (Configure Firewall) a z oblasti Pravidla brány firewall (Firewall Rules) můžete vytvořit nové pravidlo s konfiguracemi služeb zabezpečení nebo upravit nastavení služeb zabezpečení existujícího pravidla. Řiďte se postupem popsaným v kroku 6 v části Přiřazení skupiny služeb zabezpečení k pravidlu brány firewall na úrovni profilu.
Poznámka: Pravidla vytvořená na úrovni profilu nelze aktualizovat na úrovni zařízení Edge. Aby bylo možné pravidlo přepsat, uživatel musí vytvořit stejné pravidlo na úrovni zařízení Edge s novými parametry k přepsání pravidla úrovně profilu.
Po konfiguraci všech požadovaných nastavení klikněte na tlačítko Vytvořit (Create). Pro zvolené Edge je vytvořeno pravidlo brány firewall, které se zobrazí v oblasti Pravidla brány firewall (Firewall Rules) na stránce Brána firewall zařízení Edge (Edge Firewall).
Poznámka: Pravidla vytvořená na úrovni profilu nelze aktualizovat na úrovni zařízení Edge. Aby bylo možné pravidlo přepsat, uživatel musí vytvořit stejné pravidlo na úrovni zařízení Edge s novými parametry k přepsání pravidla úrovně profilu.