Mit SD-WAN Orchestrator können Sie Firewallregeln auf Profil- und Edge-Ebene konfigurieren, um ein- und ausgehenden Datenverkehr zuzulassen, zu löschen, abzulehnen oder zu überspringen. Die Firewall verwendet die Parameter wie Quell-IP-Adresse/Port, Ziel-IP-Adresse/Port, Anwendungen, Anwendungskategorien und DSCP-Tags, um Firewallregeln zu erstellen.

Um eine Firewallregel mit statusbehafteten Firewallregeln auf der Profilebene zu konfigurieren, führen Sie die Schritte in diesem Verfahren aus.

Prozedur

  1. Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles) > Firewall.
  2. Aktivieren Sie Statusbehaftete Firewall (Stateful Firewall) für das ausgewählte Profil.
  3. Klicken Sie im Bereich Firewallregeln (Firewall Rules) auf Neue Regel (New Rule). Das Dialogfeld Regel konfigurieren (Configure Rule) wird angezeigt.
  4. Geben Sie im Feld Regelname (Rule Name) einen eindeutigen Namen für die Regel ein.
  5. Konfigurieren Sie im Bereich Übereinstimmung (Match) die Übereinstimmungsbedingungen für die Regel:
    Einstellungen Beschreibung
    Quelle (Source) Ermöglicht die Angabe der Quelle für Pakete. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Erlaubt standardmäßig alle Quelladressen.
    • Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Portgruppe auswählen.
    • Definieren (Define): Ermöglicht die Definition des Quelldatenverkehrs zu einem bestimmten VLAN, einer IP-Adresse, einer MAC-Adresse oder einem Port. Für IP-Adresse wählen Sie eine der drei Optionen aus:
      • CIDR-Präfix (CIDR prefix): Wählen Sie diese Option aus, wenn das Netzwerk als Wert für CIDR definiert werden soll (z. B: 172.10.0.0 /16).
      • Subnetzmaske (Subnet mask): Wählen Sie diese Option aus, wenn das Netzwerk basierend auf einer Subnetzmaske definiert werden soll (z. B. 172.10.0.0 255.255.0.0).
      • Platzhaltermaske (Wildcard mask): Wählen Sie diese Option aus, wenn Sie die Durchsetzung einer Richtlinie auf eine Reihe von Geräten für verschiedene IP-Subnetze beschränken möchten, die einen übereinstimmenden Wert für die IP-Adresse des Hosts verwenden. Die Platzhaltermaske entspricht einer IP oder einer Reihe von IP-Adressen, die auf der umgekehrten Subnetzmaske basieren. Eine '0' innerhalb des Binärwerts der Maske bedeutet, dass der Wert „fest“ ist, und eine 1 innerhalb des Binärwerts der Maske bedeutet, dass der Wert „variabel“ ist (kann 1 oder 0 sein). Beispiel: eine Platzhaltermaske von 0.0.0.255 (binäres Äquivalent = 00000000.00000000.00000000.11111111) mit einer IP-Adresse von 172.0.0, wobei die ersten drei Oktette feste Werte sind und das letzte Oktett ein variabler Wert ist.
    Ziel (Destination) Ermöglicht die Angabe des Ziels für Pakete. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Erlaubt standardmäßig alle Zieladressen.
    • Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Portgruppe auswählen. Weitere Informationen zur Objektgruppe finden Sie unter Objektgruppen.
    • Definieren (Define): Ermöglicht die Definition des Zieldatenverkehrs zu einem bestimmten VLAN, einer IP-Adresse, einer Mac-Adresse oder einem Port. Für die IP-Adresse wählen Sie eine der drei Optionen aus: CIDR-Präfix (CIDR Prefix), Subnetzmaske (Subnet mask) oder Platzhaltermaske (Wildcard mask).
    Anwendung (Application) Ermöglicht das Angeben der Anwendungen, auf die die Firewallregel angewendet werden soll. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Wendet die Firewallregel standardmäßig auf alle Anwendungen an.
    • Definieren (Define): Ermöglicht Ihnen die Auswahl einer bestimmten Anwendung.
  6. Konfigurieren Sie im Bereich Aktion (Action) die Aktionen für die Regel:
    Einstellungen Beschreibung
    Firewall Wählen Sie eine der folgenden Aktionen aus, die die Firewall bei Paketen ausführen soll, wenn die Bedingungen der Regel erfüllt sind:
    • Zulassen (Allow): Lässt die Datenpakete standardmäßig zu.
    • Löschen (Drop): Löscht die Datenpakete stillschweigend, ohne eine Benachrichtigung an die Quelle zu senden.
    • Ablehnen (Reject): Löscht die Pakete und benachrichtigt die Quelle durch Senden einer expliziten Wiederherstellungsnachricht.
    • Überspringen (Skip): Überspringt die Regel bei Lookups und verarbeitet die nächste Regel. Diese Regel wird jedoch zum Zeitpunkt der Bereitstellung von SD-WAN verwendet.
    Protokoll (Log) Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass beim Auslösen dieser Regel ein Protokolleintrag erstellt wird.
  7. Klicken Sie auf OK.

Ergebnisse

Eine Firewallregel wird für das ausgewählte Profil erstellt und auf der Seite Profil-Firewall (Profile Firewall) im Bereich Firewallregeln (Firewall Rules) angezeigt.