Alle Edges erben die Firewallregeln und Edge Access-Konfigurationen vom zugehörigen Profil. Auf der Registerkarte Firewall im Dialogfeld Edge-Konfiguration (Edge Configuration) können Sie alle vererbten Firewallregeln im Bereich Regel aus Profil (Rule From Profile) anzeigen. Optional können Sie auf der Edge-Ebene auch die Profil-Firewall-Regeln und die Konfiguration des Edge-Zugriffs außer Kraft setzen.



Als Unternehmensadministrator können Sie die Portweiterleitung und 1:1-NAT-Firewallregeln für jeden Edge einzeln konfigurieren, indem Sie den Anweisungen auf dieser Seite folgen.

Portweiterleitung und 1:1-NAT-Firewallregeln

Hinweis: Sie können die Portweiterleitung und 1:1-NAT-Regeln nur auf der Edge-Ebene individuell konfigurieren.

Portweiterleitung und 1:1-NAT-Firewallregeln ermöglichen Internet-Clients den Zugriff auf Server, die mit einer Edge-LAN-Schnittstelle verbunden sind. Der Zugriff kann entweder über Portweiterleitungsregeln oder 1:1-NAT (Network Address Translation)-Regeln bereitgestellt werden.

Portweiterleitungsregeln

Mit Portweiterleitungsregeln können Sie Regeln konfigurieren, um den Datenverkehr von einem bestimmten WAN-Port an ein Gerät (LAN-IP/LAN-Port) innerhalb des lokalen Subnetzes umzuleiten. Optional können Sie auch den eingehenden Datenverkehr durch eine IP-Adresse oder ein Subnetz einschränken. Portweiterleitungsregeln können mit der externen IP konfiguriert werden, die sich im selben Subnetz der WAN-IP befindet. Es können auch externe IP-Adressen in anderen Subnetzen als der WAN-Schnittstellenadresse übersetzt werden, wenn der Internetdienstanbieter den Datenverkehr für das Subnetz in Richtung SD-WAN Edge leitet.

Um eine Portweiterleitungsregel zu konfigurieren, geben Sie die folgenden Details an.

  1. Geben Sie im Textfeld Name einen Namen (optional) für die Regel ein.
  2. Wählen Sie im Dropdown-Menü Protokoll (Protocol) entweder TCP oder UDP als Protokoll für die Portweiterleitung aus.
  3. Wählen Sie im Dropdown-Menü Schnittstelle (Interface) die Schnittstelle für den eingehenden Datenverkehr aus.
  4. Geben Sie im Textfeld Externe IP (Outside IP) die IP-Adresse ein, über die auf den Host (Anwendung) vom externen Netzwerk aus zugegriffen werden kann.
  5. Geben Sie im Textfeld „WAN-Ports (WAN Ports)“ einen WAN Port oder einen Portbereich ein, der durch einen Bindestrich (-) getrennt ist, z. B. 20-25.
  6. Geben Sie in den Textfeldern LAN-IP (LAN IP) und LAN-Port (LAN Port) die IP-Adresse und Portnummer des LAN ein, in dem die Anforderung weitergeleitet wird.
  7. Wählen Sie im Dropdown-Menü Segment ein Segment aus, zu dem die LAN-IP gehören soll.
  8. Geben Sie im Textfeld Remote-IP/Subnetz (Remote IP/subnet) eine IP-Adresse des eingehenden Datenverkehrs an, der an einen internen Server weitergeleitet werden soll. Wenn Sie keine IP-Adresse angeben, wird jeder Datenverkehr zugelassen.

    Die folgende Abbildung veranschaulicht die Portweiterleitungskonfiguration.

1:1-NAT-Einstellungen

Diese werden verwendet, um eine externe IP-Adresse, die vom SD-WAN Edge unterstützt wird, einem Server zuzuordnen, der mit einer Edge-LAN-Schnittstelle verbunden ist (z. B. einem Webserver oder einem Mailserver). Es können auch externe IP-Adressen in anderen Subnetzen als der WAN-Schnittstellenadresse übersetzt werden, wenn der Internetdienstanbieter den Datenverkehr für das Subnetz in Richtung SD-WAN Edge leitet. Jede Zuordnung erfolgt zwischen einer IP-Adresse außerhalb der Firewall für eine bestimmte WAN-Schnittstelle und einer LAN-IP-Adresse innerhalb der Firewall. Innerhalb jeder Zuordnung können Sie angeben, welche Ports an die interne IP-Adresse weitergeleitet werden. Das Symbol '+' auf der rechten Seite kann verwendet werden, um zusätzliche 1:1-NAT-Einstellungen hinzuzufügen.

Um eine 1:1-NAT-Regel zu konfigurieren, geben Sie die folgenden Details an.

  1. Geben Sie im Textfeld Name einen Namen für die Regel ein.
  2. Geben Sie im Textfeld Externe IP (Outside IP) die IP-Adresse ein, auf die der Host von einem externen Netzwerk aus zugreifen kann.
  3. Wählen Sie im Dropdown-Menü Schnittstelle (Interface) die WAN-Schnittstelle aus, an die die externe IP-Adresse gebunden werden soll.
  4. Geben Sie im Textfeld Interne (LAN-)IP (Inside (LAN) IP) die tatsächliche IP (LAN)-Adresse des Hosts ein.
  5. Wählen Sie im Dropdown-Menü Segment ein Segment aus, zu dem die LAN-IP gehören soll.
  6. Aktivieren Sie das Kontrollkästchen Ausgehender Datenverkehr (Outbound Traffic), wenn Sie dem ausgehenden Verkehr, der vom Internet zum LAN-Client an den Edge weitergeleitet wird, erlauben möchten, die Firewall-Verbindung zu passieren.
  7. Geben Sie die Details der zulässigen Datenverkehrsquelle (Protokoll, Ports, Remote-IP/Subnetz) für die Zuordnung in die entsprechenden Felder ein.

    Die folgende Abbildung veranschaulicht die 1:1-NAT-Konfiguration.

Konfigurieren von Edge-Außerkraftsetzungen

Optional können Sie auf der Edge-Ebene die Firewallregeln für das geerbte Profil außer Kraft setzen. Um Firewallregeln auf der Edge-Ebene außer Kraft zu setzen, klicken Sie unter Firewallregeln (Firewall Rules) auf Neue Regel (New Rule) und führen Sie die Schritte unter Konfigurieren einer Firewallregel aus. Die Außerkraftsetzungsregeln werden im Bereich Edge-Außerkraftsetzungen (Edge Overrides) angezeigt. Die Regeln für die Edge-Außerkraftsetzung haben Vorrang vor den vererbten Profilregeln für den Edge. Jeder Übereinstimmungswert für die Edge-Außerkraftsetzung, der mit einer Profil-Firewall-Regel übereinstimmt, setzt diese Profilregel außer Kraft.

Konfigurieren von Außerkraftsetzungen für den Edge-Zugriff

Optional können Sie auf der Edge-Ebene auch die Konfiguration des Edge-Zugriffs außer Kraft setzen. Um den Edge-Zugriff außer Kraft zu setzen, aktivieren Sie das Kontrollkästchen Edge-Außerkraftsetzung aktivieren (Enable Edge Override) im Bereich Edge-Zugriff (Edge Access) der Seite Edge-Firewall (Edge Firewall). Weitere Informationen finden Sie unter Konfigurieren des Edge-Zugriffs.

Verwandte Links