Sie können Datenverkehr über VNF auf dem SD-WAN Edge bereitstellen und weiterleiten, indem Sie Firewalls von Drittanbietern verwenden.

Nur ein Operator kann die Konfiguration der Sicherheits-VNF aktivieren. Falls die Option „Sicherheits-VNF (Security VNF)“ für Sie nicht verfügbar ist, wenden Sie sich an Ihren Operator.

Voraussetzungen

Sie benötigen Folgendes:

  • SD-WAN Orchestrator und aktivierten SD-WAN Edge mit laufenden Softwareversionen, die die Bereitstellung einer bestimmten Sicherheits-VNF unterstützen. Weitere Informationen zu den unterstützten Softwareversionen und Edge-Plattformen finden Sie in der Support-Matrix in Sicherheits-VNFs.
  • VNF-Manager-Add-on-Lizenz.
  • Konfigurierten VNF-Verwaltungsdienst. Weitere Informationen finden Sie unter Konfigurieren des VNF-Verwaltungsdiensts.

Prozedur

  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Edges.
  2. Klicken Sie auf der Seite Edges entweder auf das Gerätesymbol neben einem Edge oder klicken Sie auf den Link zu einem Edge und dann auf die Registerkarte Gerät (Device).
  3. Scrollen Sie auf der Seite Gerät (Device) nach unten zum Abschnitt Sicherheits-VNF (Security VNF) und klicken Sie auf Bearbeiten (Edit).
  4. Aktivieren Sie im Fenster Edge-VNF-Konfiguration (Edge VNF Configuration) das Kontrollkästchen Bereitstellen (Deploy).
  5. Konfigurieren Sie die folgenden Einstellungen in der VM-Konfiguration (VM Configuration):
    1. VLAN – Wählen Sie aus der Dropdown-Liste ein VLAN aus, das für die VNF-Verwaltung verwendet werden soll.
    2. IP-Adresse für VM-1 (VM-1 IP) – Geben Sie die IP-Adresse der VM ein und stellen Sie sicher, dass sich die IP-Adresse im Subnetzbereich des ausgewählten VLAN befindet.
    3. VM-1-Hostname (VM-1 Hostname) – Geben Sie einen Namen für den VM-Host ein.
    4. Bereitstellungszustand (Deployment State) – Wählen Sie eine der folgenden Optionen aus:
      • Image heruntergeladen und eingeschaltet (Image Downloaded and Powered On) – Diese Option aktiviert die VM, nachdem die Firewall-VNF auf dem Edge erstellt wurde. Der Datenverkehr durchläuft die VNF nur, wenn diese Option ausgewählt ist. Dazu muss mindestens ein VLAN oder eine geroutete Schnittstelle für die VNF-Einfügung konfiguriert sein.
      • Image heruntergeladen und ausgeschaltet (Image Downloaded and Powered Off) – Bei dieser Option bleibt die VM ausgeschaltet, nachdem die Firewall-VNF auf dem Edge erstellt wurde. Wählen Sie diese Option nicht aus, wenn Sie den Datenverkehr über die VNF senden möchten.
    5. Sicherheits-VNF (Security VNF) – Wählen Sie einen vordefinierten VNF-Verwaltungsdienst aus der Dropdown-Liste aus. Sie können auch auf Neuer VNF-Dienst (New VNF Service) klicken, um einen neuen VNF-Verwaltungsdienst zu erstellen. Weitere Informationen finden Sie unter Konfigurieren des VNF-Verwaltungsdiensts.
      Die folgende Abbildung zeigt ein Beispiel für die Check Point-Firewall als Sicherheits-VNF-Typ.
      Konfigurieren Sie die folgenden zusätzlichen Einstellungen, wenn Sie Palo Alto Networks-Firewall (Palo Alto Networks Firewall) als Sicherheits-VNF wählen:
      • License (Lizenz) – Wählen Sie die VNF-Lizenz aus der Dropdown-Liste aus.
      • Gerätegruppenname (Device Group Name) – Geben Sie den auf dem Panorama-Server vorkonfigurierten Gerätegruppennamen ein.
      • Name der Konfigurationsvorlage (Config Template Name) – Geben Sie den auf dem Panorama-Server vorkonfigurierten Namen der Konfigurationsvorlage ein.
      Hinweis: Wenn Sie die Bereitstellung der Palo Alto Networks-Firewall-Konfiguration aus einem VNF-Typ entfernen möchten, stellen Sie sicher, dass Sie die VNF-Lizenz von Palo Alto Networks deaktiviert haben, bevor Sie die Konfiguration entfernen.
      Konfigurieren Sie die folgenden zusätzlichen Einstellungen, wenn Sie Fortinet-Firewall (Fortinet Firewall) wählen:
      • VM-Kerne (VM Cores) – Wählen Sie die Anzahl der Kerne aus der Dropdown-Liste aus. Die VM-Lizenz basiert auf den VM-Kernen. Achten Sie darauf, dass Ihre VM-Lizenz mit der Anzahl der ausgewählten Kerne kompatibel ist.
      • Überprüfungsmodus (Inspection Mode) – Wählen Sie einen der folgenden Modi aus:
        • Proxy – Diese Option ist standardmäßig ausgewählt. Die Proxy-basierte Überprüfung beinhaltet die Pufferung des Datenverkehrs und die Untersuchung der Daten als Ganzes zur Analyse.
        • Flow – Die Flow-basierte Überprüfung untersucht die Datenverkehrsdaten, während sie ohne Pufferung durch die FortiGate-Einheit geleitet werden.
      • Lizenz (License) – Dient zum Ziehen und Ablegen der VM-Lizenz.
    6. Klicken Sie auf Aktualisieren (Update).

Ergebnisse

Die Konfigurationsdetails werden im Abschnitt Sicherheits-VNF (Security VNF) angezeigt.

Nächste Maßnahme

Wenn Sie mehrere Datenverkehrssegmente zur VNF umleiten möchten, definieren Sie die Zuordnung zwischen Segmenten und Dienst-VLANs. Weitere Informationen finden Sie unter Definieren von Zuordnungssegmenten mit Dienst-VLANs.

Sie können die Sicherheits-VNF sowohl in ein VLAN als auch in eine geroutete Schnittstelle einfügen, um den Datenverkehr vom VLAN oder der gerouteten Schnittstelle zur VNF umzuleiten. Weitere Informationen finden Sie unter Konfigurieren von VLAN mit VNF-Einfügung.