Eine Firewall ist ein Netzwerksicherheitsgerät, das den eingehenden und ausgehenden Netzwerkdatenverkehr überwacht und festlegt, ob bestimmter Datenverkehr basierend auf einem definierten Satz von Sicherheitsregeln zugelassen oder blockiert werden soll. SD-WAN Orchestrator unterstützt die Konfiguration von statusfreien und statusbehafteten Firewalls für Profile und Edges.

Weitere Informationen zu Firewalls finden Sie unter Konfigurieren der Firewall.

So konfigurieren Sie eine Firewall mithilfe der neuen Orchestrator-Benutzeroberfläche:
  1. Klicken Sie im Unternehmensportal im oberen Bereich des Fensters auf die Option Neue Orchestrator-Benutzeroberfläche öffnen (Open New Orchestrator UI).
  2. Klicken Sie im Popup-Fenster auf Neue Orchestrator-Benutzeroberfläche starten (Launch New Orchestrator UI).
  3. Die Benutzeroberfläche wird auf einer neuen Registerkarte geöffnet, auf der die Überwachungs- und Konfigurationsoptionen angezeigt werden.
  4. Klicken Sie auf der neuen Benutzeroberfläche auf Konfigurieren (Configure) > Profile (Profiles). Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
  5. Klicken Sie zum Konfigurieren eines Profils auf den Link zum Profil oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Profils. Die Konfigurationsoptionen werden auf der Registerkarte Gerät (Device) angezeigt.
  6. Klicken Sie auf die Registerkarte Firewall.

    Über die Seite Profile (Profiles) können Sie direkt zur Seite Firewall navigieren, indem Sie in der Spalte Firewall des Profils auf den Link Anzeigen (View) klicken.

  7. Auf der Registerkarte Firewall wird Folgendes angezeigt:
    • Edge-Zugriff (Edge Access) – Ermöglicht Ihnen, ein Profil für den Edge-Zugriff zu konfigurieren. Sie müssen unbedingt die entsprechende Option für den Supportzugriff, den Konsolenzugriff, den USB-Portzugriff, den SNMP-Zugriff und den lokalen Web-UI-Zugriff unter „Firewalleinstellungen“ (Firewall Settings) auswählen, um die Sicherheit des Edge zu erhöhen. Dadurch wird verhindert, dass ein bösartiger Benutzer auf den Edge zugreift. Standardmäßig sind die Optionen für den Supportzugriff, den Konsolenzugriff, den SNMP-Zugriff und den lokalen Web-UI-Zugriff aus Sicherheitsgründen deaktiviert. Weitere Informationen finden Sie unter Konfigurieren von Edge-Zugriff.
    • Firewallstatus (Firewall Status) – Ermöglicht Ihnen, die Firewallregeln ein- oder auszuschalten und Firewalleinstellungen und eingehende ACLs für alle mit dem Profil verknüpften Edges zu konfigurieren.
      Hinweis: Sie können die Firewallfunktion für Profile deaktivieren, indem Sie den Firewallstatus (Firewall Status) ausschalten.
    • Syslog-Weiterleitung (Syslog Forwarding) – Standardmäßig ist die Funktion „Syslog-Weiterleitung“ (Syslog Forwarding) für ein Unternehmen deaktiviert. Um SD-WAN Orchestrator-gebundene Ereignisse und Firewallprotokolle zu erfassen, die vom Unternehmens-SD-WAN Edge stammen, und an eine oder mehrere zentrale Remote-Syslog-Collector-Instanzen (Server) weiterzuleiten, muss ein Unternehmensbenutzer diese Funktion auf Unternehmensebene aktivieren. Weitere Informationen zum Konfigurieren von Syslog Collector-Details pro Segment im SD-WAN Orchestrator finden Sie unter Konfigurieren von Syslog-Einstellungen für Profile.
      Hinweis: Sie können sowohl IPv4- als auch IPv6-Firewallprotokollierungsdetails in einem IPv4-basierten Syslog-Server anzeigen.
    • Firewallregeln (Firewall Rules) – Die vorhandenen vordefinierten Firewallregeln werden angezeigt. Sie können auf + NEUE REGEL (+ NEW RULE) klicken, um eine neue Firewallregel zu erstellen. Weitere Informationen finden Sie unter Konfigurieren einer Firewallregel mit der neuen Orchestrator-Benutzeroberfläche. Zum Löschen vorhandener Firewallregeln aktivieren Sie die Kontrollkästchen vor den Regeln und klicken auf LÖSCHEN (DELETE). Zum Duplizieren einer Firewallregel wählen Sie die Regel aus und klicken auf KLONEN (CLONE).
    • Statusbehaftete Firewall (Stateful Firewall) – Standardmäßig ist die Funktion „Statusbehaftete Firewall“ (Stateful Firewall) für ein Unternehmen aktiviert. Zum Deaktivieren der Funktion „Statusbehaftete Firewall“ (Stateful Firewall) für ein Unternehmen wenden Sie sich an einen Operator mit der Berechtigung „Superuser“. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen der statusbehafteten Firewall.
    • Netzwerk und Flood-Protection (Network & Flood Protection) – Zum Absichern aller Verbindungsversuche in einem Unternehmensnetzwerk können Sie mithilfe von VMware SD-WAN Orchestrator die Netzwerk- und Flood-Protection-Einstellungen auf Profil- und Edge-Ebene konfigurieren, um Schutz vor verschiedenen Arten von Angriffen zu gewährleisten. Weitere Informationen finden Sie unter Konfigurieren von Netzwerk- und Flood-Protection-Einstellungen.
Standardmäßig erben alle Edges die Firewallregeln, die Einstellungen für statusbehaftete Firewalls, die Netzwerk- und Flood-Protection-Einstellungen sowie die Konfigurationen des Edge-Zugriffs aus dem zugehörigen Profil. Auf der Registerkarte Firewall im Dialogfeld Edge-Konfiguration (Edge Configuration) können Sie alle geerbten Firewallregeln im Bereich Regel aus Profil (Rule From Profile) anzeigen. Optional können Sie auf Edge-Ebene auch die Firewallregeln für das Profil und die Konfiguration des Edge-Zugriffs außer Kraft setzen, indem Sie die folgenden Schritte durchführen.
  1. Klicken Sie auf der neuen Benutzeroberfläche auf Konfigurieren (Configure) > Edges.
  2. Wählen Sie einen Edge aus, für den die geerbten Firewalleinstellungen außer Kraft gesetzt werden sollen, und klicken Sie auf die Registerkarte Firewall.
  3. Aktivieren Sie das Kontrollkästchen Außer Kraft setzen (Override), wenn Sie die geerbten Profilregeln und Firewalleinstellungen für den Edge ändern möchten.
    Hinweis: Die Außerkraftsetzungsregeln werden im Bereich „Edge-Außerkraftsetzungen“ (Edge Overrides) angezeigt. Die Regeln für die Edge-Außerkraftsetzung haben Vorrang vor den vererbten Profilregeln für den Edge. Jeder Übereinstimmungswert für die Edge-Außerkraftsetzung, der mit einer Profil-Firewall-Regel übereinstimmt, setzt diese Profilregel außer Kraft.
  4. Auf Edge-Ebene können Sie Portweiterleitung und Regeln für 1:1-NAT-IPv4 oder -IPv6 einzeln konfigurieren, indem Sie zu Zusätzliche Einstellungen (Additional Settings) > Eingehende ACLs (Inbound ACLs) navigieren. Detaillierte Informationen zur Konfiguration von Portweiterleitung und 1:1-NAT-Regeln finden Sie unter Konfigurieren der Firewall für Edges.
    Hinweis: Bei der Konfiguration von IPv6-Portweiterleitung und 1:1-NAT-Regeln können Sie nur die globale oder Unicast-IP-Adresse, nicht aber die lokale Linkadresse eingeben.