Der EFS-Dienst (Enhanced Firewall Services) bietet zusätzliche EFS-Sicherheitsfunktionen auf VMware SD-WAN Edges. Die von NSX Security unterstützte EFS-Funktion bietet Unterstützung für das System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS) und das System zur Abwehr von Eindringversuchen (Intrusion Prevention System, IPS)VMware SD-WAN Edges. Der EFS-Dienst der Edge-Firewall schützt den Edge-Datenverkehr vor Eindringversuchen für Datenverkehrsmuster vom Typ „Zweigstelle-zu-Zweigstelle“, „Zweigstelle-zu-Hub“ oder „Zweigstelle-zu-Internet“.
Derzeit bietet die SD-WAN Edge-Firewall eine statusbehaftete Überprüfung sowie Anwendungsidentifikation ohne zusätzliche EFS-Sicherheitsfunktionen. Der SD-WAN Edge der statusbehafteten Firewall bietet zwar Sicherheit, diese ist aber nicht ausreichend. Es entsteht eine Sicherheitslücke bei der Bereitstellung von EFS-Sicherheit, die nativ in VMware SD-WAN integriert ist. Der EFS-Dienst des Edge schließt diese Sicherheitslücken und stellt erweiterte Firewalldienste nativ auf dem SD-WAN Edge in Verbindung mit VMware SD-WAN bereit.
Der Kunde kann den EFS-Dienst mithilfe der Firewall-Funktion in VMware SASE Orchestrator konfigurieren und verwalten.
Einschränkungen
- Wenn EFS aktiviert ist, wird nur die statische Adressierung unterstützt. Verwenden Sie die dynamische Adresse nicht in LAN-Netzwerken wie DHCPv4 Client, DHCPv6 Client, DHCPv6 PD und IPv6 SLAAC.
Wenn der Adressbereich bei Verwendung der dynamischen Adressierung im Falle von IPv4 außerhalb des privaten Adressbereichs und im Falle von IPv6 außerhalb des in RFC1918 beschriebenen ULA-Adressbereichs liegt, findet der Regelabgleich unter Umständen nicht statt, da die Adresse nicht Teil der HOME_NETWORK-Einstellung in der Datei „suricata.yaml“ ist.