Standardmäßig übernehmen alle Edges die Firewall-Regeln, EFS-Einstellungen (Enhanced Firewall Services), Einstellungen für statusbehaftete Firewalls, Netzwerk- und Flood-Protection-Einstellungen, Firewallprotokollierung, Syslog-Weiterleitung und Edge-Zugriffskonfigurationen aus dem zugehörigen Profil.

Hinweis: Damit die Firewallprotokollierung bei Orchestrator funktioniert, stellen Sie sicher, dass die SD-WAN Edges auf Version 5.2 und höher ausgeführt werden.
Auf der Registerkarte Firewall im Dialogfeld Edge-Konfiguration (Edge Configuration) können Sie alle geerbten Firewallregeln im Bereich Regel aus Profil (Rule From Profile) anzeigen. Optional können Sie auf der Edge-Ebene auch die geerbte Firewallregeln und verschiedene Firewalleinstellungen außer Kraft setzen.
  1. Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Edges.
  2. Wählen Sie einen Edge aus, für den die geerbten Firewalleinstellungen überschreiben gesetzt werden sollen, und klicken Sie auf die Registerkarte Firewall.
  3. Aktivieren Sie das Kontrollkästchen Überschreiben (Override) für die verschiedenen Firewalleinstellungen, wenn Sie die geerbten Firewallregeln und -einstellungen für den ausgewählten Edge ändern möchten.
    Hinweis: Die Regeln für die Edge-Überschreibung haben Vorrang vor den vererbten Profilregeln für den Edge. Jeder Übereinstimmungswert für die Edge-Überschreibung, der mit einer Profil-Firewall-Regel übereinstimmt, setzt diese Profilregel überschreiben.
  4. Auf Edge-Ebene können Sie Portweiterleitung und Regeln für 1:1-NAT-IPv4 oder -IPv6 einzeln konfigurieren, indem Sie zu Zusätzliche Einstellungen (Additional Settings) > Eingehende ACLs (Inbound ACLs) navigieren. Detaillierte Informationen finden Sie unter Portweiterleitungsregeln und 1:1-NAT-Einstellungen.
    Hinweis: Standardmäßig wird der gesamte eingehende Datenverkehr blockiert, es sei denn, die Portweiterleitung und die 1:1-NAT-Firewallregeln sind konfiguriert. Die externe IP ist immer die WAN-IP oder die IP-Adresse aus dem WAN-IP-Subnetz.
    Hinweis: Bei der Konfiguration von IPv6-Portweiterleitung und 1:1-NAT-Regeln können Sie nur die globale oder Unicast-IP-Adresse, nicht aber die lokale Linkadresse eingeben.

Portweiterleitung und 1:1-NAT-Firewallregeln

Hinweis: Sie können die Portweiterleitung und 1:1-NAT-Regeln nur auf Edge-Ebene individuell konfigurieren.

Portweiterleitung und 1:1-NAT-Firewallregeln ermöglichen Internet-Clients den Zugriff auf Server, die mit einer Edge-LAN-Schnittstelle verbunden sind. Der Zugriff kann entweder über Portweiterleitungsregeln oder 1:1-NAT (Network Address Translation)-Regeln bereitgestellt werden.

Portweiterleitungsregeln

Mit Portweiterleitungsregeln können Sie Regeln konfigurieren, um den Datenverkehr von einem bestimmten WAN-Port an ein Gerät (LAN-IP/LAN-Port) innerhalb des lokalen Subnetzes umzuleiten. Optional können Sie auch den eingehenden Datenverkehr durch eine IP-Adresse oder ein Subnetz einschränken. Portweiterleitungsregeln können mit der externen IP konfiguriert werden, die sich im selben Subnetz der WAN-IP befindet. Es können auch externe IP-Adressen in anderen Subnetzen als der WAN-Schnittstellenadresse übersetzt werden, wenn der Internetdienstanbieter den Datenverkehr für das Subnetz in Richtung SD-WAN Edge leitet.

Die folgende Abbildung veranschaulicht die Portweiterleitungskonfiguration.

Im Abschnitt Portweiterleitungsregeln (Port Forwarding Rules) können Sie Portweiterleitungsregeln mit IPv4- oder IPv6-Adressen konfigurieren, indem Sie auf die Schaltfläche +Hinzufügen (+Add) klicken und dann die folgenden Details eingeben.

  1. Geben Sie im Textfeld Name einen Namen (optional) für die Regel ein.
  2. Wählen Sie im Dropdown-Menü Protokoll (Protocol) entweder TCP oder UDP als Protokoll für die Portweiterleitung aus.
  3. Wählen Sie im Dropdown-Menü Schnittstelle (Interface) die Schnittstelle für den eingehenden Datenverkehr aus.
  4. Geben Sie im Textfeld Externe IP (Outside IP) die IPv4- oder IPv6-Adresse ein, über die auf den Host (die Anwendung) vom externen Netzwerk aus zugegriffen werden kann.
  5. Geben Sie im Textfeld „WAN-Ports (WAN Ports)“ einen WAN Port oder einen Portbereich ein, der durch einen Bindestrich (-) getrennt ist, z. B. 20-25.
  6. Geben Sie in den Textfeldern LAN-IP (LAN IP) und LAN-Port (LAN Port) die IPv4- oder IPv6-Adresse und Portnummer des LAN ein, in dem die Anforderung weitergeleitet wird.
  7. Wählen Sie im Dropdown-Menü Segment ein Segment aus, zu dem die LAN-IP gehören soll.
  8. Geben Sie im Textfeld Remote-IP/Subnetz (Remote IP/subnet) eine IP-Adresse des eingehenden Datenverkehrs an, der an einen internen Server weitergeleitet werden soll. Wenn Sie keine IP-Adresse angeben, wird jeder Datenverkehr zugelassen.
  9. Aktivieren Sie das Kontrollkästchen Protokoll (Log), um die Protokollierung für diese Regel zu aktivieren.
  10. Klicken Sie auf Änderungen speichern (Save Changes).

1:1-NAT-Einstellungen

Diese werden verwendet, um eine externe IP-Adresse, die vom SD-WAN Edge unterstützt wird, einem Server zuzuordnen, der mit einer Edge-LAN-Schnittstelle verbunden ist (z. B. einem Webserver oder einem Mailserver). Es können auch externe IP-Adressen in anderen Subnetzen als der WAN-Schnittstellenadresse übersetzt werden, wenn der Internetdienstanbieter den Datenverkehr für das Subnetz in Richtung SD-WAN Edge leitet. Jede Zuordnung erfolgt zwischen einer IP-Adresse außerhalb der Firewall für eine bestimmte WAN-Schnittstelle und einer LAN-IP-Adresse innerhalb der Firewall. Innerhalb jeder Zuordnung können Sie angeben, welche Ports an die interne IP-Adresse weitergeleitet werden. Das Symbol '+' auf der rechten Seite kann verwendet werden, um zusätzliche 1:1-NAT-Einstellungen hinzuzufügen.

Die folgende Abbildung veranschaulicht die 1:1-NAT-Konfiguration.

Im Abschnitt 1:1-NAT-Regeln (1:1 NAT Rules) können Sie 1:1-NAT-Regeln mit IPv4-Adresse oder IPv6-Adresse konfigurieren, indem Sie auf die Schaltfläche +Hinzufügen (+Add) klicken und dann die folgenden Details eingeben.

  1. Geben Sie im Textfeld Name einen Namen für die Regel ein.
  2. Geben Sie im Textfeld Externe IP (Outside IP) die IPv4- oder IPv6-Adresse ein, über die auf den Host von einem externen Netzwerk aus zugegriffen werden kann.
  3. Wählen Sie im Dropdown-Menü Schnittstelle (Interface) die WAN-Schnittstelle aus, an die die externe IP-Adresse gebunden werden soll.
  4. Geben Sie im Textfeld Interne (LAN-)IP (Inside (LAN) IP) die tatsächliche IPv4- oder IPv6-(LAN)-Adresse des Hosts ein.
  5. Wählen Sie im Dropdown-Menü Segment ein Segment aus, zu dem die LAN-IP gehören soll.
  6. Aktivieren Sie das Kontrollkästchen Ausgehender Datenverkehr (Outbound Traffic), wenn Sie NAT für Datenverkehr vom LAN-Client zum Internet an die externe IP-Adresse zulassen möchten.
  7. Geben Sie die Details der zulässigen Datenverkehrsquelle (Protokoll, Ports, Remote-IP/Subnetz) für die Zuordnung in die entsprechenden Felder ein.
  8. Aktivieren Sie das Kontrollkästchen Protokoll (Log), um die Protokollierung für diese Regel zu aktivieren.
  9. Klicken Sie auf Änderungen speichern (Save Changes).