Kunden können die erweiterten Firewalldienste (Enhanced Firewall Services, EFS) mithilfe der Firewallfunktion in VMware SASE Orchestrator konfigurieren und verwalten.

Bevor Sie beginnen

So funktioniert die EFS-Funktion:
  • Stellen Sie sicher, dass die Edge-Version auf 5.2.0.0 aktualisiert wird.
  • Stellen Sie sicher, dass die EFS-Funktion auf Unternehmensebene aktiviert ist. Wenden Sie sich an Ihren Operator, wenn Sie möchten, dass die EFS-Funktion aktiviert wird. Ein Operator kann die EFS-Funktion über die Benutzeroberflächenseite SD-WAN > Globale Einstellungen (Global Settings) > Kundenkonfiguration (Customer Configuration) > SD-WAN-Einstellungen (SD-WAN Settings) > Funktionszugriff (Feature Access) aktivieren.

Konfigurieren von EFS-Regeleinstellungen auf der Profilebene

  1. Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Profile (Profiles). Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
  2. Um eine Profilfirewall zu konfigurieren, klicken Sie auf den Link zum Profil und dann auf die Registerkarte Firewall. Alternativ können Sie auch auf den Link Anzeigen (View) in der Spalte Firewall des Profils klicken.
  3. Die Seite Firewall wird angezeigt.
  4. Aktivieren Sie die Umschaltfläche Erweiterte Firewalldienste (Enhanced Firewall Services), um die EFS-Funktion für alle dem Profil zugeordneten Edges zu aktivieren. Diese Funktion ist standardmäßig nicht aktiviert.
  5. Unter Firewallregeln (Firewall Rules) können Sie eine neue EFS-Regel erstellen oder eine vorhandene Firewallregel für EFS-Einstellungen ändern.
    • So erstellen Sie eine neue EFS-Regel:
      1. Klicken Sie auf die Schaltfläche + Neue Regel (+ New Rule).
      2. Geben Sie im Textfeld Regelname (Rule Name) einen eindeutigen Namen für die Regel ein. Um eine Firewallregel aus einer vorhandenen Regel zu erstellen, wählen Sie die zu duplizierte Regel aus dem Dropdown-Menü Regel duplizieren (Duplicate Rule) aus.
      3. Konfigurieren Sie die Bedingungen unter Übereinstimmung (Match) und die Firewall-Aktionen (Firewall Actions), wenn der Datenverkehr mit den definierten Übereinstimmungskriterien übereinstimmt. Weitere Informationen finden Sie unter Konfigurieren einer Firewallregel.
      4. Aktivieren Sie das Kontrollkästchen IDS/IPS und aktivieren Sie entweder die Umschaltoption „IDS“ oder „IPS“, um die Firewall zu erstellen. Wenn der Benutzer nur IPS aktiviert, wird IDS automatisch aktiviert. Die EFS-Engine überprüft den über die Edges gesendeten/empfangenen Datenverkehr und vergleicht Inhalte mit Signaturen.
        Hinweis: EFS kann nur dann in der Regel aktiviert werden, wenn die Firewall-Aktion Zulassen (Allow) lautet. Wenn es sich bei der Firewall-Aktion nicht um Zulassen (Allow) handelt, wird EFS deaktiviert.
        • System zur Erkennung von Eindringversuchen (Intrusion Detection System): Wenn IDS auf Edges aktiviert ist, erkennen die Edges, ob der Datenverkehrsfluss bösartig ist oder nicht auf bestimmten in der Engine konfigurierten Signaturen basiert. Wenn ein Angriff erkannt wird, generiert die EFS-Engine eine Warnung und sendet die Warnmeldung an SASE Orchestrator/Syslog-Server, wenn die Firewallprotokollierung in Orchestrator aktiviert ist, und verwirft keine Pakete.
        • System zur Abwehr von Eindringversuchen (Intrusion Prevention System): Wenn IPS auf Edges aktiviert ist, erkennen die Edges, ob der Datenverkehrsfluss bösartig ist oder nicht auf bestimmten in der Engine konfigurierten Signaturen basiert. Wenn ein Angriff erkannt wird, generiert die EFS-Engine eine Warnung und blockiert den Datenverkehrsfluss zum Client nur dann, wenn die Signaturregel die Aktion „Ablehnen (Reject)“ aufweist, die mit dem böswilligen Datenverkehr übereinstimmt. Wenn die Aktion in der Signaturregel „Warnung (Warning)“ lautet, wird der Datenverkehr ohne Verwerfen von Paketen zugelassen, selbst wenn Sie IPS konfigurieren.
        Hinweis: VMware empfiehlt dem Kunden, VNF nicht zu aktivieren, wenn IDS/IPS auf Edges aktiviert ist.
      5. Um die EFS-Protokolle an Orchestrator zu senden, aktivieren Sie die Umschaltfläche EFS-Protokoll erfassen (Capture EFS Log).
        Hinweis: Damit ein Edge die Firewallprotokolle an Orchestrator sendet, stellen Sie sicher, dass die Kundenfunktion „Firewallprotokollierung für Orchestrator aktivieren (Enable Firewall Logging to Orchestrator)„“ auf Kundenebene auf der Benutzeroberflächenseite unter „Globale Einstellungen (Global Settings)“ aktiviert ist. Kunden müssen sich an Ihren Operator wenden, wenn Sie möchten, dass die Firewallprotokollierungsfunktion aktiviert wird.
      6. Klicken Sie auf Erstellen (Create).
    • So ändern Sie eine vorhandene Firewallregel für EFS-Einstellungen:
      1. Klicken Sie im Bereich Firewallregeln (Firewall Rules) der Seite Profilfirewall (Profile Firewall) auf den Link unter der Spalte Regelname (Rule name) einer vorhandenen Firewall.
      2. Ändern Sie die Einstellungen IDS/IPS und klicken Sie auf Bearbeiten (Edit).
  6. Klicken Sie auf Änderungen speichern (Save Changes).

Konfigurieren von EFS-Regeleinstellungen auf der Edge-Ebene

  1. Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Edges. Auf der Seite Edges werden die vorhandenen Edges angezeigt.
  2. Klicken Sie zum Konfigurieren eines Edge auf den Link zum Edge oder auf den Link Anzeigen (View) in der Spalte Firewall des Edge.
  3. Klicken Sie auf die Registerkarte Firewall.
  4. Um die geerbten EFS-Einstellungen für einen bestimmten Edge zu überschreiben, aktivieren Sie das Kontrollkästchen Überschreiben (Override) und aktivieren Sie die Umschaltfläche neben der Benutzeroberflächenbezeichnung Erweiterte Firewalldienste (Enhanced Firewall Services).
  5. Unter dem Bereich Firewallregeln (Firewall Rules) der Seite Edge-Firewall (Edge Firewall) können Sie eine neue EFS-Regel erstellen oder die geerbte EFS-Regel für den Edge überschreiben. Befolgen Sie das Verfahren wie in Schritt 5 des Abschnitts Konfigurieren von EFS-Regeleinstellungen auf der Profilebene beschrieben.
  6. Nachdem Sie die EFS-Regeleinstellungen überschrieben haben, klicken Sie auf Änderungen speichern (Save Changes).

Hinweis: Firewallregeln der vorhandenen Edges, die nicht auf Version 5.2.0 aktualisiert werden, haben keine Auswirkungen, wenn Sie den EFS-Dienst auf der globalen Einstellungsebene oder pro Regelebene mit IDS/IPS aktivieren.