Erweiterte Firewalldienste

EFS (Enhanced Firewall Services) bietet zusätzliche EFS-Sicherheitsfunktionen auf VMware SD-WAN Edges. Die von NSX Security gestützte EFS-Funktion unterstützt neben URL-Kategoriefilterung, URL-Reputationsfilterung, und böswilliger IP-Filterung auch das System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS) und das System zur Abwehr von Eindringversuchen (Intrusion Prevention System, IPS) auf VMware SD-WAN Edges. Die erweiterten Firewalldienste (Enhanced Firewall Services, EFS) des Edge schützen den Edge-Datenverkehr vor Eindringversuchen für Datenverkehrsmuster vom Typ „Zweigstelle-zu-Zweigstelle“, „Zweigstelle-zu-Hub“ oder „Zweigstelle-zu-Internet“.

Derzeit bietet die SD-WAN Edge-Firewall eine statusbehaftete Überprüfung sowie Anwendungsidentifikation ohne zusätzliche EFS-Sicherheitsfunktionen. Der SD-WAN Edge der statusbehafteten Firewall bietet zwar Sicherheit, diese ist aber nicht ausreichend. Es entsteht eine Sicherheitslücke bei der Bereitstellung von EFS-Sicherheit, die nativ in VMware SD-WAN integriert ist. Der EFS-Dienst des Edge schließt diese Sicherheitslücken und stellt erweiterten Bedrohungsschutz nativ auf dem SD-WAN Edge gemeinsam mit VMware SD-WAN bereit.

Kunden können den EFS-Dienst mithilfe der Funktion „Firewall“ in VMware SASE Orchestrator konfigurieren und verwalten. Kunden können Firewallregeln konfigurieren, um Webdatenverkehr basierend auf dem Abgleich der IDS/IPS-Signatur, der Kategorie und/oder der Reputation der URL oder IP zu blockieren.

Einschränkungen

Wenn EFS aktiviert und IDS/IPS konfiguriert ist, werden nur statische Adressen unterstützt. Verwenden Sie die dynamische Adresse nicht in LAN-Netzwerken wie DHCPv4 Client, DHCPv6 Client, DHCPv6 PD und IPv6 SLAAC.

Wenn der Adressbereich bei Verwendung der dynamischen Adressierung im Falle von IPv4 außerhalb des privaten Adressbereichs und im Falle von IPv6 außerhalb des in RFC1918 beschriebenen ULA-Adressbereichs liegt, findet der Regelabgleich unter Umständen nicht statt, da die Adresse nicht Teil der HOME_NETWORK-Einstellung in der Datei „suricata.yaml“ ist.