Ein Kunde mit erweiterten Firewalldiensten (Enhanced Firewall Services, EFS), die auf der Ebene der globalen Einstellungen in VMware SASE Orchestrator aktiviert sind, kann jetzt Sicherheitsdienste, wie z. B. URL-Filterung (URL-Kategoriefilterung, URL-Reputationsfilterung), Böswillige IP-Filterung, System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS) und System zur Abwehr von Eindringversuchen (Intrusion Prevention System, IPS), einzeln konfigurieren und verwalten. Um den Benutzerdatenverkehr basierend auf dem Abgleich der IDS/IPS-Signatur, der Kategorie und/oder der Reputation der URL oder IP zu blockieren, muss der Kunde eine Sicherheitsdienstgruppe mithilfe der vorkonfigurierten Sicherheitsdienste erstellen und diese Sicherheitsdienstgruppe mit den Firewallregeln verknüpfen.
Bevor Sie beginnen
- Stellen Sie sicher, dass 6.0.0 als Edge-Version verwendet wird, damit URL-Filterung (URL-Kategorie und URL-Reputation) und Böswillige IP-Filterung erwartungsgemäß funktionieren. Stellen Sie für die IDS- und IPS-Dienstkonfiguration sicher, dass 5.2.0 und höher als Edge-Version verwendet wird.
- Stellen Sie sicher, dass die EFS-Funktion auf Unternehmensebene aktiviert ist. Wenden Sie sich an Ihren Operator, wenn Sie möchten, dass die EFS-Funktion aktiviert wird. Ein Operator kann die EFS-Funktion über die Benutzeroberflächenseite SD-WAN > Globale Einstellungen (Global Settings) > Kundenkonfiguration (Customer Configuration) > SD-WAN-Einstellungen (SD-WAN Settings) > Funktionszugriff (Feature Access) aktivieren.
Konfigurieren des URL-Kategoriediensts
Derzeit gibt es mehr als 80 URL-Kategorien, darunter Soziale Netzwerke, Finanzdienstleistungen, Phishing usw.
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu . Die Seite Sicherheitsdienste (Security Services) wird angezeigt.
- Klicken Sie auf die Registerkarte URL-Kategorien (URL Categories) und dann auf +REGEL HINZUFÜGEN (+ADD RULE). Das Popup-Fenster URL-Kategoriedienst konfigurieren (Configure URL Category Service) wird angezeigt.
- Geben Sie einen eindeutigen Namen für den URL-Kategoriedienst und gegebenenfalls eine Beschreibung ein.
- In der Liste Kategorien zulassen (Allow Categories) können Sie die zu blockierenden Kategorien auswählen und mithilfe der Schaltfläche mit dem nach links weisenden Pfeil in die Liste Blockierte Kategorien (Blocked Categories) verschieben. Gleichfalls können Sie die zuzulassenden Kategorien auswählen und protokollieren und in die Liste Überwachungskategorien (Monitor Categories) verschieben, indem Sie die Schaltfläche mit dem nach rechts weisenden Pfeil verwenden.
Hinweis: Protokolle werden automatisch für Firewallregeln erfasst, die mit den blockierten und Überwachungskategorien übereinstimmen. Für „Kategorien zulassen (Allow Categories)“ ist Datenverkehr zwar zulässig, dieser wird aber nicht protokolliert.
- Um URLs mit der Kategorie Unbekannt (Unknown) zuzulassen, deaktivieren Sie das Kontrollkästchen unten.
Hinweis: Standardmäßig wird die Kategorie Unbekannt (Unknown) blockiert.
- Klicken Sie auf Änderungen speichern (Save Changes). Eine Regel für den URL-Kategoriedienst wird erstellt und in der Tabelle auf der Seite URL-Kategorien (URL Categories) angezeigt.
- Klicken Sie auf den Link des Sicherheitsdiensts, um die Einstellungen zu ändern. Zum Löschen eines Sicherheitsdiensts aktivieren Sie das Kontrollkästchen vor der Gruppe und klicken auf Löschen (Delete).
Hinweis: Verwendete Sicherheitsdienste können nicht gelöscht werden. Wenn Sie einen Sicherheitsdienst löschen möchten, muss er zuerst aus der zugeordneten Sicherheitsdienstgruppe und den Firewallregeln entfernt werden.
Zur Anzeige der Liste der blockierten Kategorien, Überwachungskategorien und Sicherheitsgruppen, die mit dem Sicherheitsdienst verknüpft sind, klicken Sie auf die entsprechenden Links unter den Spalten Blockierte Kategorien (Blocked Categories), Überwachungskategorien (Monitor Categories) und Verwendet von – Sicherheitsgruppe (Used By – Security Group).
Konfigurieren des URL-Reputationsdiensts
Die URL-Reputation ist für die Vertrauenswürdigkeit der Website verantwortlich. Die Klassifizierung der Reputationsbewertung für URLs und IP-Adressen lautet wie folgt:
- 81-100: Vertrauenswürdig
- 61-80: Geringes Risiko
- 41-60: Mittleres Risiko
- 21-40: Verdächtig
- 01-20: Hohes Risiko
-
Hinweis: „Vertrauenswürdig (Trustworthy)“ ist die sicherste Reputation mit dem geringsten Risiko.
Der URL-Reputationsdienst sucht nach den Bewertungen der Ziel-URLs und blockiert den Edge-Datenverkehr, wenn die jeweiligen Bewertungen auf eine Bedrohung hindeuten.
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu . Die Seite Sicherheitsdienste (Security Services) wird angezeigt.
- Klicken Sie auf die Registerkarte URL-Reputation (URL Reputation) und dann auf +REGEL HINZUFÜGEN (+ADD RULE). Das Popup-Fenster URL-Reputationsdienst konfigurieren (Configure URL Reputation Service) wird angezeigt.
- Geben Sie einen eindeutigen Namen für den URL-Reputationsdienst und gegebenenfalls eine Beschreibung ein.
- Wählen Sie im Dropdown-Menü Zulässige Mindestreputation (Minimum Acceptable Reputation) eine zulässige Reputation aus, um Datenverkehr zu/von einer URL zuzulassen. Sobald Sie die zulässige Mindestreputation konfiguriert haben, werden alle anderen zu blockierenden Reputationen automatisch im Feld Blockierte Reputation(en) (Blocked Reputation(s)) aufgelistet. Datenverkehr zu/von einer URL unterhalb der ausgewählten URL-Reputationsstufe wird blockiert und automatisch protokolliert. Datenverkehr oberhalb der ausgewählten URL-Reputationsstufe wird zugelassen, aber nicht automatisch protokolliert. Sie können die zu protokollierenden Reputationen über das Dropdown-Menü Protokolle erfassen (Capture Logs) angeben.
- Um URLs mit Reputationen vom Typ Unbekannt (Unknown) zuzulassen, deaktivieren Sie das Kontrollkästchen unten. Eine URL wird der Reputation „Unbekannt“ zugeordnet, wenn vom Dienst URL-Filterung (URL Filtering) keine Reputationsinformationen bereitgestellt werden.
Hinweis: Reputationen vom Typ Unbekannt (Unknown) werden standardmäßig blockiert.
- Klicken Sie auf Änderungen speichern (Save Changes). Eine Regel für den URL-Reputationsdienst wird erstellt und in der Tabelle auf der Seite URL-Reputation (URL Reputation) angezeigt.
- Klicken Sie auf den Link des Sicherheitsdiensts, um die Einstellungen zu ändern. Zum Löschen eines Sicherheitsdiensts aktivieren Sie das Kontrollkästchen vor der Gruppe und klicken auf Löschen (Delete).
Konfigurieren des böswilligen IP-Diensts
Das Blockieren von IP-Adressen kann nützlich sein, um ein Netzwerk oder eine Website vor böswilligen Aktivitäten zu schützen. Mit der von Webroot zugewiesenen IP-Reputationsbewertung wird die Vertrauenswürdigkeit von IP sichergestellt. Der böswillige IP-Dienst sucht nach den IP-Reputationsbewertungen der Ziel-IPs und blockiert den Edge-Datenverkehr, wenn die jeweiligen Bewertungen auf eine böswillige Aktivität hindeuten.
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu . Die Seite Sicherheitsdienste (Security Services) wird angezeigt.
- Klicken Sie auf die Registerkarte Böswillige IP (Malicious IP) und dann auf +REGEL HINZUFÜGEN (+ADD RULE). Das Popup-Fenster Dienst „Böswillige IP-Filterung“ konfigurieren (Configure Malicious IP Filtering Service) wird angezeigt.
- Geben Sie einen eindeutigen Namen für den böswilligen IP-Dienst und gegebenenfalls eine Beschreibung ein.
- Wählen Sie im Dropdown-Menü Aktion (Action) eine Aktion aus, die durchgeführt werden soll, wenn IPv4-Datenverkehr zu/von einer böswilligen IP erkannt wird. Sie können eine der folgenden Optionen auswählen:
- Überwachen (Monitor) – Lässt IPv4-Datenverkehr vom böswilligen IP-Dienst zu und protokolliert diesen automatisch.
- Überwachen (Monitor) – Blockiert IPv4-Datenverkehr vom böswilligen IP-Dienst und protokolliert diesen automatisch.
Hinweis: Wenn die IP-Adresse nicht böswillig ist, wird IPv4-Datenverkehr zwar zugelassen, aber nicht protokolliert. - Klicken Sie auf Änderungen speichern (Save Changes). Eine Regel für den böswilligen IP-Dienst wird erstellt und in der Tabelle auf der Seite Böswillige IP (Malicious IP) angezeigt.
- Klicken Sie auf den Link des Sicherheitsdiensts, um die Einstellungen zu ändern. Zum Löschen eines Sicherheitsdiensts aktivieren Sie das Kontrollkästchen vor der Gruppe und klicken auf Löschen (Delete).
IDS/IPS-Sicherheitsdienst konfigurieren
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu . Die Seite Sicherheitsdienste (Security Services) wird angezeigt.
- Klicken Sie auf die Registerkarte IDS/IPS und dann auf +REGEL HINZUFÜGEN (+ADD RULE). Das Popup-Fenster IDS/IPS-Sicherheitsdienst konfigurieren (Configure IDS/IPS Security Service) wird angezeigt.
- Geben Sie einen eindeutigen Namen für den IDS-/IPS-Dienst und gegebenenfalls eine Beschreibung ein.
- Aktivieren Sie im Abschnitt Erkennung und Abwehr von Eindringversuchen (Intrusion Detection and Prevention) die Umschaltfläche „Erkennung von Eindringversuchen (IDS) (Intrusion Detection (IDS))“ und/oder „Abwehr von Eindringversuchen (IPS) (Intrusion Prevention (IPS))“. Wenn ein Benutzer nur IPS aktiviert, wird IDS automatisch aktiviert. Die EFS-Engine überprüft den über die Edges gesendeten/empfangenen Datenverkehr und vergleicht Inhalte mit Signaturen. IDS/IPS-Signaturen werden kontinuierlich mit einer gültigen EFS-Lizenz aktualisiert. Weitere Informationen zu EFS finden Sie unter Erweiterte Firewalldienste – Übersicht.
- Erkennung von Eindringversuchen (Intrusion Detection) – Wenn IDS auf Edges aktiviert ist, erkennen die Edges, ob der Datenverkehrsfluss bösartig ist oder nicht auf bestimmten in der Engine konfigurierten Signaturen basiert. Im Fall eines Angriffs generiert die EFS-Engine eine Warnung und sendet die Warnmeldung an den SASE Orchestrator/Syslog-Server, wenn die Firewallprotokollierung in Orchestrator aktiviert ist, und verwirft keine Pakete.
- Abwehr von Eindringversuchen (Intrusion Prevention) – Wenn IPS auf Edges aktiviert ist, erkennen die Edges, ob der Datenverkehrsfluss bösartig ist oder nicht auf bestimmten in der Engine konfigurierten Signaturen basiert. Im Fall eines Angriffs generiert die EFS-Engine eine Warnung und blockiert den Datenverkehrsfluss zum Client, wenn die Aktion in der Signaturregel „Ablehnen (Reject)“ lautet. Wenn die Aktion in der Signaturregel „Warnung (Warning)“ lautet, wird der Datenverkehr ohne Verwerfen von Paketen zugelassen, selbst wenn Sie IPS konfigurieren.
Hinweis: VMware empfiehlt seinen Kunden, VNF nicht zu aktivieren, wenn IDS/IPS auf Edges aktiviert ist. - Wählen Sie im Dropdown-Menü Protokoll (Log) die Option Ja (Yes) aus, wenn Sie die IDS-/IPS-Protokolle an Orchestrator senden möchten.
- Klicken Sie auf Änderungen speichern (Save Changes). Eine Regel für den IDS-/IPS-Dienst wird erstellt und in der Tabelle auf der Seite IDS/IPS angezeigt.
- Klicken Sie auf den Link des Sicherheitsdiensts, um die Einstellungen zu ändern. Zum Löschen eines Sicherheitsdiensts aktivieren Sie das Kontrollkästchen vor der Gruppe und klicken auf Löschen (Delete).
Konfigurieren der Sicherheitsdienstgruppe
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu . Die Seite Sicherheitsdienste (Security Services) wird angezeigt.
- Klicken Sie auf die Registerkarte Sicherheitsdienstgruppe (Security Service Group) und dann auf + GRUPPE ERSTELLEN (+ CREATE GROUP). Die Seite Neue Sicherheitsdienstgruppe (New Security Service Group) wird angezeigt.
- Wenn Sie eine neue Dienstgruppe aus einer vorhandenen erstellen möchten, wählen Sie eine Option im Dropdown-Menü Doppelte Sicherheitsdienstgruppe (Duplicate Security Service Group) aus und benennen Sie nur den Regelnamen um. Alle anderen Konfigurationen werden automatisch aus der ausgewählten Sicherheitsdienstgruppe übernommen.
- Geben Sie zum Erstellen einer neuen Dienstgruppe einen eindeutigen Namen für die Sicherheitsdienstgruppe und gegebenenfalls eine Beschreibung ein.
- Im Abschnitt Sicherheitsdienstgruppe erstellen (Create Security Service Group) können Sie die vorab erstellten Sicherheitsdienste für URL-Kategorien, URL-Reputation, böswillige IP und IDS/IPS auswählen und gruppieren, um eine Sicherheitsgruppe zu erstellen. Wenn Sie die vorab erstellten Dienste nicht verwenden möchten, können Sie auf die Schaltfläche Neu (New) klicken und einen neuen Sicherheitsdienst erstellen, um ihn mit der Sicherheitsgruppe zu verknüpfen. Klicken Sie auf die Schaltfläche Anzeigen (View), um die Konfigurationsdetails des ausgewählten Sicherheitsdiensts anzuzeigen.
- Klicken Sie auf Änderungen speichern (Save Changes). Eine Sicherheitsdienstgruppe wird erstellt und in der Tabelle auf der Seite Sicherheitsdienstgruppe (Security Service Group) angezeigt.
- Klicken Sie auf den Link der Sicherheitsdienstgruppe, um die Einstellungen zu ändern. Zum Löschen einer Sicherheitsdienstgruppe aktivieren Sie das Kontrollkästchen vor der Gruppe und klicken auf Löschen (Delete).
Hinweis: Die verwendete Sicherheitsdienstgruppe kann nicht gelöscht werden. Wenn Sie eine Sicherheitsdienstgruppe löschen möchten, muss diese zuerst aus den zugeordneten Firewallregeln entfernt werden.
Zuordnen einer Sicherheitsdienstgruppe zu einer Firewallregel auf Profilebene
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu . Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
- Wählen Sie ein Profil aus, um eine Firewallregel zu konfigurieren, und klicken Sie auf die Registerkarte Firewall.
- Navigieren Sie zum Abschnitt Firewall konfigurieren (Configure Firewall) und klicken Sie im Bereich Firewallregeln (Firewall Rules) auf + NEUE REGEL (+ NEW RULE). Die Seite Neue Regel (New Rule) wird angezeigt.
- Geben Sie im Textfeld Regelname (Rule Name) einen eindeutigen Namen für die Regel ein. Um eine Firewallregel aus einer vorhandenen Regel zu erstellen, wählen Sie die zu duplizierte Regel aus dem Dropdown-Menü Regel duplizieren (Duplicate Rule) aus.
- Konfigurieren Sie in den Abschnitten Übereinstimmung (Match) und Firewallaktion (Firewall Action) die Übereinstimmungsbedingungen für die Regel und die Aktionen, die durchgeführt werden sollen, wenn der Datenverkehr den jeweils definierten Kriterien entspricht. Weitere Informationen finden Sie unter Konfigurieren einer Firewallregel.
- Konfigurieren Sie im Abschnitt Sicherheitsdienste (Security Services) den Sicherheitsdienst für die Regel, indem Sie eine Sicherheitsdienstgruppe im Dropdown-Menü auswählen. Eine Zusammenfassung aller Sicherheitsdienste, die innerhalb der Sicherheitsdienstgruppe konfiguriert sind, wird angezeigt. Sie können auf die Schaltfläche Anzeigen (View) neben jedem Sicherheitsdienst klicken, um die Konfigurationsdetails anzuzeigen.
Hinweis: Sicherheitsdienste können nur dann in der Regel aktiviert werden, wenn Zulassen (Allow) für die Firewallaktion gilt. Wenn es sich bei der Firewallaktion nicht um Zulassen (Allow) handelt, werden die Sicherheitsdienste deaktiviert.
- Klicken Sie nach dem Konfigurieren der erforderlich Einstellungen auf Erstellen (Create). Eine Firewallregel wird für das ausgewählte Profil erstellt und auf der Seite Profil-Firewall (Profile Firewall) im Bereich Firewallregeln (Firewall Rules) angezeigt.
- Klicken Sie auf Änderungen speichern (Save Changes).
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu . Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
- Wählen Sie ein Profil aus, um eine Firewallregel zu konfigurieren, und klicken Sie auf die Registerkarte Firewall.
- Wechseln Sie zum Abschnitt Firewall konfigurieren (Configure Firewall) und wählen Sie im Bereich Firewallregeln (Firewall Rules) den Regelnamen aus, für den Sie die Konfiguration des Sicherheitsdiensts ändern möchten.
- Wählen Sie im Abschnitt Sicherheitsdienste (Security Services) eine andere Dienstgruppe aus, die der Regel zugeordnet werden soll, und klicken Sie auf Bearbeiten (Edit).
- Klicken Sie auf Änderungen speichern (Save Changes).
Zuordnen einer Sicherheitsdienstgruppe zu einer Firewallregel auf Edge-Ebene
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu . Auf der Seite Edges werden die vorhandenen Edges angezeigt.
- Klicken Sie zum Konfigurieren eines Edge auf den Link zum Edge oder auf den Link Anzeigen (View) in der Spalte Firewall des Edge.
- Klicken Sie auf die Registerkarte Firewall.
- Wechseln Sie zum Abschnitt Firewall konfigurieren (Configure Firewall). Im Bereich Firewallregeln (Firewall Rules) können Sie eine neue Regel mit Sicherheitsdienstkonfigurationen erstellen oder die Sicherheitsdiensteinstellungen der vorhandenen Regel ändern. Führen Sie das in Schritt 6 des Abschnitts Zuordnen einer Sicherheitsdienstgruppe zu einer Firewallregel auf Profilebene beschriebene Verfahren durch.
Hinweis: Die auf der Profilebene erstellten Regeln können auf der Edge-Ebene nicht aktualisiert werden. Um die Regel zu überschreiben, muss der Benutzer dieselbe Regel auf der Edge-Ebene mit neuen Parametern erstellen, um die Regel auf Profilebene zu überschreiben.
- Klicken Sie nach dem Konfigurieren der erforderlich Einstellungen auf Erstellen (Create). Eine Firewallregel wird für den ausgewählte Edge erstellt und auf der Seite Edge-Firewall (Edge Firewall) im Bereich Firewallregeln (Firewall Rules) angezeigt.
- Klicken Sie auf Änderungen speichern (Save Changes).