Sie können Datenverkehr über VNF auf dem SD-WAN Edge bereitstellen und weiterleiten, indem Sie Firewalls von Drittanbietern verwenden.
Nur ein Operator kann die Sicherheits-VNF-Konfiguration aktivieren. Falls die Option „Sicherheits-VNF (Security VNF)“ für Sie nicht verfügbar ist, wenden Sie sich an Ihren Operator.
Voraussetzungen
Sie benötigen Folgendes:
SASE Orchestrator und aktivierten SD-WAN Edge mit laufenden Softwareversionen, die die Bereitstellung einer bestimmten Sicherheits-VNF unterstützen. Weitere Informationen zu den unterstützten Softwareversionen und Edge-Plattformen finden Sie in der Support-Matrix in Sicherheits-VNFs.
Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Edges.
Klicken Sie auf der Seite Edges entweder auf den Link zu einem Edge, den Sie konfigurieren möchten, oder klicken Sie auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Edge. Die Konfigurationsoptionen für den ausgewählten Edge werden auf der Registerkarte Gerät (Device) angezeigt.
Scrollen Sie auf der Seite Gerät (Device) nach unten zum Abschnitt Sicherheits-VNF (Security VNF) und klicken Sie auf + Sicherheits-VNF konfigurieren (+ Configure Security VNF). Das Fenster Sicherheits-VNF konfigurieren (Configure Security VNF) wird angezeigt.
Aktivieren Sie im Fenster Sicherheits-VNF konfigurieren (Configure Security VNF) das Kontrollkästchen Bereitstellen (Deploy).
Konfigurieren Sie unter VM-Konfiguration (VM Configuration) die folgenden Einstellungen:
VLAN – Wählen Sie aus der Dropdown-Liste ein VLAN aus, das für die VNF-Verwaltung verwendet werden soll.
IP-Adresse für VM-1 (VM-1 IP) – Geben Sie die IP-Adresse der VM ein und stellen Sie sicher, dass sich die IP-Adresse im Subnetzbereich des ausgewählten VLAN befindet.
VM-1-Hostname (VM-1 Hostname) – Geben Sie einen Namen für den VM-Host ein.
Bereitstellungszustand (Deployment State) – Wählen Sie eine der folgenden Optionen aus:
Image heruntergeladen und eingeschaltet (Image Downloaded and Powered On) – Diese Option aktiviert die VM, nachdem die Firewall-VNF auf dem Edge erstellt wurde. Der Datenverkehr durchläuft die VNF nur, wenn diese Option ausgewählt ist. Dazu muss mindestens ein VLAN oder eine geroutete Schnittstelle für die VNF-Einfügung konfiguriert sein.
Image heruntergeladen und ausgeschaltet (Image Downloaded and Powered Off) – Bei dieser Option bleibt die VM ausgeschaltet, nachdem die Firewall-VNF auf dem Edge erstellt wurde. Wählen Sie diese Option nicht aus, wenn Sie den Datenverkehr über die VNF senden möchten.
Wählen Sie unter Sicherheits-VNF (Security VNF) einen vordefinierten VNF-Verwaltungsdienst aus dem Dropdown-Menü aus. Sie können auch auf + Hinzufügen (+ Add) klicken, um einen neuen VNF-Verwaltungsdienst zu erstellen. Weitere Informationen finden Sie unter Konfigurieren des VNF-Verwaltungsdiensts.
Die folgende Abbildung zeigt ein Beispiel für die Fortinet-Firewall (Fortinet Firewall) als Sicherheits-VNF-Typ. Konfigurieren Sie die folgenden zusätzlichen Einstellungen, wenn Sie Fortinet-Firewall (Fortinet Firewall) wählen:
VM-Kerne (VM Cores) – Wählen Sie die Anzahl der Kerne aus der Dropdown-Liste aus. Die VM-Lizenz basiert auf den VM-Kernen. Achten Sie darauf, dass Ihre VM-Lizenz mit der Anzahl der ausgewählten Kerne kompatibel ist.
Überprüfungsmodus (Inspection Mode) – Wählen Sie einen der folgenden Modi aus:
Proxy – Diese Option ist standardmäßig ausgewählt. Die Proxy-basierte Überprüfung beinhaltet die Pufferung des Datenverkehrs und die Untersuchung der Daten als Ganzes zur Analyse.
Flow – Die Flow-basierte Überprüfung untersucht die Datenverkehrsdaten, während sie ohne Pufferung durch die FortiGate-Einheit geleitet werden.
Lizenz (License) – Ziehen Sie die VM-Lizenz per Drag & Drop und fügen Sie Ihren Lizenzinhalt in das Textfeld ein.
Die folgende Abbildung zeigt ein Beispiel für die Check Point-Firewall (Check Point Firewall) als Sicherheits-VNF-Typ.
Konfigurieren Sie die folgenden zusätzlichen Einstellungen, wenn Sie Palo Alto Networks-Firewall (Palo Alto Networks Firewall) als Sicherheits-VNF wählen:
License (Lizenz) – Wählen Sie die VNF-Lizenz aus der Dropdown-Liste aus.
Gerätegruppenname (Device Group Name) – Geben Sie den auf dem Panorama-Server vorkonfigurierten Gerätegruppennamen ein.
Name der Konfigurationsvorlage (Config Template Name) – Geben Sie den auf dem Panorama-Server vorkonfigurierten Namen der Konfigurationsvorlage ein.
Hinweis: Wenn Sie die Bereitstellung der
Palo Alto Networks-Firewall-Konfiguration aus einem VNF-Typ entfernen möchten, stellen Sie sicher, dass Sie die
VNF-Lizenz von Palo Alto Networks deaktiviert haben, bevor Sie die Konfiguration entfernen.
Klicken Sie auf Aktualisieren (Update).
Ergebnisse
Die Konfigurationsdetails werden im Abschnitt
Sicherheits-VNF (Security VNF) angezeigt.
Nächste Maßnahme
Wenn Sie mehrere Datenverkehrssegmente zur VNF umleiten möchten, definieren Sie die Zuordnung zwischen Segmenten und Dienst-VLANs. Weitere Informationen finden Sie unter Definieren von Zuordnungssegmenten mit Dienst-VLANs.
Sie können die Sicherheits-VNF sowohl in ein VLAN als auch in eine geroutete Schnittstelle einfügen, um den Datenverkehr vom VLAN oder der gerouteten Schnittstelle zur VNF umzuleiten. Weitere Informationen finden Sie unter Konfigurieren von VLAN mit VNF-Einfügung.