Los clientes pueden configurar y administrar los servicios de firewall mejorados (EFS) mediante la funcionalidad de firewall de VMware SASE Orchestrator.

Antes de comenzar

Para que la función EFS se ejecute correctamente:
  • Asegúrese de que la versión de Edge esté actualizada a la versión 5.2.0.0.
  • Asegúrese de que la función EFS esté activada en el nivel empresarial. Si desea activar la función EFS, póngase en contacto con un operador. Los operadores pueden activar la función EFS desde la página de la interfaz de usuario SD-WAN > Configuración global (Global Settings) > Configuración del cliente (Customer Cofiguratio) > Configuración de SD-WAN (SD-WAN Settings) > Acceso a funciones (Feature Access).

Configurar los ajustes de reglas de EFS en el nivel de perfil

  1. En el servicio SD-WAN del portal de empresas, vaya a Configurar (Configure) > Perfiles (Profiles). La página Perfiles (Profiles) muestra los perfiles existentes.
  2. Para configurar un firewall de perfil, haga clic en el vínculo del perfil y, a continuación, haga clic en la pestaña Firewall. Como alternativa, también puede hacer clic en el vínculo Ver (View) de la columna Firewall del perfil.
  3. Aparecerá la página Firewall.
  4. Active el botón de alternancia Servicios de firewall mejorados (Enhanced Firewall Services) para activar la función EFS en todas las instancias de Edge asociadas con el perfil. De forma predeterminada, esta función no está activada.
  5. En Reglas de firewall (Firewall Rules), puede crear una nueva regla de firewall o modificar una regla de firewall existente para la configuración de EFS.
    • Para crear una nueva regla de EFS:
      1. Haga clic en el botón +Nueva regla (+New Rule).
      2. En el cuadro Nombre de regla (Rule Name), introduzca un nombre único para la regla. Para crear una regla de firewall a partir de una regla existente, seleccione la regla que se va a duplicar en el menú desplegable Duplicar regla (Duplicate Rule).
      3. Configure las condiciones de Coincidencia (Match) y Acciones de firewall (Firewall Actions) que se realizarán cuando el tráfico coincida con los criterios de coincidencia definidos. Para obtener más información, consulte Configurar reglas de firewall.
      4. Seleccione la casilla de verificación IDS/IPS y active el botón de alternancia IDS o IPS para crear el firewall. Cuando el usuario solo activa IPS, IDS se activará automáticamente. El motor EFS inspecciona el tráfico enviado/recibido a través de las instancias de Edge y compara el contenido con las firmas configuradas en el motor EFS.
        Nota: EFS se puede activar en la regla solo si la acción de firewall está establecida en Permitir (Allow). Si la acción de firewall no está establecida en Permitir (Allow), EFS se desactivará.
        • Sistema de detección de intrusiones (Intrusion Detection System): cuando IDS está activado en instancias de Edge, estas detectan si el flujo de tráfico es malintencionado o no en función de determinadas firmas configuradas en el motor. Si se detecta un ataque, el motor EFS genera una alerta y envía el mensaje de alerta al servidor SASE Orchestrator/Syslog si el registro de firewall está activado en Orchestrator y no descartará ningún paquete.
        • Sistema de prevención de intrusiones (Intrusion Prevention System): cuando IPS está activado en instancias de Edge, estas detectan si el flujo de tráfico es malintencionado o no en función de determinadas firmas configuradas en el motor. Si se detecta un ataque, el motor EFS genera una alerta y bloquea el flujo de tráfico hacia el cliente solo si la regla de firma tiene la acción establedica como "Rechazar" (Reject), coincidente con el tráfico malintencionado. Si la acción en la regla de firma está establecida como "Alerta" (Alert), se permitirá el tráfico sin descartar ningún paquete, incluso si configura IPS.
        Nota: VMware recomienda al cliente no activar VNF cuando IDS/IPS está activado en las instancias de Edge.
      5. Para enviar los registros de EFS a Orchestrator, active el botón de alternancia Capturar registro de EFS (Capture EFS Log).
        Nota: Para que una instancia de Edge envíe los registros de firewall a Orchestrator, asegúrese de que la función del cliente Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator) esté activada a nivel del cliente en la página de la interfaz de usuario "Configuración global" (Global Settings). Si desea que se active la función de registro de firewall, los clientes deben ponerse en contacto con el operador.
      6. Haga clic en Crear (Create).
    • Para modificar una regla de firewall existente para la configuración de EFS:
      1. En el área Reglas de firewall (Firewall Rules) de la página Firewall de perfil (Profile Firewall), haga clic en el vínculo de la columna Nombre de regla (Rule Name) de un firewall existente que desee modificar.
      2. Modifique la configuración IDS/IPS y haga clic en Editar (Edit).
  6. Haga clic en Guardar cambios (Save Changes).

Configurar los ajustes de regla de EFS en el nivel de Edge

  1. En el servicio de SD-WAN del portal de empresas, vaya a Configurar (Configure) > Instancias de Edge (Edges). La página Instancias de Edge (Edges) muestra las instancias de Edge existentes.
  2. Para configurar una instancia de Edge, haga clic en el vínculo a la instancia de Edge o en el vínculo Ver (View) de la columna Firewall de la instancia de Edge.
  3. Haga clic en la pestaña Firewall.
  4. Para anular la configuración heredada de EFS para una instancia de Edge específica, seleccione la casilla de verificación Anular (Override) y active el botón de alternancia situado junto a la etiqueta de la interfaz de usuario Servicios de firewall mejorados (Enhanced Firewall Services).
  5. En el área Reglas de firewall (Firewall Rules) de la página Firewall de Edge (Edge Firewall), puede crear una nueva regla de EFS o anular la configuración heredada de la regla de EFS para la instancia de Edge. Siga el procedimiento descrito en el paso 5 de la sección Configurar los ajustes de reglas de EFS en el nivel de perfil.
  6. Después de anular la configuración de la regla de EFS, haga clic en Guardar cambios (Save Changes).

Nota: Las reglas de firewall de las instancias de Edge existentes que no se actualicen a la versión 5.2.0 no tendrán ningún impacto al activar el servicio EFS en el nivel de configuración global o por nivel de regla con IDS/IPS.