SD-WAN Orchestrator vous permet de configurer des règles de pare-feu au niveau du profil et du dispositif Edge pour autoriser, annuler, rejeter ou ignorer le trafic entrant et sortant. Le pare-feu utilise les paramètres tels que l'adresse IP/le port source, l'adresse IP/le port de destination, les applications, les catégories d'applications et les balises DSCP pour créer des règles de pare-feu.
Pour configurer une règle de pare-feu avec un pare-feu avec état activé au niveau du profil, suivez les étapes de cette procédure.
Procédure
- Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Pare-feu (Firewall).
- Activez l'option Pare-feu avec état (Stateful Firewall) pour le profil sélectionné.
- Dans la zone Règles de pare-feu (Firewall Rules), cliquez sur Nouvelle règle (New Rule). La boîte de dialogue Configurer la règle (Configure Rule) s'affiche.
- Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle.
- Dans la zone Correspondance (Match), configurez les conditions de correspondance pour la règle :
Paramètres |
Description |
Source |
Permet de spécifier la source des paquets. Sélectionnez l'une des options suivantes :
- Indifférent (Any) : autorise toutes les adresses source par défaut.
- Groupe d'objets (Object Group) : vous permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports.
- Définir (Define) : vous permet de définir le trafic source sur un VLAN, une adresse IP, une adresse MAC ou un port spécifique. Pour l'adresse IP, choisissez l'une des trois options suivantes :
- Préfixe CIDR (CIDR prefix) : choisissez cette option si vous souhaitez que le réseau soit défini comme une valeur CIDR (par exemple,
172.10.0.0 /16 ).
- Masque de sous-réseau (Subnet mask) : choisissez cette option si vous souhaitez que le réseau soit défini en fonction d'un masque de sous-réseau (par exemple,
172.10.0.0 255.255.0.0 ).
- Masque générique (Wildcard mask) : choisissez cette option si vous souhaitez pouvoir limiter l'application d'une stratégie à un ensemble de périphériques sur différents sous-réseaux IP qui partagent une valeur d'adresse IP d'hôte correspondante. Le masque générique correspond à une adresse IP ou à un ensemble d'adresses IP basées sur le masque de sous-réseau inversé. Un « 0 » dans la valeur binaire du masque signifie que la valeur est fixe et un « 1 » dans la valeur binaire du masque signifie que la valeur est sauvage (elle peut être 1 ou 0). Par exemple, un masque générique de 0.0.0.255 (équivalent binaire = 00000000.00000000.00000000.11111111) avec une adresse IP de 172.0.0, les trois premiers octets étant des valeurs fixes et le dernier octet étant une valeur variable.
|
Destination |
Permet de spécifier la destination des paquets. Sélectionnez l'une des options suivantes :
- Indifférent (Any) : autorise toutes les adresses de destination par défaut.
- Groupe d'objets (Object Group) : vous permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports. Pour plus d'informations sur le groupe d'objets, reportez-vous à la section Groupes d'objets.
- Définir (Define) : vous permet de définir le trafic de destination sur un VLAN, une adresse IP, une adresse MAC ou un port spécifique. Pour l'adresse IP, choisissez l'une des trois options suivantes : Préfixe CIDR (CIDR prefix), Masque de sous-réseau (Subnet mask) ou Masque générique (Wildcard mask).
|
Application |
Permet de spécifier les applications auxquelles appliquer la règle de pare-feu. Sélectionnez l'une des options suivantes :
- Indifférent (Any) : applique la règle de pare-feu à n'importe quelle application par défaut.
- Définir (Define) : vous permet de sélectionner une application spécifique.
|
- Dans la zone Action, configurez les actions de la règle :
Paramètres |
Description |
Pare-feu (Firewall) |
Sélectionnez l'une des actions suivantes que le pare-feu doit effectuer sur les paquets, lorsque les conditions de la règle sont satisfaites :
- Autoriser (Allow) : autorise les paquets de données par défaut.
- Annuler (Drop) : annule les paquets de données en silence sans envoyer de notification à la source.
- Rejeter (Reject) : annule les paquets et informe la source en envoyant un message de réinitialisation explicite.
- Ignorer (Skip) : ignore la règle pendant les recherches et traite la règle suivante. Toutefois, cette règle sera utilisée au moment du déploiement de SD-WAN.
|
Journaliser |
Cochez cette case si vous souhaitez qu'une entrée de journal soit créée lorsque cette règle est déclenchée. |
- Cliquez sur OK.
Résultats
Une règle de pare-feu est créée pour le profil sélectionné et s'affiche dans la zone Règles de pare-feu (Firewall Rules) de la page Pare-feu du profil (Profile Firewall).