SD-WAN Orchestrator vous permet de configurer des règles de pare-feu au niveau du profil et du dispositif Edge pour autoriser, annuler, rejeter ou ignorer le trafic entrant et sortant. Le pare-feu utilise les paramètres tels que l'adresse IP/le port source, l'adresse IP/le port de destination, les applications, les catégories d'applications et les balises DSCP pour créer des règles de pare-feu.

Pour configurer une règle de pare-feu avec un pare-feu avec état activé au niveau du profil, suivez les étapes de cette procédure.

Procédure

  1. Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Pare-feu (Firewall).
  2. Activez l'option Pare-feu avec état (Stateful Firewall) pour le profil sélectionné.
  3. Dans la zone Règles de pare-feu (Firewall Rules), cliquez sur Nouvelle règle (New Rule). La boîte de dialogue Configurer la règle (Configure Rule) s'affiche.
  4. Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle.
  5. Dans la zone Correspondance (Match), configurez les conditions de correspondance pour la règle :
    Paramètres Description
    Source Permet de spécifier la source des paquets. Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : autorise toutes les adresses source par défaut.
    • Groupe d'objets (Object Group) : vous permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports.
    • Définir (Define) : vous permet de définir le trafic source sur un VLAN, une adresse IP, une adresse MAC ou un port spécifique. Pour l'adresse IP, choisissez l'une des trois options suivantes :
      • Préfixe CIDR (CIDR prefix) : choisissez cette option si vous souhaitez que le réseau soit défini comme une valeur CIDR (par exemple, 172.10.0.0 /16).
      • Masque de sous-réseau (Subnet mask) : choisissez cette option si vous souhaitez que le réseau soit défini en fonction d'un masque de sous-réseau (par exemple, 172.10.0.0 255.255.0.0).
      • Masque générique (Wildcard mask) : choisissez cette option si vous souhaitez pouvoir limiter l'application d'une stratégie à un ensemble de périphériques sur différents sous-réseaux IP qui partagent une valeur d'adresse IP d'hôte correspondante. Le masque générique correspond à une adresse IP ou à un ensemble d'adresses IP basées sur le masque de sous-réseau inversé. Un « 0 » dans la valeur binaire du masque signifie que la valeur est fixe et un « 1 » dans la valeur binaire du masque signifie que la valeur est sauvage (elle peut être 1 ou 0). Par exemple, un masque générique de 0.0.0.255 (équivalent binaire = 00000000.00000000.00000000.11111111) avec une adresse IP de 172.0.0, les trois premiers octets étant des valeurs fixes et le dernier octet étant une valeur variable.
    Destination Permet de spécifier la destination des paquets. Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : autorise toutes les adresses de destination par défaut.
    • Groupe d'objets (Object Group) : vous permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports. Pour plus d'informations sur le groupe d'objets, reportez-vous à la section Groupes d'objets.
    • Définir (Define) : vous permet de définir le trafic de destination sur un VLAN, une adresse IP, une adresse MAC ou un port spécifique. Pour l'adresse IP, choisissez l'une des trois options suivantes : Préfixe CIDR (CIDR prefix), Masque de sous-réseau (Subnet mask) ou Masque générique (Wildcard mask).
    Application Permet de spécifier les applications auxquelles appliquer la règle de pare-feu. Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : applique la règle de pare-feu à n'importe quelle application par défaut.
    • Définir (Define) : vous permet de sélectionner une application spécifique.
  6. Dans la zone Action, configurez les actions de la règle :
    Paramètres Description
    Pare-feu (Firewall) Sélectionnez l'une des actions suivantes que le pare-feu doit effectuer sur les paquets, lorsque les conditions de la règle sont satisfaites :
    • Autoriser (Allow) : autorise les paquets de données par défaut.
    • Annuler (Drop) : annule les paquets de données en silence sans envoyer de notification à la source.
    • Rejeter (Reject) : annule les paquets et informe la source en envoyant un message de réinitialisation explicite.
    • Ignorer (Skip) : ignore la règle pendant les recherches et traite la règle suivante. Toutefois, cette règle sera utilisée au moment du déploiement de SD-WAN.
    Journaliser Cochez cette case si vous souhaitez qu'une entrée de journal soit créée lorsque cette règle est déclenchée.
  7. Cliquez sur OK.

Résultats

Une règle de pare-feu est créée pour le profil sélectionné et s'affiche dans la zone Règles de pare-feu (Firewall Rules) de la page Pare-feu du profil (Profile Firewall).