Les clients peuvent configurer et gérer les services de pare-feu améliorés (EFS) à l'aide de la fonctionnalité de pare-feu dans VMware SASE Orchestrator.
Avant de commencer
Pour que la fonctionnalité EFS fonctionne :
- Assurez-vous que la version d'Edge est mise à niveau vers la version 5.2.0.0.
- Assurez-vous que la fonctionnalité EFS est activée au niveau de l'entreprise. Contactez votre opérateur pour activer la fonctionnalité EFS. Un opérateur peut activer la fonctionnalité EFS sur la page de l'interface utilisateur SD-WAN > Paramètres globaux (Global Settings) > Configuration du client (Customer Configuration) > Paramètres de SD-WAN (SD-WAN Settings) > Accès à la fonctionnalité (Feature Access).
Configurer les paramètres de règle EFS au niveau du profil
- Dans le service SD-WAN du portail d'entreprise, accédez à . La page Profils (Profiles) affiche les profils existants.
- Pour configurer un pare-feu du profil, cliquez sur le lien d'accès au profil, puis cliquez sur l'onglet Pare-feu (Firewall). Vous pouvez également cliquer sur le lien Afficher (View) dans la colonne Pare-feu (Firewall) du profil.
- La page Pare-feu (Firewall) s'affiche.
- Activez le bouton bascule Services de pare-feu améliorés (Enhanced Firewall Services) pour activer la fonctionnalité EFS pour tous les dispositifs Edge associés au profil. Par défaut, cette fonctionnalité n'est pas activée.
- Sous Règles de pare-feu (Firewall Rules), vous pouvez créer une règle EFS ou modifier une règle de pare-feu existante pour les paramètres EFS.
- Pour créer une règle EFS :
- Cliquez sur le bouton + Nouvelle règle (+ New Rule).
- Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle. Pour créer une règle de pare-feu à partir d'une règle existante, sélectionnez la règle à dupliquer dans le menu déroulant Dupliquer la règle (Duplicate Rule).
- Configurez les conditions de Correspondance (Match) et Actions de pare-feu (Firewall Actions) à effectuer lorsque le trafic correspond aux critères de correspondance définis. Pour plus d'informations, reportez-vous à la section Configurer une règle de pare-feu.
- Cochez la case IDS/IPS et activez l'option IDS ou IPS pour créer le pare-feu. Lorsque l'utilisateur active uniquement IPS, IDS est automatiquement activé. Le moteur EFS inspecte le trafic envoyé/reçu via les dispositifs Edge et fait correspondre le contenu aux signatures configurées dans le moteur EFS.
Note : Vous ne pouvez activer EFS que dans la règle que si l'action de pare-feu est Autoriser (Allow). Si l'action de pare-feu est autre que Autoriser (Allow), le moteur EFS est désactivé.
- Système de détection des intrusions (Intrusion Detection System) : lorsque l'IDS est activé sur les dispositifs Edge, ceux-ci détectent si le flux de trafic est malveillant ou non selon certaines signatures configurées dans le moteur. Si une attaque est détectée, le moteur EFS génère une alerte et envoie le message d'alerte au SASE Orchestrator/Serveur Syslog si la journalisation de pare-feu est activée dans Orchestrator et n'abandonne aucun paquet.
- Système de prévention d'intrusion (Intrusion Prevention System) : lorsqu'IPS est activé sur les dispositifs Edge, ceux-ci détectent si le flux de trafic est malveillant ou non selon certaines signatures configurées dans le moteur. Si une attaque est détectée, le moteur EFS génère une alerte et bloque le flux de trafic vers le client uniquement si la règle de signature comporte l'action « Rejeter » (Reject), correspondant au trafic malveillant. Si l'action dans la règle de signature est « Alerte » (Alert), le trafic est autorisé sans abandonner de paquets, même si vous configurez IPS.
Note : VMware recommande au client de ne pas activer la VNF lorsqu'IDS ou IPS est activé sur les dispositifs Edge. - Pour envoyer les journaux EFS à Orchestrator, activez le bouton bascule Capturer le journal EFS (Capture EFS Log).
Note : Pour qu'un dispositif Edge envoie les journaux de pare-feu à Orchestrator, assurez-vous que la capacité du client « Activer la journalisation du pare-feu dans Orchestrator » (Enable Firewall Logging to Orchestrator) est activée au niveau du client sous la page de l'interface utilisateur « Paramètres globaux » (Global Settings). Les clients doivent contacter votre opérateur si vous souhaitez activer la fonctionnalité de journalisation du pare-feu (Firewall Logging).
- Cliquez sur Créer (Create).
- Pour modifier une règle de pare-feu existante pour les paramètres EFS :
- Sous la zone Règles de pare-feu (Firewall Rules) de la page Pare-feu du profil (Profile Firewall), cliquez sur le lien sous la colonne Nom de la règle (Rule name) d'un pare-feu existant à modifier.
- Modifiez les paramètres IDS/IPS et cliquez sur Modifier (Edit).
- Pour créer une règle EFS :
- Cliquez sur Enregistrer les modifications (Save Changes).
Configurer les paramètres de règle EFS au niveau du dispositif Edge
- Dans le service SD-WAN du portail d'entreprise, accédez à . La page Dispositifs Edge (Edges) affiche les dispositifs Edge existants.
- Pour configurer un dispositif Edge, cliquez sur le lien d'accès au dispositif Edge ou sur le lien Afficher (View) dans la colonne Pare-feu (Firewall) du dispositif Edge.
- Cliquez sur l'onglet Pare-feu (Firewall).
- Pour remplacer les paramètres EFS hérités d'un dispositif Edge spécifique, cochez la case Remplacer (Override) et activez le bouton bascule en regard de l'étiquette de l'interface utilisateur Services de pare-feu améliorés (Enhanced Firewall Services).
- Sous la zone Règles de pare-feu (Firewall Rules) de la page Pare-feu du dispositif Edge (Edge Firewall), vous pouvez créer une règle EFS ou remplacer les paramètres de règle EFS hérités pour le dispositif Edge. Suivez la procédure décrite à l'étape 5 de la section Configurer les paramètres de règle EFS au niveau du profil.
- Une fois que vous avez remplacé les paramètres de règle EFS, cliquez sur Enregistrer les modifications (Save Changes).
Note : Les règles de pare-feu des dispositifs Edge existants qui ne sont pas mises à niveau vers la version 5.2.0 n'ont aucune incidence lorsque vous activez le service EFS au niveau des paramètres globaux ou par niveau de règle avec IDS/IPS.