Les services de pare-feu améliorés (EFS, Enhanced Firewall Services) fournissent des fonctionnalités de sécurité EFS supplémentaires sur Dispositifs VMware SD-WAN Edge. La fonctionnalité EFS reposant sur NSX Security prend en charge les services Système de détection des intrusions (IDS, Intrusion Detection System) et Système de prévention d'intrusion (IPS, Intrusion Prevention System) sur Dispositifs VMware SD-WAN Edge. Les services EFS du pare-feu dispositif Edge protègent le trafic du dispositif Edge contre les intrusions sur les modèles de trafic Site distant vers site distant (Branch to Branch), Site distant vers Hubs (Branch to Hubs) ou Site distant vers Internet (Branch to Internet).

Actuellement, le pare-feu SD-WAN Edge fournit une inspection avec état, ainsi que l'identification des applications sans fonctionnalités de sécurité EFS supplémentaires. Bien que le pare-feu avec état SD-WAN Edge fournisse une sécurité suffisante, il n'est pas adéquat et crée une lacune dans la fourniture d'une sécurité EFS intégrée en mode natif avec VMware SD-WAN. Les services EFS du dispositif Edge corrigent ces lacunes de sécurité et offrent des services de pare-feu améliorés en mode natif sur SD-WAN Edge en conjonction avec VMware SD-WAN.

Le client peut configurer et gérer les services EFS à l'aide de la fonctionnalité de pare-feu dans VMware SASE Orchestrator.

Limitations

  • Lorsque EFS est activé, seul l’adressage statique est pris en charge. N'utilisez pas d'adresses dynamiques sur les réseaux LAN tels que DHCPv4 Client, DHCPv6 Client, DHCPv6 PD et SLAAC IPv6.

Si l'adressage dynamique est utilisé et que la plage d'adresses se trouve en dehors de la plage d'adresses privée en cas de plage d'adresses IPv4 et en dehors de la plage d'adresses ULA en cas de plage d'adresses IPv6 (comme décrit dans la norme RFC1918), la correspondance de règle peut ne pas se produire, car l'adresse ne fait pas partie du paramètre HOME_NETWORK du fichier suricata.yaml.