Les services de pare-feu amélioré (EFS) fournissent des fonctionnalités de sécurité supplémentaires sur Dispositifs VMware SD-WAN Edge. La fonctionnalité EFS reposant sur la sécurité NSX prend en charge les services de filtrage de catégorie d'URL, de filtrage de réputation d'URL, de filtrage d'adresses IP malveillantes ainsi que le système de détection des intrusions (IDS, Intrusion Detection System) et le système de prévention des intrusions (IPS, Intrusion Prevention System) sur Dispositifs VMware SD-WAN Edge. Les services de pare-feu améliorés (EFS) du dispositif Edge protègent le trafic du dispositif Edge contre les intrusions sur les trafics de type site distant vers site distant, site distant vers Hub ou site distant vers Internet.

Actuellement, le pare-feu SD-WAN Edge fournit une inspection avec état, ainsi que l'identification des applications sans fonctionnalités de sécurité EFS supplémentaires. Bien que le pare-feu avec état SD-WAN Edge fournisse une sécurité suffisante, il n'est pas adéquat et crée une lacune dans la fourniture d'une sécurité EFS intégrée en mode natif avec VMware SD-WAN. Le dispositif Edge EFS corrige ces failles de sécurité et offre une protection améliorée contre les menaces en mode natif sur SD-WAN Edge conjointement avec VMware SD-WAN.

Les clients peuvent configurer et gérer les fonctionnalités EFS à l'aide de la fonctionnalité de pare-feu dans VMware SASE Orchestrator. Les clients peuvent configurer des règles de pare-feu pour bloquer le trafic Web en fonction de la correspondance de signature IDS/IPS, de la catégorie et/ou de la réputation de l'URL ou de l'adresse IP.

Limitations

  • Lorsqu'EFS est activé et qu'IDS/IPS est configuré, seul l'adressage statique est pris en charge. N'utilisez pas d'adresses dynamiques sur les réseaux LAN tels que DHCPv4 Client, DHCPv6 Client, DHCPv6 PD et SLAAC IPv6.

Si l'adressage dynamique est utilisé et que la plage d'adresses se trouve en dehors de la plage d'adresses privée dans le cas d'IPv4 et en dehors de la plage d'adresses ULA dans le cas d'IPv6 (comme décrit dans la norme RFC1918), la correspondance de règle peut ne pas se produire, car l'adresse ne fait pas partie du paramètre HOME_NETWORK du fichier suricata.yaml.