Κατά τη διαμόρφωση ενός προφίλ για πρόσβαση Edge, πρέπει να βεβαιωθείτε ότι έχετε επιλέξει την κατάλληλη επιλογή για πρόσβαση υποστήριξης, πρόσβαση κονσόλας, πρόσβαση θύρας USB, πρόσβαση SNMP και πρόσβαση τοπικής διασύνδεσης χρήστη web στις ρυθμίσεις τείχους προστασίας για να κάνετε το Edge πιο ασφαλές. Αυτό θα εμποδίσει οποιονδήποτε κακόβουλο χρήστη να αποκτήσει πρόσβαση στο Edge.

Από προεπιλογή, η πρόσβαση υποστήριξης, η πρόσβαση στην κονσόλα, η πρόσβαση SNMP και η πρόσβαση τοπικής διασύνδεσης χρήστη web απενεργοποιούνται για λόγους ασφαλείας.

Αυτόματος έλεγχος ενεργοποίησης (Power-on Self-Test)

Στην έκδοση 5.1.0, εκτελείται ένας αυτόματος έλεγχος ενεργοποίησης μετά την ενεργοποίηση ή επανεκκίνηση του SD-WAN Orchestrator για την επαλήθευση του δημιουργού του λογισμικού και για να διασφαλιστεί ότι τα κρίσιμα αρχεία και ο κώδικας δεν έχουν τροποποιηθεί ή καταστραφεί. Οι περιπτώσεις χρήσης για αυτήν τη δυνατότητα περιλαμβάνουν απαιτήσεις κοινών κριτηρίων και αναπτύξεις μεσαίου έως υψηλού κινδύνου (οικονομικές, κυβερνητικές εφαρμογές κ.λπ.).
Σημείωση: Η δυνατότητα αυτόματου ελέγχου ενεργοποίησης είναι απενεργοποιημένη από προεπιλογή. (Εμφανίζεται ένα μήνυμα προειδοποίησης στην κονσόλα, δημιουργείται ένα συμβάν και συνεχίζεται ο αυτόματος έλεγχος ενεργοποίησης.
Η δυνατότητα αυτόματου ελέγχου ενεργοποίησης αποτελείται από τους ακόλουθους ελέγχους όταν το SD-WAN Orchestrator ενεργοποιείται ή επανεκκινείται:
  • Έλεγχος ακεραιότητας λογισμικού: Τα κρίσιμα αρχεία συστήματος εντοπίζονται και υπογράφονται κατά τη δημιουργία. Επαληθεύεται η ακεραιότητα των υπογραφών. Αυτή η διεργασία χρησιμοποιεί υπογραφές κρυπτογράφησης για την επικύρωση της αυθεντικότητας και της ακεραιότητας.
  • Έλεγχος γνωστών απαντήσεων των μονάδων κρυπτογράφησης: Οι μονάδες κρυπτογράφησης, όπως το Openssl, θα εκτελέσουν ελέγχους γνωστών απαντήσεων και θα επαληθεύσουν ότι όλες είναι σωστές.
  • Έλεγχος της προέλευσης εντροπίας: Επαληθεύεται η δυνατότητα δημιουργίας τυχαίου αριθμού της προέλευσης εντροπίας.
Σημείωση: Ο αυτόματος έλεγχος ενεργοποίησης υποδεικνύει αποτέλεσμα επιτυχίας/αποτυχίας. Το σύστημα θα συνεχίσει να εμφανίζει τις υπόλοιπες εφαρμογές μόνο εάν είναι επιτυχής ο αυτόματος έλεγχος ενεργοποίησης. Εάν αποτύχει ο αυτόματος έλεγχος ενεργοποίησης, θα εμφανιστούν μηνύματα σφάλματος που υποδεικνύουν τα σημεία όπου απέτυχε ο έλεγχος και θα σταματήσει η ακολουθία εκκίνησης του συστήματος.

Τα ακόλουθα αρχεία υπογράφονται και επαληθεύονται κατά τη διάρκεια της διαδικασίας ενεργοποίησης και επανεκκίνησης:

  • Edge (Όλα τα αρχεία κάτω από):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • Orchestrator SD-WAN και πύλη SD-WAN
    Σημείωση: Για τις ακόλουθες μονάδες, ο έλεγχος ακεραιότητας εκτελείται στη λειτουργία ΕΠΙΒΟΛΗΣ και θα προκαλέσει ΑΠΟΤΥΧΊΑ εκκίνησης εάν οι έλεγχοι δεν επαληθευτούν.
    • Πύλη SD-WAN - Τα ονόματα των πακέτων αποθηκεύονται στο: /opt/vc/etc/post/vcg_critical_packages.in
      • Κρίσιμες λειτουργικές μονάδες πύλης
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • Openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator - Τα ονόματα των πακέτων αποθηκεύονται στο /opt/vc/etc/post/vco_critical_packages.in
      • Κρίσιμες μονάδες SD-WAN Orchestrator:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • Openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

Διαδικασία (Procedure)

Για να διαμορφώσετε την πρόσβαση Edge για προφίλ, εκτελέστε τα ακόλουθα βήματα:

Διαδικασία

  1. Από το SD-WAN Orchestrator, μεταβείτε στην περιοχή Διαμόρφωση > Προφίλ > Τείχος προστασίας (Configure > Profiles > Firewall). Εμφανίζεται η σελίδα Τείχος προστασίας (Firewall).

  2. Στην περιοχή Πρόσβαση στο Edge (Edge Access), μπορείτε να διαμορφώσετε την πρόσβαση στη συσκευή χρησιμοποιώντας τις ακόλουθες επιλογές:
    Πεδίο Περιγραφή
    Πρόσβαση υποστήριξης (Support Access)

    Επιλέξτε Να επιτρέπονται οι ακόλουθες IP (Allow the following Ips), εάν θέλετε να καθορίσετε ρητά τις διευθύνσεις IP από όπου μπορείτε να κάνετε SSH σε αυτό το Edge. Μπορείτε να εισαγάγετε διευθύνσεις IPv4 και IPv6 διαχωρισμένες με κόμμα (,).

    Από προεπιλογή, έχει επιλεχθεί Άρνηση όλων (Deny All).
    Πρόσβαση στην κονσόλα (Console Access) Επιλέξτε Αποδοχή (Allow) για να ενεργοποιήσετε την πρόσβαση Edge μέσω φυσικής κονσόλας [σειριακή θύρα ή θύρα Video Graphics Array (VGA)]. Από προεπιλογή, είναι επιλεγμένο το στοιχείο Άρνηση (Deny) και η σύνδεση κονσόλας απενεργοποιείται μετά την ενεργοποίηση του Edge.
    Σημείωση: Κάθε φορά που η ρύθμιση πρόσβασης κονσόλας αλλάζει από Αποδοχή (Allow) σε Άρνηση (Deny) ή το αντίστροφο, το Edge πρέπει να επανεκκινείται με μη αυτόματο τρόπο.
    Επιβολή αυτόματου ελέγχου ενεργοποίησης Εάν επιλέξετε Ενεργοποιημένο (Enabled), ένας αποτυχημένος αυτόματος έλεγχος ενεργοποίησης απενεργοποιεί το Edge. Για να ανακτήσετε το Edge, πρέπει να γίνει επαναφορά των εργοστασιακών ρυθμίσεων και να ενεργοποιηθεί ξανά. ΣΗΜΕΙΩΣΗ: Αυτή η δυνατότητα υποστηρίζεται στην έκδοση 5.1.0 και σε νεότερες εκδόσεις.
    Πρόσβαση σε θύρα USB (USB Port Access)

    Επιλέξτε Αποδοχή (Allow) για ενεργοποίηση και επιλέξτε Άρνηση (Deny) για απενεργοποίηση της πρόσβασης της θύρας USB στα Edge.

    Αυτή η επιλογή είναι διαθέσιμη μόνο για τα μοντέλα Edge 510 και 6x0.

    Σημείωση: Κάθε φορά που η ρύθμιση πρόσβασης θύρας USB αλλάζει από Αποδοχή (Allow) σε Άρνηση (Deny) ή το αντίστροφο, πρέπει να επανεκκινείτε το Edge με μη αυτόματο τρόπο εάν έχετε πρόσβαση στο Edge και, εάν το Edge βρίσκεται σε απομακρυσμένη τοποθεσία, να επανεκκινείτε το Edge χρησιμοποιώντας το SD-WAN Orchestrator. Για οδηγίες, ανατρέξτε στην ενότητα Απομακρυσμένες ενέργειες.
    Πρόσβαση SNMP (SNMP Access) Επιτρέπει την πρόσβαση Edge από δρομολογημένους διασυνδέσεις/WAN μέσω SNMP. Ενεργοποιήστε μία από τις ακόλουθες επιλογές:
    • Άρνηση όλων (Deny All) - Από προεπιλογή, η πρόσβαση SNMP απενεργοποιείται για όλες τις συσκευές που είναι συνδεδεμένες σε ένα Edge.
    • Να επιτρέπονται όλα τα LAN (Allow All LAN) - Επιτρέπει την πρόσβαση SNMP για όλες τις συσκευές που είναι συνδεδεμένες στο Edge μέσω δικτύου LAN.
    • Να επιτρέπονται οι ακόλουθες IP (Allow the following IPs) - Σας επιτρέπει να καθορίσετε ρητά τις διευθύνσεις IP από όπου μπορείτε να αποκτήσετε πρόσβαση στο Edge μέσω SNMP. Οι διευθύνσεις IP πρέπει να διαχωρίζονται με κόμμα (,).
    Πρόσβαση τοπικής διασύνδεσης χρήστη web (Local Web UI Access) Επιτρέπει την πρόσβαση Edge από δρομολογημένους διασυνδέσεις/WAN μέσω μιας τοπικής διασύνδεσης χρήστη Web. Ενεργοποιήστε μία από τις ακόλουθες επιλογές:
    • Άρνηση όλων (Deny All) - Από προεπιλογή, η πρόσβαση τοπικής διασύνδεσης χρήστη web απενεργοποιείται για όλες τις συσκευές που είναι συνδεδεμένες σε ένα Edge.
    • Να επιτρέπονται όλα τα LAN (Allow All LAN) - Επιτρέπει την πρόσβαση τοπικής διασύνδεσης χρήστη web για όλες τις συσκευές που είναι συνδεδεμένες στο Edge μέσω δικτύου LAN.
    • Να επιτρέπονται οι ακόλουθες IP (Allow the following IPs) - Σας επιτρέπει να καθορίσετε ρητά τις διευθύνσεις IP από όπου μπορείτε να αποκτήσετε πρόσβαση στο Edge μέσω της τοπικής διασύνδεσης χρήστη web. Οι διευθύνσεις IP πρέπει να διαχωρίζονται με κόμμα (,).
    Αριθμός θύρας τοπικής διασύνδεσης χρήστη web (Local Web UI Port Number) Εισαγάγετε τον αριθμό θύρας της τοπικής διασύνδεσης χρήστη web από όπου μπορείτε να αποκτήσετε πρόσβαση στο Edge.
  3. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).

Επόμενες ενέργειες

Εάν θέλετε να παρακάμψετε τις ρυθμίσεις πρόσβασης Edge για ένα συγκεκριμένο Edge, χρησιμοποιήστε την επιλογή Ενεργοποίηση παράκαμψης Edge (Enable Edge Override) που είναι διαθέσιμη στη σελίδα Τείχος προστασίας Edge (Edge Firewall). Για σχετικές πληροφορίες, ανατρέξτε στο θέμα Διαμόρφωση τείχους προστασίας για Edge