Διαμόρφωση κανόνων τείχους προστασίας

Το SD-WAN Orchestrator σάς επιτρέπει να διαμορφώσετε τους κανόνες τείχους προστασίας στα επίπεδα προφίλ και Edge για να επιτρέψετε, να αποθέσετε, να απορρίψετε ή να παραλείψετε την εισερχόμενη και εξερχόμενη κυκλοφορία. Εάν είναι ενεργοποιημένη η δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης, ο κανόνας τείχους προστασίας θα επικυρωθεί για να φιλτράρει τόσο την εισερχόμενη, όσο και την εξερχόμενη κυκλοφορία. Με το τείχος προστασίας χωρίς κατάσταση, μπορείτε να ελέγξετε, ώστε να φιλτράρετε μόνο την εξερχόμενη κυκλοφορία. Ο κανόνας τείχους προστασίας συγκρίνει παραμέτρους όπως διευθύνσεις IP, θύρες, αναγνωριστικά VLAN, διασυνδέσεις, διευθύνσεις MAC, ονόματα τομέα, πρωτόκολλα, ομάδες αντικειμένων, εφαρμογές και ετικέτες DSCP. Όταν ένα πακέτο δεδομένων ταιριάζει με τις συνθήκες αντιστοίχισης, εκτελούνται οι συσχετισμένες ενέργειες ή ενέργειες. Εάν ένα πακέτο δεν αντιστοιχεί με καμία παράμετρο, τότε πραγματοποιείται μια προεπιλεγμένη ενέργεια στο πακέτο.

Για να διαμορφώσετε έναν κανόνα τείχους προστασίας με τη δυνατότητα καταστασιακού τείχους προστασίας ενεργοποιημένη σε επίπεδο προφίλ, εκτελέστε τα ακόλουθα βήματα.

Διαδικασία

Από το SD-WAN Orchestrator, μεταβείτε στο Διαμόρφωση > Προφίλ > Τείχος προστασίας (Configure > Profiles > Firewall).
Ενεργοποιήστε το Καταστασιακό τείχος προστασίας (Stateful Firewall) για το επιλεγμένο προφίλ.
Στην περιοχή Κανόνες τείχους προστασίας (Firewall Rules) κάντε κλικ στο Νέος κανόνας (New Rule). Εμφανίζεται το παράθυρο διαλόγου Διαμόρφωση κανόνα (Configure Rule).
Στο πλαίσιο Όνομα κανόνα (Rule Name), εισαγάγετε ένα μοναδικό όνομα για τον κανόνα.

Στην περιοχή Αντιστοίχιση (Match), διαμορφώστε τις συνθήκες αντιστοίχισης για τον κανόνα:

Ρυθμίσεις	Περιγραφή
Τύπος (Type)	Από προεπιλογή, είναι επιλεγμένος ο τύπος διεύθυνσης IPv4. Μπορείτε να ρυθμίσετε τις παραμέτρους των διευθύνσεων IP προέλευσης και προορισμού σύμφωνα με τον επιλεγμένο τύπο, ως εξής: Μικτή (Mixed) – Επιτρέπει τη ρύθμιση παραμέτρων διευθύνσεων IPv4 και IPv6 στα κριτήρια αντιστοίχισης. Εάν επιλέξετε αυτή τη λειτουργία, δεν μπορείτε να ρυθμίσετε τις παραμέτρους της διεύθυνσης IP προέλευσης ή προορισμού. IPv4 – Επιτρέπει τη ρύθμιση παραμέτρων μόνο διευθύνσεων IPv4 ως προέλευση και προορισμό. IPv6 – Επιτρέπει τη ρύθμιση παραμέτρων μόνο διευθύνσεων IPv6 ως προέλευση και προορισμό. Σημείωση: Για να διαμορφώσετε τους κανόνες τείχους προστασίας με τον τύπο διεύθυνσης Μεικτής καταγωγής (Mixed) ή IPv6, πρέπει να χρησιμοποιήσετε το νέο περιβάλλον εργασίας χρήστη Orchestrator. Για περισσότερες πληροφορίες, δείτε Διαμόρφωση κανόνα τείχους προστασίας με το νέο περιβάλλον εργασίας χρήστη Orchestrator. Σημείωση: Όταν κάνετε αναβάθμιση, οι κανόνες τείχους προστασίας από προηγούμενες εκδόσεις μετακινούνται σε λειτουργία IPv4.
Προέλευση (Source)	Επιτρέπει τον καθορισμό της προέλευσης για πακέτα. Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές: Οποιαδήποτε (Any) - Επιτρέπει όλες τις διευθύνσεις προέλευσης από προεπιλογή. Ομάδα αντικειμένων (Object Group) - Σας επιτρέπει να επιλέξετε έναν συνδυασμό ομάδας διευθύνσεων και ομάδας θυρών. Για περισσότερες πληροφορίες, δείτε Ομάδες αντικειμένων και Διαμόρφωση κανόνων τείχους προστασίας με ομάδες αντικειμένων. Σημείωση: Εάν η επιλεγμένη ομάδα διευθύνσεων περιέχει ονόματα τομέα, τότε θα αγνοηθούν κατά την αντιστοίχιση για την προέλευση. Ορισμός (Define) - Σας επιτρέπει να ορίσετε την κυκλοφορία προέλευσης σε συγκεκριμένο VLAN, διασύνδεση, διεύθυνση IPv4 ή IPv6, διεύθυνση MAC ή θύρα. Για τη διεύθυνση IP, ενεργοποιήστε μία από τις τρεις επιλογές: Πρόθημα CIDR (CIDR prefix) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε το δίκτυο να ορίζεται ως τιμή CIDR (για παράδειγμα: `172.10.0.0 /16`). Μάσκα υποδικτύου (Subnet mask) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε το δίκτυο να ορίζεται με βάση μια μάσκα υποδικτύου (για παράδειγμα, `172.10.0.0 255.255.0.0`). Μάσκα μπαλαντέρ (Wildcard mask) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε να περιορίσετε την επιβολή μιας πολιτικής σε ένα σύνολο συσκευών σε διαφορετικά υποδίκτυα IP που μοιράζονται μια αντίστοιχη τιμή διεύθυνσης IP κεντρικού υπολογιστή. Η μάσκα μπαλαντέρ αντιστοιχεί σε μια διεύθυνση IP ή σε ένα σύνολο διευθύνσεων IP με βάση την ανεστραμμένη μάσκα υποδικτύου. Ένα «0» εντός της δυαδικής τιμής της μάσκας σημαίνει ότι η τιμή είναι σταθερή και ένα «1» εντός της δυαδικής τιμής σημαίνει ότι η τιμή είναι μεταβλητή (μπορεί να είναι 1 ή 0). Για παράδειγμα, σε μια μάσκα μπαλαντέρ 0.0.0.255 (δυαδικό ισοδύναμο = 00000000.00000000.00000000.11111111) με διεύθυνση IP 172.0.0, οι τρεις πρώτες οκτάδες είναι σταθερές τιμές και η τελευταία οκτάδα είναι μεταβλητή τιμή. Αυτή η επιλογή είναι διαθέσιμη μόνο για διεύθυνση IPv4. Σημείωση: Εάν δεν είναι εφικτή η επιλογή μιας διασύνδεσης, τότε η διασύνδεση είτε δεν είναι ενεργοποιημένη, είτε δεν έχει αντιστοιχιστεί σε αυτό το τμήμα.
Προορισμός (Destination)	Επιτρέπει τον καθορισμό του προορισμού για πακέτα. Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές: Οποιοσδήποτε (Any) - Επιτρέπει όλες τις διευθύνσεις προορισμού από προεπιλογή. Ομάδα αντικειμένων (Object Group) - Σας επιτρέπει να επιλέξετε έναν συνδυασμό ομάδας διευθύνσεων και ομάδας θυρών. Για περισσότερες πληροφορίες, δείτε Ομάδες αντικειμένων και Διαμόρφωση κανόνων τείχους προστασίας με ομάδες αντικειμένων. Ορισμός (Define) - Σας επιτρέπει να ορίσετε την κυκλοφορία προορισμού σε συγκεκριμένο VLAN, διασύνδεση, διεύθυνση IPv4 ή IPv6, όνομα τομέα, πρωτόκολλο ή θύρα. Για τη διεύθυνση IP, ενεργοποιήστε μία από τις τρεις επιλογές: Πρόθημα CIDR (CIDR prefix), Μάσκα υποδικτύου (Subnet mask), ή Μάσκα μπαλαντέρ (Wildcard mask). Εάν δεν είναι εφικτή η επιλογή μιας διασύνδεσης, τότε η διασύνδεση είτε δεν είναι ενεργοποιημένη, είτε δεν έχει αντιστοιχιστεί σε αυτό το τμήμα. Χρησιμοποιήστε το πεδίο Όνομα τομέα (Domain Name) για να αντιστοιχίσετε ολόκληρο το όνομα τομέα ή ένα τμήμα του ονόματος τομέα. Για παράδειγμα, το «salesforce» θα αντιστοιχίζεται με κυκλοφορία προς «mixe».
Εφαρμογή (Application)	Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές: Οποιαδήποτε (Any) - Εφαρμόζει τον κανόνα τείχους προστασίας σε οποιαδήποτε εφαρμογή από προεπιλογή. Ορισμός (Define) - Επιτρέπει την επιλογή μιας εφαρμογής και σημαίας σημείου κώδικα διαφοροποιημένων υπηρεσιών (DSCP) για την εφαρμογή ενός συγκεκριμένου κανόνα τείχους προστασίας. Σημείωση: Κατά τη δημιουργία κανόνων τείχους προστασίας που αντιστοιχούν σε μια εφαρμογή, το τείχος προστασίας εξαρτάται από τον μηχανισμό DPI (Deep Packet Inspection, λεπτομερής επιθεώρηση πακέτων) για τον προσδιορισμό της εφαρμογής στην οποία ανήκει μια συγκεκριμένη ροή. Γενικά, η DPI δεν θα είναι σε θέση να προσδιορίσει την εφαρμογή με βάση το πρώτο πακέτο. Ο μηχανισμός DPI χρειάζεται συνήθως τα πρώτα 5-10 πακέτα της ροής για να αναγνωρίσει την εφαρμογή, αλλά το τείχος προστασίας πρέπει να ταξινομήσει και να προωθήσει τη ροή από το πρώτο πακέτο. Αυτό μπορεί να έχει ως αποτέλεσμα την αντιστοίχιση της πρώτης ροής με έναν πιο γενικό κανόνα στη λίστα τείχους προστασίας. Μόλις προσδιοριστεί σωστά η εφαρμογή, οποιεσδήποτε μελλοντικές ροές αντιστοιχούν στις ίδιες πλειάδες θα επαναταξινομηθούν αυτομάτως και θα αντιστοιχούν στον σωστό κανόνα.

Στην περιοχή Ενέργεια (Action), διαμορφώστε τις ενέργειες για τον κανόνα:

Ρυθμίσεις	Περιγραφή
Τείχος προστασίας (Firewall)	Επιλέξτε οποιαδήποτε από τις ακόλουθες ενέργειες που θα πρέπει να εκτελέσει το τείχος προστασίας σε πακέτα, όταν πληρούνται οι προϋποθέσεις του κανόνα: Αποδοχή (Allow) - Αποδέχεται τα πακέτα δεδομένων από προεπιλογή. Απόθεση (Drop) - Αποθέτει τα πακέτα δεδομένων χωρίς να στείλει καμία ειδοποίηση στην προέλευση. Απόρριψη (Reject) - Απορρίπτει τα πακέτα και ειδοποιεί την προέλευση στέλνοντας ένα ρητό μήνυμα επαναφοράς. Παράλειψη (Skip) - Παραλείπει τον κανόνα κατά τη διάρκεια αναζητήσεων και επεξεργάζεται τον επόμενο κανόνα. Ωστόσο, αυτός ο κανόνας θα χρησιμοποιηθεί κατά την ανάπτυξη του SD-WAN.
Καταγραφή (Log)	Επιλέξτε αυτό το πλαίσιο ελέγχου εάν θέλετε να δημιουργηθεί μια καταχώρηση καταγραφής κατά την ενεργοποίηση αυτού του κανόνα.

Ρυθμίσεις

Περιγραφή

Τείχος προστασίας (Firewall)

Επιλέξτε οποιαδήποτε από τις ακόλουθες ενέργειες που θα πρέπει να εκτελέσει το τείχος προστασίας σε πακέτα, όταν πληρούνται οι προϋποθέσεις του κανόνα:

Αποδοχή (Allow) - Αποδέχεται τα πακέτα δεδομένων από προεπιλογή.
Απόθεση (Drop) - Αποθέτει τα πακέτα δεδομένων χωρίς να στείλει καμία ειδοποίηση στην προέλευση.
Απόρριψη (Reject) - Απορρίπτει τα πακέτα και ειδοποιεί την προέλευση στέλνοντας ένα ρητό μήνυμα επαναφοράς.
Παράλειψη (Skip) - Παραλείπει τον κανόνα κατά τη διάρκεια αναζητήσεων και επεξεργάζεται τον επόμενο κανόνα. Ωστόσο, αυτός ο κανόνας θα χρησιμοποιηθεί κατά την ανάπτυξη του SD-WAN.

Καταγραφή (Log)

Επιλέξτε αυτό το πλαίσιο ελέγχου εάν θέλετε να δημιουργηθεί μια καταχώρηση καταγραφής κατά την ενεργοποίηση αυτού του κανόνα.

Κατά τη δημιουργία ή την ενημέρωση ενός κανόνα τείχους προστασίας, μπορείτε να προσθέσετε σχόλια ελέγχου χρησιμοποιώντας το πλαίσιο κειμένου Σχόλιο ελέγχου (Audit Comment). Επιτρέπονται το πολύ 50 χαρακτήρες και μπορείτε να προσθέσετε οποιονδήποτε αριθμό σχολίων για τον ίδιο κανόνα.
Κάντε κλικ στο κουμπί Ιστορικό ελέγχου (Audit History) για να προβάλετε όλα τα σχόλια ελέγχου που προστέθηκαν για τον κανόνα. Μπορείτε να αναζητήσετε ένα συγκεκριμένο σχόλιο, καταχωρώντας το κείμενο αναζήτησης στο πεδίο Αναζήτηση (Search).
Κάντε κλικ στο OK.

Αποτελέσματα

Δημιουργείται ένας κανόνας τείχους προστασίας για το επιλεγμένο προφίλ και εμφανίζεται κάτω από την περιοχή Κανόνες τείχους προστασίας (Firewall Rules) της σελίδας Τείχος προστασίας προφίλ (Profile Firewall).