Μπορείτε να διαμορφώσετε τους κανόνες τείχους προστασίας στα επίπεδα προφίλ και Edge για να επιτρέψετε, να αποθέσετε, να απορρίψετε ή να παραλείψετε την εισερχόμενη και εξερχόμενη κυκλοφορία. Εάν είναι ενεργοποιημένη η δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης, ο κανόνας τείχους προστασίας θα επικυρωθεί για να φιλτράρει τόσο την εισερχόμενη, όσο και την εξερχόμενη κυκλοφορία. Με το τείχος προστασίας χωρίς κατάσταση, μπορείτε να ελέγξετε, ώστε να φιλτράρετε μόνο την εξερχόμενη κυκλοφορία. Ο κανόνας τείχους προστασίας συγκρίνει παραμέτρους όπως διευθύνσεις IP, θύρες, αναγνωριστικά VLAN, διασυνδέσεις, διευθύνσεις MAC, ονόματα τομέα, πρωτόκολλα, ομάδες αντικειμένων, εφαρμογές και ετικέτες DSCP. Όταν ένα πακέτο δεδομένων ταιριάζει με τις συνθήκες αντιστοίχισης, εκτελούνται οι συσχετισμένες ενέργειες ή ενέργειες. Εάν ένα πακέτο δεν αντιστοιχεί με καμία παράμετρο, τότε πραγματοποιείται μια προεπιλεγμένη ενέργεια στο πακέτο.

Για να διαμορφώσετε έναν κανόνα τείχους προστασίας σε επίπεδο προφίλ χρησιμοποιώντας το νέο περιβάλλον εργασίας χρήστη Orchestrator, εκτελέστε τα ακόλουθα βήματα.

Διαδικασία

  1. Από την πύλη επιχείρησης, μεταβείτε στις επιλογές Διαμόρφωση (Configure) > Προφίλ (Profiles). Η σελίδα Προφίλ (Profiles) εμφανίζει τα υπάρχοντα προφίλ.
  2. Επιλέξτε ένα προφίλ για να διαμορφώσετε έναν κανόνα τείχους προστασίας και κάντε κλικ στην καρτέλα Τείχος προστασίας (Firewall).
    Από τη σελίδα Προφίλ (Profiles), μπορείτε να μεταβείτε απευθείας στη σελίδα Τείχος προστασίας (Firewall) κάνοντας κλικ στη σύνδεση Προβολή στη στήλη Τείχος προστασίας (Firewall) του προφίλ.
  3. Μεταβείτε στην ενότητα Διαμόρφωση τείχους προστασίας (Configure Firewall) και στην περιοχή Κανόνες τείχους προστασίας (Firewall Rules), κάντε κλικ στην επιλογή + ΝΕΟΣ ΚΑΝΟΝΑΣ (+ NEW RULE). Εμφανίζεται το παράθυρο διαλόγου Διαμόρφωση κανόνα (Configure Rule).
  4. Στο πλαίσιο κειμένου Όνομα κανόνα (Rule Name), εισαγάγετε ένα μοναδικό όνομα για τον κανόνα. Για να δημιουργήσετε έναν κανόνα τείχους προστασίας από έναν υπάρχοντα κανόνα, επιλέξτε τον κανόνα που θα αντιγραφεί από το αναπτυσσόμενο μενού Διπλότυπος κανόνας (Duplicate Rule).
  5. Στην ενότητα Αντιστοίχιση (Match), διαμορφώστε τις συνθήκες αντιστοίχισης για τον κανόνα:
    Πεδίο Περιγραφή
    Τύπος διεύθυνσης (Address Type) Από προεπιλογή, είναι επιλεγμένος ο τύπος διεύθυνσης Ipv4 και IPv6. Μπορείτε να ρυθμίσετε τις παραμέτρους των διευθύνσεων IP προέλευσης και προορισμού σύμφωνα με τον επιλεγμένο τύπο διεύθυνσης, ως εξής:
    • IPv4 – Επιτρέπει τη ρύθμιση παραμέτρων μόνο διευθύνσεων IPv4 ως προέλευση και προορισμό.
    • IPv6 – Επιτρέπει τη ρύθμιση παραμέτρων μόνο διευθύνσεων IPv6 ως προέλευση και προορισμό.
    • IPv4 and IPv6 (IPv4 και IPv6) – Επιτρέπει τη ρύθμιση παραμέτρων διευθύνσεων IPv4 και IPv6 στα κριτήρια αντιστοίχισης. Εάν επιλέξετε αυτή τη λειτουργία, δεν μπορείτε να ρυθμίσετε τις παραμέτρους της διεύθυνσης IP προέλευσης ή προορισμού.
    Σημείωση: Όταν κάνετε αναβάθμιση, οι κανόνες τείχους προστασίας από προηγούμενες εκδόσεις μετακινούνται σε λειτουργία IPv4.
    Προέλευση (Source)
    Επιτρέπει τον καθορισμό της προέλευσης για πακέτα. Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές:
    • Οποιαδήποτε (Any) - Επιτρέπει όλες τις διευθύνσεις προέλευσης από προεπιλογή.
    • Ομάδα αντικειμένων (Object Group) - Σας επιτρέπει να επιλέξετε έναν συνδυασμό ομάδας διευθύνσεων και ομάδας θυρών. Για περισσότερες πληροφορίες, δείτε Ομάδες αντικειμένων και Διαμόρφωση κανόνων τείχους προστασίας με ομάδες αντικειμένων.
      Σημείωση: Εάν η επιλεγμένη ομάδα διευθύνσεων περιέχει ονόματα τομέα, τότε θα αγνοηθούν κατά την αντιστοίχιση για την προέλευση.
    • Ορισμός (Define) - Σας επιτρέπει να ορίσετε την κυκλοφορία προέλευσης σε συγκεκριμένο VLAN, διασύνδεση, διεύθυνση IPv4 ή IPv6, διεύθυνση MAC ή θύρα μεταφοράς. Ενεργοποιήστε μία από τις ακόλουθες επιλογές:
      • VLAN - Αντιστοιχεί στην κυκλοφορία από το καθορισμένο VLAN, που έχει επιλεγεί από το αναπτυσσόμενο μενού.
      • Διασύνδεση και διεύθυνση IP (Interface and IP Address) - Ταιριάζει με την κυκλοφορία από την καθορισμένη διασύνδεση και τη διεύθυνση IPv4 ή IPv6, που επιλέγεται από το αναπτυσσόμενο μενού.
        Σημείωση: Εάν δεν είναι εφικτή η επιλογή μιας διασύνδεσης, τότε η διασύνδεση είτε δεν είναι ενεργοποιημένη είτε δεν έχει αντιστοιχιστεί σε αυτό το τμήμα.
        Σημείωση: Εάν επιλέξετε IPv4 και IPv6 (IPv4 and Ipv6) (μικτή λειτουργία) ως τύπο διεύθυνσης, τότε η αντιστοίχιση της επισκεψιμότητας γίνεται μόνο με βάση την καθορισμένη διασύνδεση.
        Μαζί με τη διεύθυνση IP, μπορείτε να καθορίσετε έναν από τους ακόλουθους τύπους διεύθυνσης για να αντιστοιχεί στην κυκλοφορία προέλευσης:
        • Πρόθημα CIDR (CIDR prefix) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε το δίκτυο να ορίζεται ως τιμή CIDR (για παράδειγμα: 172.10.0.0 /16).
        • Μάσκα υποδικτύου (Subnet mask) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε το δίκτυο να ορίζεται με βάση μια μάσκα υποδικτύου (για παράδειγμα, 172.10.0.0 255.255.0.0).
        • Μάσκα μπαλαντέρ (Wildcard mask) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε να περιορίσετε την επιβολή μιας πολιτικής σε ένα σύνολο συσκευών σε διαφορετικά υποδίκτυα IP που μοιράζονται μια αντίστοιχη τιμή διεύθυνσης IP κεντρικού υπολογιστή. Η μάσκα μπαλαντέρ αντιστοιχεί σε μια διεύθυνση IP ή σε ένα σύνολο διευθύνσεων IP με βάση την ανεστραμμένη μάσκα υποδικτύου. Ένα «0» εντός της δυαδικής τιμής της μάσκας σημαίνει ότι η τιμή είναι σταθερή και ένα «1» εντός της δυαδικής τιμής σημαίνει ότι η τιμή είναι μεταβλητή (μπορεί να είναι 1 ή 0). Για παράδειγμα, σε μια μάσκα μπαλαντέρ 0.0.0.255 (δυαδικό ισοδύναμο = 00000000.00000000.00000000.11111111) με διεύθυνση IP 172.0.0, οι τρεις πρώτες οκτάδες είναι σταθερές τιμές και η τελευταία οκτάδα είναι μεταβλητή τιμή. Αυτή η επιλογή είναι διαθέσιμη μόνο για διεύθυνση IPv4.
      • Διεύθυνση Mac (Mac Address) - Αντιστοιχίζει την κυκλοφορία με βάση την καθορισμένη διεύθυνση MAC.
      • Μεταφορά (Transport) - Αντιστοιχεί στην κυκλοφορία από την καθορισμένη θύρα προέλευσης ή εύρος θυρών.
    Προορισμός (Destination) Επιτρέπει τον καθορισμό του προορισμού για πακέτα. Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές:
    • Οποιοσδήποτε (Any) - Επιτρέπει όλες τις διευθύνσεις προορισμού από προεπιλογή.
    • Ομάδα αντικειμένων (Object Group) - Σας επιτρέπει να επιλέξετε έναν συνδυασμό ομάδας διευθύνσεων και ομάδας θυρών. Για περισσότερες πληροφορίες, δείτε Ομάδες αντικειμένων και Διαμόρφωση κανόνων τείχους προστασίας με ομάδες αντικειμένων.
    • Ορισμός (Define) - Σας επιτρέπει να ορίσετε την κυκλοφορία προορισμού σε συγκεκριμένο VLAN, διασύνδεση, διεύθυνση IPv4 ή IPv6, όνομα τομέα, πρωτόκολλο ή θύρα. Ενεργοποιήστε μία από τις ακόλουθες επιλογές:
      • VLAN - Αντιστοιχεί στην κυκλοφορία από το καθορισμένο VLAN, που έχει επιλεγεί από το αναπτυσσόμενο μενού.
      • Διασύνδεση (Interface) - Αντιστοιχεί στην κυκλοφορία από την καθορισμένη διασύνδεση, που επιλέγεται από το αναπτυσσόμενο μενού.
        Σημείωση: Εάν δεν είναι εφικτή η επιλογή μιας διασύνδεσης, τότε η διασύνδεση είτε δεν είναι ενεργοποιημένη είτε δεν έχει αντιστοιχιστεί σε αυτό το τμήμα.
      • Διεύθυνση IP (IP Address) - Αντιστοιχίζει την επισκεψιμότητα για την καθορισμένη διεύθυνση IPv4 ή IPv6 και το όνομα τομέα.
        Σημείωση: Εάν επιλέξετε IPv4 και IPv6 (IPv4 and Ipv6) (μικτή λειτουργία) ως τύπο διεύθυνσης, τότε δεν μπορείτε να καθορίσετε τη διεύθυνση IP ως προορισμό.

        Μαζί με τη διεύθυνση IP, μπορείτε να καθορίσετε έναν από τους ακόλουθους τύπους διευθύνσεων ώστε να ταιριάζει με την επισκεψιμότητα προέλευσης: Πρόθημα CIDR (CIDR prefix), Μάσκα υποδικτύου (Subnet mask) ή Μάσκα μπαλαντέρ (Wildcard mask).

        Χρησιμοποιήστε το πεδίο Όνομα τομέα (Domain Name) για να αντιστοιχίσετε ολόκληρο το όνομα τομέα ή ένα τμήμα του ονόματος τομέα. Για παράδειγμα, το «salesforce» θα αντιστοιχίζεται με κυκλοφορία προς «mixe».

      • Μεταφορά (Transport) - Αντιστοιχεί στην κυκλοφορία από την καθορισμένη θύρα προέλευσης ή εύρος θυρών.
        Πρωτόκολλο (Protocol) - Αντιστοιχεί στην κυκλοφορία για το καθορισμένο πρωτόκολλο, το οποίο έχει επιλεγεί από το αναπτυσσόμενο μενού. Τα υποστηριζόμενα πρωτόκολλα είναι τα GRE, ICMP, TCP και UDP.
        Σημείωση: Το ICMP δεν υποστηρίζεται σε μικτή λειτουργία (IPv4 και IPv6).
    Εφαρμογή (Application) Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές:
    • Οποιαδήποτε (Any) - Εφαρμόζει τον κανόνα τείχους προστασίας σε οποιαδήποτε εφαρμογή από προεπιλογή.
    • Ορισμός (Define) - Επιτρέπει την επιλογή μιας εφαρμογής και σημαίας σημείου κώδικα διαφοροποιημένων υπηρεσιών (DSCP) για την εφαρμογή ενός συγκεκριμένου κανόνα τείχους προστασίας.
    Σημείωση: Κατά τη δημιουργία κανόνων τείχους προστασίας που αντιστοιχούν σε μια εφαρμογή, το τείχος προστασίας εξαρτάται από τον μηχανισμό DPI (Deep Packet Inspection, λεπτομερής επιθεώρηση πακέτων) για τον προσδιορισμό της εφαρμογής στην οποία ανήκει μια συγκεκριμένη ροή. Γενικά, η DPI δεν θα είναι σε θέση να προσδιορίσει την εφαρμογή με βάση το πρώτο πακέτο. Ο μηχανισμός DPI χρειάζεται συνήθως τα πρώτα 5-10 πακέτα της ροής για να αναγνωρίσει την εφαρμογή, αλλά το τείχος προστασίας πρέπει να ταξινομήσει και να προωθήσει τη ροή από το πρώτο πακέτο. Αυτό μπορεί να έχει ως αποτέλεσμα την αντιστοίχιση της πρώτης ροής με έναν πιο γενικό κανόνα στη λίστα τείχους προστασίας. Μόλις προσδιοριστεί σωστά η εφαρμογή, οποιεσδήποτε μελλοντικές ροές αντιστοιχούν στις ίδιες πλειάδες θα επαναταξινομηθούν αυτομάτως και θα αντιστοιχούν στον σωστό κανόνα.
  6. Στην ενότητα Ενέργεια (Action), ρυθμίστε τις παραμέτρους των ενεργειών που θα εκτελεστούν όταν η κυκλοφορία ταιριάζει με τα καθορισμένα κριτήρια.
    Πεδίο Περιγραφή
    Τείχος προστασίας (Firewall) Επιλέξτε οποιαδήποτε από τις ακόλουθες ενέργειες που θα πρέπει να εκτελέσει το τείχος προστασίας σε πακέτα, όταν πληρούνται οι προϋποθέσεις του κανόνα:
    • Αποδοχή (Allow) - Αποδέχεται τα πακέτα δεδομένων από προεπιλογή.
    • Απόθεση (Drop) - Αποθέτει τα πακέτα δεδομένων χωρίς να στείλει καμία ειδοποίηση στην προέλευση.
    • Απόρριψη (Reject) - Απορρίπτει τα πακέτα και ειδοποιεί την προέλευση στέλνοντας ένα ρητό μήνυμα επαναφοράς.
    • Παράλειψη (Skip) - Παραλείπει τον κανόνα κατά τη διάρκεια αναζητήσεων και επεξεργάζεται τον επόμενο κανόνα. Ωστόσο, αυτός ο κανόνας θα χρησιμοποιηθεί κατά την ανάπτυξη του SD-WAN.
      Σημείωση: Θα μπορείτε να διαμορφώσετε τις ενέργειες Απόρριψη (Reject) και Παράλειψη (Skip) μόνο εάν είναι ενεργοποιημένη η δυνατότητα Καταστασιακό τείχος προστασίας (Stateful Firewall) για προφίλ και Edge.
    Καταγραφή (Log) Επιλέξτε αυτό το πλαίσιο ελέγχου εάν θέλετε να δημιουργηθεί μια καταχώρηση καταγραφής κατά την ενεργοποίηση αυτού του κανόνα.
  7. Κατά τη δημιουργία ή την ενημέρωση ενός κανόνα τείχους προστασίας, μπορείτε να προσθέσετε σχόλια σχετικά με τον κανόνα στο πεδίο Νέο σχόλιο (New Comment). Επιτρέπονται το πολύ 50 χαρακτήρες και μπορείτε να προσθέσετε οποιονδήποτε αριθμό σχολίων για τον ίδιο κανόνα.
  8. Μετά τη διαμόρφωση όλων των απαιτούμενων ρυθμίσεων, κάντε κλικ στο στοιχείο Δημιουργία (Create).
    Δημιουργείται ένας κανόνας τείχους προστασίας για το επιλεγμένο προφίλ και εμφανίζεται κάτω από την περιοχή Κανόνες τείχους προστασίας (Firewall Rules) της σελίδας Τείχος προστασίας προφίλ (Profile Firewall).
    Σημείωση: Οι κανόνες που δημιουργούνται σε επίπεδο προφίλ δεν μπορούν να ενημερωθούν σε επίπεδο Edge. Για να παρακάμψει τον κανόνα, ο χρήστης πρέπει να δημιουργήσει τον ίδιο κανόνα στο επίπεδο Edge με νέες παραμέτρους για να παρακάμψει τον κανόνα επιπέδου προφίλ.