Μπορείτε να διαμορφώσετε τους κανόνες τείχους προστασίας στα επίπεδα προφίλ και Edge για να επιτρέψετε, να αποθέσετε, να απορρίψετε ή να παραλείψετε την εισερχόμενη και εξερχόμενη κυκλοφορία. Εάν είναι ενεργοποιημένη η δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης, ο κανόνας τείχους προστασίας θα επικυρωθεί για να φιλτράρει τόσο την εισερχόμενη, όσο και την εξερχόμενη κυκλοφορία. Με το τείχος προστασίας χωρίς κατάσταση, μπορείτε να ελέγξετε, ώστε να φιλτράρετε μόνο την εξερχόμενη κυκλοφορία. Ο κανόνας τείχους προστασίας συγκρίνει παραμέτρους όπως διευθύνσεις IP, θύρες, αναγνωριστικά VLAN, διασυνδέσεις, διευθύνσεις MAC, ονόματα τομέα, πρωτόκολλα, ομάδες αντικειμένων, εφαρμογές και ετικέτες DSCP. Όταν ένα πακέτο δεδομένων ταιριάζει με τις συνθήκες αντιστοίχισης, εκτελούνται οι συσχετισμένες ενέργειες ή ενέργειες. Εάν ένα πακέτο δεν αντιστοιχεί με καμία παράμετρο, τότε πραγματοποιείται μια προεπιλεγμένη ενέργεια στο πακέτο.

Για να διαμορφώσετε έναν κανόνα τείχους προστασίας σε επίπεδο προφίλ, εκτελέστε τα ακόλουθα βήματα.

Διαδικασία

  1. Στην υπηρεσία SD-WAN της πύλης επιχείρησης, μεταβείτε στις επιλογές Διαμόρφωση > Προφίλ (Configure Profiles). Η σελίδα Προφίλ (Profiles) εμφανίζει τα υπάρχοντα προφίλ.
  2. Επιλέξτε ένα προφίλ για να διαμορφώσετε έναν κανόνα τείχους προστασίας και κάντε κλικ στην καρτέλα Τείχος προστασίας (Firewall).
    Από τη σελίδα Προφίλ (Profiles), μπορείτε να μεταβείτε απευθείας στη σελίδα Τείχος προστασίας (Firewall) κάνοντας κλικ στη σύνδεση Προβολή στη στήλη Τείχος προστασίας (Firewall) του προφίλ.
  3. Μεταβείτε στην ενότητα Διαμόρφωση τείχους προστασίας (Configure Firewall) και στην περιοχή Κανόνες τείχους προστασίας (Firewall Rules), κάντε κλικ στην επιλογή + ΝΕΟΣ ΚΑΝΟΝΑΣ (+ NEW RULE). Εμφανίζεται το παράθυρο διαλόγου Διαμόρφωση κανόνα (Configure Rule).
  4. Στο πλαίσιο κειμένου Όνομα κανόνα (Rule Name), εισαγάγετε ένα μοναδικό όνομα για τον κανόνα. Για να δημιουργήσετε έναν κανόνα τείχους προστασίας από έναν υπάρχοντα κανόνα, επιλέξτε τον κανόνα που θα αντιγραφεί από το αναπτυσσόμενο μενού Διπλότυπος κανόνας (Duplicate Rule).
  5. Στην ενότητα Αντιστοίχιση (Match), διαμορφώστε τις συνθήκες αντιστοίχισης για τον κανόνα:
    Πεδίο Περιγραφή
    Έκδοση IP (IP Version) Από προεπιλογή, είναι επιλεγμένος ο τύπος διεύθυνσης Ipv4 και IPv6. Μπορείτε να ρυθμίσετε τις παραμέτρους των διευθύνσεων IP προέλευσης και προορισμού σύμφωνα με τον επιλεγμένο τύπο διεύθυνσης, ως εξής:
    • IPv4 – Επιτρέπει τη ρύθμιση παραμέτρων μόνο διευθύνσεων IPv4 ως προέλευση και προορισμό.
    • IPv6 – Επιτρέπει τη ρύθμιση παραμέτρων μόνο διευθύνσεων IPv6 ως προέλευση και προορισμό.
    • IPv4 and IPv6 (IPv4 και IPv6) – Επιτρέπει τη ρύθμιση παραμέτρων διευθύνσεων IPv4 και IPv6 στα κριτήρια αντιστοίχισης. Εάν επιλέξετε αυτή τη λειτουργία, δεν μπορείτε να ρυθμίσετε τις παραμέτρους της διεύθυνσης IP προέλευσης ή προορισμού.
    Σημείωση: Όταν κάνετε αναβάθμιση, οι κανόνες τείχους προστασίας από προηγούμενες εκδόσεις μετακινούνται σε λειτουργία IPv4.
    Προέλευση (Source)
    Επιτρέπει τον καθορισμό της προέλευσης για πακέτα. Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές:
    • Οποιαδήποτε (Any) - Επιτρέπει όλες τις διευθύνσεις προέλευσης από προεπιλογή.
    • Ομάδα αντικειμένων (Object Group) - Σας επιτρέπει να επιλέξετε έναν συνδυασμό ομάδας διευθύνσεων και ομάδας υπηρεσιών. Για περισσότερες πληροφορίες, δείτε Ομάδες αντικειμένων και Διαμόρφωση κανόνα τείχους προστασίας με ομάδα αντικειμένων.
      Σημείωση: Εάν η επιλεγμένη ομάδα διευθύνσεων περιέχει ονόματα τομέα, τότε θα αγνοηθούν κατά την αντιστοίχιση για την προέλευση.
    • Ορισμός (Define) - Σας επιτρέπει να ορίσετε την κυκλοφορία προέλευσης σε συγκεκριμένο VLAN, διασύνδεση, διεύθυνση IPv4 ή IPv6, διεύθυνση MAC ή θύρα μεταφοράς. Ενεργοποιήστε μία από τις ακόλουθες επιλογές:
      • VLAN - Αντιστοιχεί στην κυκλοφορία από το καθορισμένο VLAN, που έχει επιλεγεί από το αναπτυσσόμενο μενού.
      • Διασύνδεση και διεύθυνση IP (Interface and IP Address) - Ταιριάζει με την κυκλοφορία από την καθορισμένη διασύνδεση και τη διεύθυνση IPv4 ή IPv6, που επιλέγεται από το αναπτυσσόμενο μενού.
        Σημείωση: Εάν δεν είναι εφικτή η επιλογή μιας διασύνδεσης, τότε η διασύνδεση είτε δεν είναι ενεργοποιημένη είτε δεν έχει αντιστοιχιστεί σε αυτό το τμήμα.
        Σημείωση: Εάν επιλέξετε IPv4 και IPv6 (IPv4 and Ipv6) (μικτή λειτουργία) ως τύπο διεύθυνσης, τότε η αντιστοίχιση της επισκεψιμότητας γίνεται μόνο με βάση την καθορισμένη διασύνδεση.
        Μαζί με τη διεύθυνση IP, μπορείτε να καθορίσετε έναν από τους ακόλουθους τύπους διεύθυνσης για να αντιστοιχεί στην κυκλοφορία προέλευσης:
        • Πρόθημα CIDR (CIDR prefix) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε το δίκτυο να ορίζεται ως τιμή CIDR (για παράδειγμα: 172.10.0.0 /16).
        • Μάσκα υποδικτύου (Subnet mask) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε το δίκτυο να ορίζεται με βάση μια μάσκα υποδικτύου (για παράδειγμα, 172.10.0.0 255.255.0.0).
        • Μάσκα μπαλαντέρ (Wildcard mask) - Ενεργοποιήστε αυτήν την επιλογή εάν θέλετε να περιορίσετε την επιβολή μιας πολιτικής σε ένα σύνολο συσκευών σε διαφορετικά υποδίκτυα IP που μοιράζονται μια αντίστοιχη τιμή διεύθυνσης IP κεντρικού υπολογιστή. Η μάσκα μπαλαντέρ αντιστοιχεί σε μια διεύθυνση IP ή σε ένα σύνολο διευθύνσεων IP με βάση την ανεστραμμένη μάσκα υποδικτύου. Ένα «0» εντός της δυαδικής τιμής της μάσκας σημαίνει ότι η τιμή είναι σταθερή και ένα «1» εντός της δυαδικής τιμής σημαίνει ότι η τιμή είναι μεταβλητή (μπορεί να είναι 1 ή 0). Για παράδειγμα, σε μια μάσκα μπαλαντέρ 0.0.0.255 (δυαδικό ισοδύναμο = 00000000.00000000.00000000.11111111) με διεύθυνση IP 172.0.0, οι τρεις πρώτες οκτάδες είναι σταθερές τιμές και η τελευταία οκτάδα είναι μεταβλητή τιμή. Αυτή η επιλογή είναι διαθέσιμη μόνο για διεύθυνση IPv4.
      • Διεύθυνση Mac (Mac Address) - Αντιστοιχίζει την κυκλοφορία με βάση την καθορισμένη διεύθυνση MAC.
      • Θύρα μεταφοράς (Transport Port) - Αντιστοιχεί στην κυκλοφορία από την καθορισμένη θύρα προέλευσης ή το εύρος θυρών.
    Προορισμός (Destination) Επιτρέπει τον καθορισμό του προορισμού για πακέτα. Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές:
    • Οποιοσδήποτε (Any) - Επιτρέπει όλες τις διευθύνσεις προορισμού από προεπιλογή.
    • Ομάδα αντικειμένων (Object Group) - Σας επιτρέπει να επιλέξετε έναν συνδυασμό ομάδας διευθύνσεων και ομάδας υπηρεσιών. Για περισσότερες πληροφορίες, δείτε Ομάδες αντικειμένων και Διαμόρφωση κανόνα τείχους προστασίας με ομάδα αντικειμένων.
    • Ορισμός (Define) - Σας επιτρέπει να ορίσετε την κυκλοφορία προορισμού σε συγκεκριμένο VLAN, διασύνδεση, διεύθυνση IPv4 ή IPv6, όνομα τομέα, πρωτόκολλο ή θύρα. Ενεργοποιήστε μία από τις ακόλουθες επιλογές:
      • VLAN - Αντιστοιχεί στην κυκλοφορία από το καθορισμένο VLAN, που έχει επιλεγεί από το αναπτυσσόμενο μενού.
      • Διασύνδεση (Interface) - Αντιστοιχεί στην κυκλοφορία από την καθορισμένη διασύνδεση, που επιλέγεται από το αναπτυσσόμενο μενού.
        Σημείωση: Εάν δεν είναι εφικτή η επιλογή μιας διασύνδεσης, τότε η διασύνδεση είτε δεν είναι ενεργοποιημένη είτε δεν έχει αντιστοιχιστεί σε αυτό το τμήμα.
      • Διεύθυνση IP (IP Address) - Αντιστοιχίζει την επισκεψιμότητα για την καθορισμένη διεύθυνση IPv4 ή IPv6 και το όνομα τομέα.
        Σημείωση: Εάν επιλέξετε IPv4 και IPv6 (IPv4 and Ipv6) (μικτή λειτουργία) ως τύπο διεύθυνσης, τότε δεν μπορείτε να καθορίσετε τη διεύθυνση IP ως προορισμό.

        Μαζί με τη διεύθυνση IP, μπορείτε να καθορίσετε έναν από τους ακόλουθους τύπους διευθύνσεων ώστε να ταιριάζει με την επισκεψιμότητα προέλευσης: Πρόθημα CIDR (CIDR prefix), Μάσκα υποδικτύου (Subnet mask) ή Μάσκα μπαλαντέρ (Wildcard mask).

        Χρησιμοποιήστε το πεδίο Όνομα τομέα (Domain Name) για να αντιστοιχίσετε ολόκληρο το όνομα τομέα ή ένα τμήμα του ονόματος τομέα. Για παράδειγμα, το «salesforce» θα αντιστοιχίζεται με κυκλοφορία προς «mixe».

      • Μεταφορά (Transport) - Αντιστοιχεί στην κυκλοφορία από την καθορισμένη θύρα προέλευσης ή εύρος θυρών.
        Πρωτόκολλο (Protocol) - Αντιστοιχεί στην κυκλοφορία για το καθορισμένο πρωτόκολλο, το οποίο έχει επιλεγεί από το αναπτυσσόμενο μενού. Τα υποστηριζόμενα πρωτόκολλα είναι τα GRE, ICMP, TCP και UDP.
        Σημείωση: Το ICMP δεν υποστηρίζεται σε μικτή λειτουργία (IPv4 και IPv6).
    Εφαρμογή (Application) Επιλέξτε οποιαδήποτε από τις ακόλουθες επιλογές:
    • Οποιαδήποτε (Any) - Εφαρμόζει τον κανόνα τείχους προστασίας σε οποιαδήποτε εφαρμογή από προεπιλογή.
    • Ορισμός (Define) - Επιτρέπει την επιλογή μιας εφαρμογής και σημαίας σημείου κώδικα διαφοροποιημένων υπηρεσιών (DSCP) για την εφαρμογή ενός συγκεκριμένου κανόνα τείχους προστασίας.
    Σημείωση: Κατά τη δημιουργία κανόνων τείχους προστασίας που αντιστοιχούν σε μια εφαρμογή, το τείχος προστασίας εξαρτάται από τον μηχανισμό DPI (Deep Packet Inspection, λεπτομερής επιθεώρηση πακέτων) για τον προσδιορισμό της εφαρμογής στην οποία ανήκει μια συγκεκριμένη ροή. Γενικά, η DPI δεν θα είναι σε θέση να προσδιορίσει την εφαρμογή με βάση το πρώτο πακέτο. Ο μηχανισμός DPI χρειάζεται συνήθως τα πρώτα 5-10 πακέτα της ροής για να αναγνωρίσει την εφαρμογή, αλλά το τείχος προστασίας πρέπει να ταξινομήσει και να προωθήσει τη ροή από το πρώτο πακέτο. Αυτό μπορεί να έχει ως αποτέλεσμα την αντιστοίχιση της πρώτης ροής με έναν πιο γενικό κανόνα στη λίστα τείχους προστασίας. Μόλις προσδιοριστεί σωστά η εφαρμογή, οποιεσδήποτε μελλοντικές ροές αντιστοιχούν στις ίδιες πλειάδες θα επαναταξινομηθούν αυτομάτως και θα αντιστοιχούν στον σωστό κανόνα.
  6. Στην ενότητα Ενέργεια (Action), ρυθμίστε τις παραμέτρους των ενεργειών που θα εκτελεστούν όταν η κυκλοφορία ταιριάζει με τα καθορισμένα κριτήρια.
    Πεδίο Περιγραφή
    Τείχος προστασίας (Firewall) Επιλέξτε οποιαδήποτε από τις ακόλουθες ενέργειες που θα πρέπει να εκτελέσει το τείχος προστασίας σε πακέτα, όταν πληρούνται οι προϋποθέσεις του κανόνα:
    • Αποδοχή (Allow) - Αποδέχεται τα πακέτα δεδομένων από προεπιλογή.
    • Απόθεση (Drop) - Αποθέτει τα πακέτα δεδομένων χωρίς να στείλει καμία ειδοποίηση στην προέλευση.
    • Απόρριψη (Reject) - Απορρίπτει τα πακέτα και ειδοποιεί την προέλευση στέλνοντας ένα ρητό μήνυμα επαναφοράς.
    • Παράλειψη (Skip) - Παραλείπει τον κανόνα κατά τη διάρκεια αναζητήσεων και επεξεργάζεται τον επόμενο κανόνα. Ωστόσο, αυτός ο κανόνας θα χρησιμοποιηθεί κατά την ανάπτυξη του SD-WAN.
      Σημείωση: Θα μπορείτε να διαμορφώσετε τις ενέργειες Απόρριψη (Reject) και Παράλειψη (Skip) μόνο εάν είναι ενεργοποιημένη η δυνατότητα Καταστασιακό τείχος προστασίας (Stateful Firewall) για προφίλ και Edge.
    Καταγραφή (Log) Επιλέξτε αυτό το πλαίσιο ελέγχου εάν θέλετε να δημιουργηθεί μια καταχώρηση καταγραφής κατά την ενεργοποίηση αυτού του κανόνα.
  7. Επιλέξτε το πλαίσιο ελέγχου IDS/IPS και ενεργοποιήστε το IDS ή το IPS για να δημιουργήσετε το τείχος προστασίας. Όταν ο χρήστης ενεργοποιεί μόνο το IPS, το IDS θα ενεργοποιηθεί αυτόματα. Ο μηχανισμός EFS επιθεωρεί την κυκλοφορία που αποστέλλεται/λαμβάνεται μέσω των Edge και αντιστοιχίζει το περιεχόμενο με τις υπογραφές που έχουν διαμορφωθεί στον μηχανισμό EFS. Οι υπογραφές IDS/IPS ενημερώνονται σε συνεχή βάση με έγκυρη άδεια χρήσης EFS. Για περισσότερες πληροφορίες σχετικά με το EFS, ανατρέξτε στην ενότητα Επισκόπηση βελτιωμένων υπηρεσιών τείχους προστασίας.

    Σημείωση: Το EFS μπορεί να ενεργοποιηθεί στον κανόνα μόνο εάν η ενέργεια τείχους προστασίας είναι Αποδοχή (Allow). Εάν η ενέργεια τείχους προστασίας είναι οτιδήποτε άλλο εκτός από Αποδοχή (Allow), το EFS θα απενεργοποιηθεί.
    • Σύστημα εντοπισμού εισβολής (Intrusion Detection System) - Όταν το IDS ενεργοποιείται στα Edge, τα Edge ανιχνεύουν εάν η ροή κυκλοφορίας είναι κακόβουλη ή όχι με βάση ορισμένες υπογραφές που έχουν διαμορφωθεί στη μηχανή. Εάν εντοπιστεί επίθεση, η μηχανή EFS δημιουργεί μια ειδοποίηση και στέλνει το μήνυμα ειδοποίησης στον διακομιστή SASE Orchestrator/Syslog, εάν η καταγραφή τείχους προστασίας είναι ενεργοποιημένη στο Orchestrator, και δεν θα απορρίψει πακέτα.
    • Σύστημα αποτροπής εισβολής (Intrusion Prevention System) - Όταν το IPS είναι ενεργοποιημένο στα Edge, τα Edge ανιχνεύουν εάν η ροή κυκλοφορίας είναι κακόβουλη ή όχι με βάση ορισμένες υπογραφές που έχουν διαμορφωθεί στη μηχανή. Εάν εντοπιστεί επίθεση, η μηχανή EFS δημιουργεί μια ειδοποίηση και αποκλείει τη ροή κυκλοφορίας προς τον υπολογιστή-πελάτη, μόνο εάν η ενέργεια του κανόνα υπογραφής είναι «Απόρριψη» (Reject), η οποία αντιστοιχίζεται από την κακόβουλη κυκλοφορία. Εάν η ενέργεια στον κανόνα υπογραφής είναι «Ειδοποίηση» (Alert), η κυκλοφορία θα επιτρέπεται χωρίς απόρριψη πακέτων, ακόμα και αν διαμορφώσετε το IPS.
    Σημείωση: Η VMware συνιστά στους πελάτες να μην ενεργοποιούν το VNF, όταν το IDS/IPS είναι ενεργοποιημένο στα Edge.
  8. Για να στείλετε τα αρχεία καταγραφής EFS στο Orchestrator, ενεργοποιήστε το κουμπί εναλλαγής Αποτύπωση αρχείου καταγραφής EFS (Capture EFS Log).
    Σημείωση: Για να στείλει ένα Edge τα αρχεία καταγραφής τείχους προστασίας στο Orchestrator, βεβαιωθείτε ότι η δυνατότητα πελάτη «Ενεργοποίηση καταγραφής τείχους προστασίας στο Orchestrator» (Enable Firewall Logging to Orchestrator) είναι ενεργοποιημένη σε επίπεδο πελάτη στη σελίδα περιβάλλοντος εργασίας χρήστη «Καθολικές ρυθμίσεις» (Global Settings). Οι πελάτες πρέπει να επικοινωνήσετε με τον χειριστή σας, εάν θέλετε να ενεργοποιηθεί η δυνατότητα καταγραφής τείχους προστασίας.
  9. Κατά τη δημιουργία ή την ενημέρωση ενός κανόνα τείχους προστασίας, μπορείτε να προσθέσετε σχόλια σχετικά με τον κανόνα στο πεδίο Νέο σχόλιο (New Comment) στην καρτέλα Ιστορικό σχολίων (Comment History). Επιτρέπονται το πολύ 50 χαρακτήρες και μπορείτε να προσθέσετε οποιονδήποτε αριθμό σχολίων για τον ίδιο κανόνα.
  10. Μετά τη διαμόρφωση όλων των απαιτούμενων ρυθμίσεων, κάντε κλικ στο στοιχείο Δημιουργία (Create).
    Δημιουργείται ένας κανόνας τείχους προστασίας για το επιλεγμένο προφίλ και εμφανίζεται κάτω από την περιοχή Κανόνες τείχους προστασίας (Firewall Rules) της σελίδας Τείχος προστασίας προφίλ (Profile Firewall).
    Σημείωση: Οι κανόνες που δημιουργούνται σε επίπεδο προφίλ δεν μπορούν να ενημερωθούν σε επίπεδο Edge. Για να παρακάμψει τον κανόνα, ο χρήστης πρέπει να δημιουργήσει τον ίδιο κανόνα στο επίπεδο Edge με νέες παραμέτρους για να παρακάμψει τον κανόνα επιπέδου προφίλ.