Οι πελάτες μπορούν να διαμορφώσουν και να διαχειριστούν τις βελτιωμένες υπηρεσίες τείχους προστασίας (EFS) χρησιμοποιώντας τη λειτουργία τείχους προστασίας στο VMware SASE Orchestrator.

Πριν να ξεκινήσετε

Για να λειτουργήσει η δυνατότητα EFS:
  • Βεβαιωθείτε ότι η έκδοση Edge έχει αναβαθμιστεί σε 5.2.0.0.
  • Βεβαιωθείτε ότι η δυνατότητα EFS είναι ενεργοποιημένη σε επίπεδο επιχείρησης. Επικοινωνήστε με τον χειριστή σας, εάν θέλετε να ενεργοποιηθεί η δυνατότητα EFS. Ένας χειριστής μπορεί να ενεργοποιήσει τη δυνατότητα EFS από σελίδα περιβάλλοντος εργασίας χρήστη SD-WAN > Καθολικές ρυθμίσεις > Διαμόρφωση πελατών > Ρυθμίσεις SD-WAN > Πρόσβαση δυνατότητας (SD-WAN > Global Settings > Customer Configuration > SD-WAN Settings > Feature Access).

Διαμόρφωση ρυθμίσεων κανόνων EFS σε επίπεδο προφίλ

  1. Στην υπηρεσία SD-WAN της πύλης επιχείρησης, μεταβείτε στις επιλογές Διαμόρφωση > Προφίλ (Configure Profiles). Η σελίδα Προφίλ (Profiles) εμφανίζει τα υπάρχοντα προφίλ.
  2. Για να διαμορφώσετε ένα τείχος προστασίας προφίλ, κάντε κλικ στη σύνδεση του προφίλ και, στη συνέχεια, κάντε κλικ στην καρτέλα Τείχος προστασίας (Firewall). Εναλλακτικά, μπορείτε επίσης να κάνετε κλικ στη σύνδεση Προβολή (View) στη στήλη Τείχος προστασίας του προφίλ.
  3. Εμφανίζεται η σελίδα Τείχος προστασίας (Firewall).
  4. Ενεργοποιήστε το κουμπί εναλλαγής Βελτιωμένες υπηρεσίες τείχους προστασίας (Enhanced Firewall Services), για να ενεργοποιήσετε τη δυνατότητα EFS για όλα τα Edge που είναι συσχετισμένα με το προφίλ. Από προεπιλογή, αυτή η δυνατότητα δεν είναι ενεργοποιημένη.
  5. Στην περιοχή Κανόνες τείχους προστασίας (Firewall Rules), μπορείτε να δημιουργήσετε έναν νέο κανόνα EFS ή να τροποποιήσετε έναν υπάρχοντα κανόνα τείχους προστασίας για τις ρυθμίσεις EFS.
    • Για να δημιουργήσετε έναν νέο κανόνα EFS:
      1. Κάντε κλικ στο κουμπί + Νέος κανόνας (+ New Rule).
      2. Στο πλαίσιο κειμένου Όνομα κανόνα (Rule Name), εισαγάγετε ένα μοναδικό όνομα για τον κανόνα. Για να δημιουργήσετε έναν κανόνα τείχους προστασίας από έναν υπάρχοντα κανόνα, επιλέξτε τον κανόνα που θα αντιγραφεί από το αναπτυσσόμενο μενού Διπλότυπος κανόνας (Duplicate Rule).
      3. Διαμορφώστε τις συνθήκες Αντιστοίχιση (Match) και τις Ενέργειες τείχους προστασίας (Firewall Actions) που θα εκτελεστούν όταν η κυκλοφορία ταιριάζει με τα καθορισμένα κριτήρια αντιστοίχισης. Για περισσότερες πληροφορίες, δείτε Διαμόρφωση κανόνα τείχους προστασίας.
      4. Επιλέξτε το πλαίσιο ελέγχου IDS/IPS και ενεργοποιήστε το IDS ή το IPS για να δημιουργήσετε το τείχος προστασίας. Όταν ο χρήστης ενεργοποιεί μόνο το IPS, το IDS θα ενεργοποιηθεί αυτόματα. Ο μηχανισμός EFS επιθεωρεί την κυκλοφορία που αποστέλλεται/λαμβάνεται μέσω των Edge και αντιστοιχίζει το περιεχόμενο με τις υπογραφές που έχουν διαμορφωθεί στον μηχανισμό EFS.
        Σημείωση: Το EFS μπορεί να ενεργοποιηθεί στον κανόνα μόνο εάν η ενέργεια τείχους προστασίας είναι Αποδοχή (Allow). Εάν η ενέργεια τείχους προστασίας είναι οτιδήποτε άλλο εκτός από Αποδοχή (Allow), το EFS θα απενεργοποιηθεί.
        • Σύστημα εντοπισμού εισβολής (Intrusion Detection System) - Όταν το IDS ενεργοποιείται στα Edge, τα Edge ανιχνεύουν εάν η ροή κυκλοφορίας είναι κακόβουλη ή όχι με βάση ορισμένες υπογραφές που έχουν διαμορφωθεί στη μηχανή. Εάν εντοπιστεί επίθεση, η μηχανή EFS δημιουργεί μια ειδοποίηση και στέλνει το μήνυμα ειδοποίησης στον διακομιστή SASE Orchestrator/Syslog, εάν η καταγραφή τείχους προστασίας είναι ενεργοποιημένη στο Orchestrator, και δεν θα απορρίψει πακέτα.
        • Σύστημα αποτροπής εισβολής (Intrusion Prevention System) - Όταν το IPS είναι ενεργοποιημένο στα Edge, τα Edge ανιχνεύουν εάν η ροή κυκλοφορίας είναι κακόβουλη ή όχι με βάση ορισμένες υπογραφές που έχουν διαμορφωθεί στη μηχανή. Εάν εντοπιστεί επίθεση, η μηχανή EFS δημιουργεί μια ειδοποίηση και αποκλείει τη ροή κυκλοφορίας προς τον υπολογιστή-πελάτη, μόνο εάν η ενέργεια του κανόνα υπογραφής είναι «Απόρριψη» (Reject), η οποία αντιστοιχίζεται από την κακόβουλη κυκλοφορία. Εάν η ενέργεια στον κανόνα υπογραφής είναι «Ειδοποίηση» (Alert), η κυκλοφορία θα επιτρέπεται χωρίς απόρριψη πακέτων, ακόμα και αν διαμορφώσετε το IPS.
        Σημείωση: Η VMware συνιστά στους πελάτες να μην ενεργοποιούν το VNF, όταν το IDS/IPS είναι ενεργοποιημένο στα Edge.
      5. Για να στείλετε τα αρχεία καταγραφής EFS στο Orchestrator, ενεργοποιήστε το κουμπί εναλλαγής Αποτύπωση αρχείου καταγραφής EFS (Capture EFS Log).
        Σημείωση: Για να στείλει ένα Edge τα αρχεία καταγραφής τείχους προστασίας στο Orchestrator, βεβαιωθείτε ότι η δυνατότητα πελάτη «Ενεργοποίηση καταγραφής τείχους προστασίας στο Orchestrator» (Enable Firewall Logging to Orchestrator) είναι ενεργοποιημένη σε επίπεδο πελάτη στη σελίδα περιβάλλοντος εργασίας χρήστη «Καθολικές ρυθμίσεις» (Global Settings). Οι πελάτες πρέπει να επικοινωνήσετε με τον χειριστή σας, εάν θέλετε να ενεργοποιηθεί η δυνατότητα καταγραφής τείχους προστασίας.
      6. Κάντε κλικ στην επιλογή Δημιουργία (Create).
    • Για να τροποποιήσετε έναν υπάρχοντα κανόνα τείχους προστασίας για ρυθμίσεις EFS:
      1. Στην περιοχή Κανόνες τείχους προστασίας (Firewall Rules) της σελίδας Τείχος προστασίας προφίλ (Profile Firewall), κάντε κλικ στη σύνδεση κάτω από τη στήλη Όνομα κανόνα (Rule name) ενός υπάρχοντος τείχους προστασίας που θα τροποποιηθεί.
      2. Τροποποιήστε τις ρυθμίσεις IDS/IPS και κάντε κλικ στην επιλογή Επεξεργασία (Edit).
  6. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).

Διαμόρφωση ρυθμίσεων κανόνων EFS σε επίπεδο Edge

  1. Στην υπηρεσία SD-WAN της πύλης επιχείρησης, μεταβείτε στις επιλογές Διαμόρφωση > Edge (Configure > Edges). Η σελίδα Edge (Edges) εμφανίζει τα υπάρχοντα Edge.
  2. Για να διαμορφώσετε ένα Edge, κάντε κλικ στη σύνδεση προς ένα Edge ή κάντε κλικ στη σύνδεση Προβολή (View) στη στήλη Τείχος προστασίας (Firewall) του Edge.
  3. Κάντε κλικ στην καρτέλα Τείχος προστασίας (Firewall).
  4. Για να παρακάμψετε τις μεταβιβασθείσες ρυθμίσεις EFS για ένα συγκεκριμένο Edge, επιλέξτε το πλαίσιο ελέγχου Παράκαμψη (Override) και ενεργοποιήστε το κουμπί εναλλαγής δίπλα στην ετικέτα περιβάλλοντος εργασίας χρήστη Βελτιωμένες υπηρεσίες τείχους προστασίας (Enhanced Firewall Services).
  5. Στην περιοχή Κανόνες τείχους προστασίας (Firewall Rules) της σελίδας Τείχος προστασίας Edge (Edge Firewall), μπορείτε να δημιουργήσετε έναν νέο κανόνα EFS ή να παρακάμψετε τις μεταβιβασθείσες ρυθμίσεις κανόνων EFS για το Edge. Ακολουθήστε τη διαδικασία όπως περιγράφεται στο Βήμα 5 της ενότητας Διαμόρφωση ρυθμίσεων κανόνων EFS σε επίπεδο προφίλ.
  6. Αφού παρακάμψετε τις ρυθμίσεις κανόνων EFS, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).

Σημείωση: Οι κανόνες τείχους προστασίας των υπαρχόντων Edge που δεν έχουν αναβαθμιστεί στην έκδοση 5.2.0 δεν θα έχουν καμία επίδραση, όταν ενεργοποιείτε την υπηρεσία EFS σε επίπεδο καθολικής ρύθμισης ή ανά κανόνα με IDS/IPS.