Configurazione delle regole del firewall

SD-WAN Orchestrator permette di configurare le regole del firewall a livello di profilo e di Edge per consentire, rimuovere, rifiutare o ignorare il traffico in entrata e in uscita. Il firewall utilizza parametri come l'indirizzo IP/porta di origine, l'indirizzo IP/porta di destinazione, le applicazioni, le categorie di applicazioni e i tag DSCP per creare regole del firewall.

Per configurare una regola del firewall con un firewall stateful abilitato a livello del profilo, eseguire i passaggi descritti in questa procedura.

Procedura

Da SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles) > Firewall.
Abilitare Firewall stateful (Stateful Firewall) per il profilo selezionato.
Nell'area Regole firewall (Firewall Rules), fare clic su Nuova regola (New Rule). Viene visualizzata la finestra di dialogo Configura regola (Configure Rule).
Nella casella Nome regola (Rule Name), immettere un nome univoco per la regola.

Nell'area Corrispondenza (Match), configurare le condizioni di corrispondenza per la regola:

Impostazioni	Descrizione
Origine	Consente di specificare l'origine dei pacchetti. Selezionare una delle opzioni seguenti: Qualsiasi (Any): consente tutti gli indirizzi di origine per impostazione predefinita. Gruppo di oggetti (Object Group): consente di selezionare una combinazione di gruppo di indirizzi e gruppo di porte. Definisci (Define): consente di definire il traffico di origine impostando una VLAN, un indirizzo IP, un indirizzo MAC o una porta specifici. Per l'indirizzo IP, scegliere una delle tre opzioni seguenti: Prefisso CIDR (CIDR prefix): scegliere questa opzione se si desidera che la rete venga definita come valore CIDR (ad esempio, `172.10.0.0 /16`). Subnet mask: scegliere questa opzione se si desidera che la rete venga definita in base a una subnet mask (ad esempio, `172.10.0.0 255.255.0.0`). Maschera con caratteri jolly (Wildcard mask): scegliere questa opzione se si desidera poter limitare l'applicazione di un criterio a un set di dispositivi in subnet IP diverse che condividono un valore di indirizzo IP dell'host corrispondente. La maschera con caratteri jolly corrisponde a un IP o a un set di indirizzi IP in base alla subnet mask invertita. Uno "0" all'interno del valore binario della maschera indica che il valore è fisso, mentre un "1" all'interno del valore binario della maschera indica che il valore è un carattere jolly (può essere 1 o 0). Ad esempio, con la maschera jolly 0.0.0.255 (equivalente binario = 00000000.00000000.00000000.11111111) con un indirizzo IP 172.0.0, i primi tre ottetti sono valori fissi mentre l'ultimo ottetto è un valore variabile.
Destinazione (Destination)	Consente di specificare la destinazione per i pacchetti. Selezionare una delle opzioni seguenti: Qualsiasi (Any): consente tutti gli indirizzi di destinazione per impostazione predefinita. Gruppo di oggetti (Object Group): consente di selezionare una combinazione di gruppo di indirizzi e gruppo di porte. Per ulteriori informazioni sul gruppo di oggetti, vedere Gruppi di oggetti. Definisci (Define): consente di definire il traffico di destinazione impostando una VLAN, un indirizzo IP, un indirizzo MAC o una porta specifici. Per l'indirizzo IP, scegliere una delle tre opzioni seguenti: Prefisso CIDR (CIDR prefix), Subnet mask o Maschera con caratteri jolly (Wildcard mask).
Applicazione (Application)	Consente di specificare le applicazioni a cui applicare la regola del firewall. Selezionare una delle opzioni seguenti: Qualsiasi (Any): applica la regola del firewall a qualsiasi applicazione per impostazione predefinita. Definisci (Define): consente di selezionare un'applicazione specifica.

Nell'area Azione (Action), configurare le azioni per la regola:

Impostazioni	Descrizione
Firewall	Selezionare una delle azioni seguenti che il firewall dovrà eseguire sui pacchetti quando verranno soddisfatte le condizioni della regola: Consenti (Allow): consente i pacchetti di dati per impostazione predefinita. Rimuovi (Drop): rimuove i pacchetti di dati in modalità invisibile all'utente senza inviare alcuna notifica all'origine. Rifiuta (Reject): rimuove i pacchetti e lo notifica all'origine inviando un messaggio di rifiuto esplicito. Ignora (Skip): ignora la regola durante le ricerche ed elabora la regola successiva. Questa regola verrà tuttavia utilizzata al momento della distribuzione di SD-WAN.
Registra (Log)	Selezionare questa casella di controllo se si desidera che venga creata una voce di registro al momento dell'attivazione della regola.

Impostazioni

Descrizione

Firewall

Selezionare una delle azioni seguenti che il firewall dovrà eseguire sui pacchetti quando verranno soddisfatte le condizioni della regola:

Consenti (Allow): consente i pacchetti di dati per impostazione predefinita.
Rimuovi (Drop): rimuove i pacchetti di dati in modalità invisibile all'utente senza inviare alcuna notifica all'origine.
Rifiuta (Reject): rimuove i pacchetti e lo notifica all'origine inviando un messaggio di rifiuto esplicito.
Ignora (Skip): ignora la regola durante le ricerche ed elabora la regola successiva. Questa regola verrà tuttavia utilizzata al momento della distribuzione di SD-WAN.

Registra (Log)

Selezionare questa casella di controllo se si desidera che venga creata una voce di registro al momento dell'attivazione della regola.

Fare clic su OK.

risultati

Viene creata una regola del firewall per il profilo selezionato e viene visualizzata nell'area Regole firewall (Firewall Rules) della pagina Firewall profilo (Profile Firewall).