Un firewall è un dispositivo di sicurezza di rete che monitora il traffico di rete in entrata e in uscita e decide se consentire o bloccare il traffico specifico in base a un set definito di regole di sicurezza. SD-WAN Orchestrator supporta la configurazione di firewall stateless e stateful per i profili e gli Edge.
Per ulteriori informazioni sui firewall, vedere Configurazione del firewall.
Per configurare il firewall utilizzando la nuova interfaccia utente di Orchestrator:
- Nel portale dell'azienda, fare clic sull'opzione Apri nuova interfaccia utente Orchestrator (Open New Orchestrator UI) disponibile nella parte superiore della finestra.
- Fare clic su Avvia nuova interfaccia utente di Orchestrator (Launch New Orchestrator UI) nella finestra popup.
- L'interfaccia utente viene aperta in una nuova scheda in cui sono visualizzate le opzioni di monitoraggio e configurazione.
- Nella nuova interfaccia utente, fare clic su Profili (Profiles) vengono visualizzati i profili esistenti. . Nella pagina
- Per configurare un profilo, fare clic sul link del profilo o sul link Visualizza (View) nella colonna Dispositivo (Device) del profilo. Le opzioni di configurazione sono visualizzate nella scheda Dispositivo (Device).
- Fare clic sulla scheda Firewall.
Dalla pagina Profili (Profiles), è possibile passare direttamente alla pagina Firewall facendo clic sul link Visualizza (View) nella colonna Firewall del profilo.
- Nella scheda Firewall viene visualizzato quanto segue:
- Accesso all'Edge (Edge Access): consente di configurare un profilo per l'accesso all'Edge. È necessario assicurarsi di selezionare l'opzione appropriata per l'accesso al supporto, l'accesso alla console, l'accesso alla porta USB, l'accesso SNMP e l'accesso all'interfaccia utente Web locale nelle impostazioni del firewall per rendere l'Edge più sicuro. Questo impedirà agli utenti malintenzionati di accedere all'Edge. Per impostazione predefinita, l'accesso al supporto, l'accesso alla console, l'accesso SNMP e l'accesso all'interfaccia utente Web locale sono disattivate per motivi di sicurezza. Per ulteriori informazioni, vedere Configurazione dell'accesso all'Edge.
- Stato firewall (Firewall Status): consente di attivare o disattivare le regole del firewall e configurare le impostazioni del firewall e gli ACL in entrata per tutti gli Edge associati al profilo.
Nota: È possibile disattivare la funzione Firewall per i profili impostando Stato firewall (Firewall Status) su OFF.
- Inoltro syslog (Syslog Forwarding): per impostazione predefinita, la funzionalità Inoltro syslog (Syslog Forwarding) è disattivata per le aziende. Per raccogliere gli eventi associati a SD-WAN Orchestrator e i registri del firewall provenienti dall'SD-WAN Edge dell'azienda per uno o più agenti di raccolta syslog remoti centralizzati (server), l'utente aziendale deve attivare questa funzionalità a livello dell'azienda. Per configurare i dettagli dell'agente di raccolta syslog per segmento in SD-WAN Orchestrator, vedere Configurazione delle impostazioni syslog per i profili.
Nota: È possibile visualizzare i dettagli della registrazione del firewall IPv4 e IPv6 in un server syslog basato su IPv4.
- Regole firewall (Firewall Rules): vengono visualizzate le regole del firewall predefinite esistenti. Per creare una nuova regola del firewall, fare clic su + NUOVA REGOLA (NEW RULE). Per ulteriori informazioni, vedere Configurazione di una regola del firewall con la nuova interfaccia utente di Orchestrator. Per eliminare le regole del firewall esistenti, selezionare le caselle di controllo che precedono le regole e fare clic su ELIMINA (DELETE). Per duplicare una regola del firewall, selezionare la regola e fare clic su CLONA (CLONE).
- Firewall stateful (Stateful Firewall): per impostazione predefinita, la funzionalità del firewall stateful è attivata per le aziende. Per disattivare la funzionalità del firewall stateful per un'azienda, contattare un operatore con autorizzazione di superuser. Per ulteriori informazioni, vedere Configurazione delle impostazioni del firewall stateful.
- Protezione rete e flooding (Network & Flood Protection): per proteggere tutti i tentativi di connessione in una rete aziendale, VMware SD-WAN Orchestrator consente di configurare le impostazioni di protezione rete e flooding a livello di profilo ed Edge, per proteggersi da vari tipi di attacchi. Per ulteriori informazioni, vedere Configurazione delle impostazioni di protezione rete e flooding.
Per impostazione predefinita, tutti gli Edge ereditano le regole del firewall, le impostazioni del firewall stateful, le impostazioni di protezione rete e flooding e le configurazioni di accesso all'Edge dal profilo associato. Nella scheda
Firewall della finestra di dialogo
Configurazione Edge (Edge Configuration), è possibile visualizzare tutte le regole del firewall ereditate nell'area
Regole del profilo (Rules From Profile). Facoltativamente, a livello di Edge, è anche possibile sostituire le regole del firewall del profilo e la configurazione di accesso all'Edge mediante i passaggi seguenti.
- Nella nuova interfaccia utente, fare clic su .
- Selezionare un Edge per cui si desidera sostituire le impostazioni del firewall ereditate e fare clic sulla scheda Firewall.
- Selezionare la casella di controllo Sostituisci (Override) se si desidera modificare le regole del profilo ereditate e le impostazioni del firewall per l'Edge.
Nota: Le regole di sostituzione vengono visualizzate nell'area Sostituzioni Edge (Edge Overrides). Le regole di sostituzione dell'Edge avranno la priorità sulle regole del profilo ereditate per l'Edge. Qualsiasi valore corrispondente alla sostituzione del firewall uguale a una regola qualsiasi del firewall del profilo sostituirà tale regola del profilo.
- A livello di Edge, è possibile configurare singolarmente le regole di port forwarding e IPv4 o IPv6 NAT 1:1 passando a Impostazioni aggiuntive (Additional Settings) > ACL in entrata (Inbound ACLs). Per informazioni dettagliate sulla configurazione delle regole di port forwarding e NAT 1:1, vedere Configurazione del firewall per gli Edge.
Nota: Durante la configurazione delle regole di port forwarding IPv6 e NAT 1:1, è possibile immettere solo l'indirizzo IP globale o unicast e non è possibile immettere l'indirizzo locale del link.