Tutti gli Edge ereditano le regole del firewall e le configurazioni di accesso all'Edge dal profilo associato. Nella scheda Firewall della finestra di dialogo Configurazione Edge (Edge Configuration), è possibile visualizzare tutte le regole del firewall ereditate nell'area Regola dal profilo (Rule From Profile). Facoltativamente, a livello di Edge, è anche possibile sostituire le regole del firewall del profilo e la configurazione di accesso all'Edge.
In qualità di amministratore aziendale, è possibile configurare singolarmente le regole di port forwarding e NAT 1:1 del firewall per ogni Edge seguendo le istruzioni disponibili in questa pagina.
Per impostazione predefinita, tutto il traffico in entrata verrà bloccato a meno che non siano configurate le regole di port forwarding e NAT firewall 1:1. L'IP esterno sarà sempre quello dell'IP WAN o dell'indirizzo IP della subnet IP WAN.
Regole di port forwarding e NAT 1:1 del firewall
Le regole di port forwarding e NAT 1:1 consentono ai client Internet l'accesso ai server connessi a un'interfaccia LAN dell'Edge. L'accesso può essere reso disponibile tramite le regole di port forwarding o le regole NAT (Network Address Translation) 1:1.
Regole di port forwarding
Le regole di port forwarding consentono di configurare regole per reindirizzare il traffico da una porta WAN specifica a un dispositivo (IP LAN/Porta LAN) all'interno della subnet locale. Facoltativamente, è anche possibile limitare il traffico in entrata in base a un IP o una subnet. Le regole di port forwarding possono essere configurate con l'IP esterno che si trova nella stessa subnet dell'IP WAN. Può inoltre convertire gli indirizzi IP esterni in subnet diverse dall'indirizzo dell'interfaccia WAN se l'ISP instrada il traffico per la subnet verso SD-WAN Edge.
La figura seguente illustra la configurazione di port forwarding.
- Nella casella di testo Nome (Name) immettere un nome (facoltativo) per la regola.
- Dal menu a discesa Protocollo (Protocol), selezionare TCP o UDP come protocollo per il port forwarding.
- Dal menu a discesa Interfaccia (Interface), selezionare l'interfaccia per il traffico in entrata.
- Nella casella di testo IP esterno (Outside IP), immettere l'indirizzo IPv4 o IPv6 che consente di accedere all'host (applicazione) dalla rete esterna.
- Nella casella di testo Porte WAN (WAN Ports), immettere una porta WAN o un intervallo di porte separate da un trattino (-), ad esempio 20-25.
- Nelle caselle di testo IP LAN (LAN IP) e Porta LAN (LAN Port), immettere l'indirizzo IPv4 o IPv6 e il numero di porta della LAN a cui verrà inoltrata la richiesta.
- Dal menu a discesa Segmento (Segment), selezionare un segmento a cui l'IP LAN apparterrà.
- Nella casella di testo IP/subnet remoti (Remote IP/subnet), specificare un indirizzo IP di un traffico in entrata che si desidera venga inoltrato a un server interno. Se non si specifica alcun indirizzo IP, verrà consentito qualsiasi traffico.
Impostazioni di NAT 1:1
Queste impostazioni vengono utilizzate per mappare un indirizzo IP esterno supportato da SD-WAN Edge a un server connesso a un'interfaccia LAN dell'Edge (ad esempio, un server Web o un server di posta). Può inoltre convertire gli indirizzi IP esterni in subnet diverse dall'indirizzo dell'interfaccia WAN se l'ISP instrada il traffico per la subnet verso SD-WAN Edge. Ogni mappatura viene eseguita tra un indirizzo IP esterno al firewall per un'interfaccia WAN specifica e un indirizzo IP LAN all'interno del firewall. All'interno di ogni mappatura, è possibile specificare quali porte verranno inoltrate all'indirizzo IP interno. L'icona "+" a destra può essere utilizzata per aggiungere ulteriori impostazioni di NAT 1:1.
La figura seguente illustra la configurazione NAT 1:1.
- Nella casella di testo Nome (Name) immettere un nome per la regola.
- Nella casella di testo IP esterno (Outside IP), immettere l'indirizzo IPv4 o IPv6 che consente di accedere all'host da una rete esterna.
- Dal menu a discesa Interfaccia (Interface), selezionare l'interfaccia WAN a cui verrà associato l'indirizzo IP esterno.
- Nella casella di testo IP interno (LAN) (Inside (LAN) IP), immettere l'indirizzo IPv4 o IPv6 (LAN) effettivo dell'host.
- Dal menu a discesa Segmento (Segment), selezionare un segmento a cui l'IP LAN apparterrà.
- Selezionare la casella di controllo Traffico in uscita (Outbound Traffic) se si desidera consentire che il traffico da client LAN a Internet venga sottoposto al processo NAT verso l'indirizzo IP esterno.
- Immettere i dettagli di Origine traffico consentita (Allowed Traffic Source), ovvero Protocollo (Protocol), Porte (Ports), IP/subnet remoti (Remote IP/Subnet), per la mappatura nei rispettivi campi.
Sostituzioni della configurazione dell'Edge
Facoltativamente, a livello di Edge, è possibile sostituire le regole del firewall del profilo ereditato. Per sostituire le regole del firewall a livello di Edge, fare clic su Nuova regola (New Rule) in Regole firewall (Firewall Rules) ed eseguire i passaggi indicati in Configurazione delle regole del firewall. Le regole di sostituzione vengono visualizzate nell'area Sostituzioni Edge (Edge Overrides). Le regole di sostituzione dell'Edge avranno la priorità sulle regole del profilo ereditate per l'Edge. Qualsiasi valore corrispondente alla sostituzione del firewall uguale a una regola qualsiasi del firewall del profilo sostituirà tale regola del profilo.
Sostituzione delle impostazioni del firewall stateful
Facoltativamente, a livello di Edge, è possibile sostituire le impostazioni del firewall stateful selezionando la casella di controllo Abilita sostituzione Edge (Enable Edge Override) nell'area Impostazioni del firewall stateful (Stateful Firewall Settings). Per ulteriori informazioni sulle impostazioni del firewall stateful, vedere Configurazione delle impostazioni del firewall stateful.
Sostituzione delle impostazioni di protezione rete e flooding
Facoltativamente, a livello di Edge, è possibile sostituire le impostazioni di protezione rete e flooding selezionando la casella di controllo Abilita sostituzione Edge (Enable Edge Override) nell'area Impostazioni di protezione rete e flooding (Network and Flood Protection Settings). Per ulteriori informazioni sulle impostazioni di protezione rete e flooding, vedere Configurazione delle impostazioni di protezione rete e flooding.
Sostituzione delle impostazioni di configurazione dell'accesso all'Edge
Facoltativamente, a livello di Edge, è anche possibile sostituire la configurazione dell'accesso all'Edge selezionando la casella di controllo Abilita sostituzione Edge (Enable Edge Override) nell'area Accesso all'Edge (Edge Access). Per ulteriori informazioni sulla configurazione dell'accesso all'Edge, vedere Configurazione dell'accesso all'Edge.
Collegamenti correlati