Per impostazione predefinita, tutti gli Edge ereditano le regole del firewall, le impostazioni del firewall stateful, le impostazioni di protezione rete e flooding e le configurazioni di accesso all'Edge dal profilo associato.

Nella scheda Firewall della finestra di dialogo Configurazione Edge (Edge Configuration), è possibile visualizzare tutte le regole del firewall ereditate nell'area Regole del profilo (Rules From Profile). Facoltativamente, a livello di Edge, è anche possibile sostituire le regole del firewall del profilo e la configurazione di accesso all'Edge mediante i passaggi seguenti.
  1. Nel portale dell'azienda, passare a Configura (Configure) > Edge (Edges).
  2. Selezionare un Edge per cui si desidera sostituire le impostazioni del firewall ereditate e fare clic sulla scheda Firewall.
  3. Selezionare la casella di controllo Sostituisci (Override) se si desidera modificare le regole del profilo ereditate e le impostazioni del firewall per l'Edge.
    Nota: Le regole di sostituzione vengono visualizzate nell'area Sostituzioni Edge (Edge Overrides). Le regole di sostituzione dell'Edge avranno la priorità sulle regole del profilo ereditate per l'Edge. Qualsiasi valore corrispondente alla sostituzione del firewall uguale a una regola qualsiasi del firewall del profilo sostituirà tale regola del profilo.
  4. A livello di Edge, è possibile configurare singolarmente le regole di port forwarding e IPv4 o IPv6 NAT 1:1 passando a Impostazioni aggiuntive (Additional Settings) > ACL in entrata (Inbound ACLs). Per ulteriori informazioni, vedere Regole di port forwarding e Impostazioni di NAT 1:1.
    Nota: Per impostazione predefinita, tutto il traffico in entrata verrà bloccato a meno che non siano configurate le regole di port forwarding e NAT firewall 1:1. L'IP esterno sarà sempre quello dell'IP WAN o dell'indirizzo IP della subnet IP WAN.
    Nota: Durante la configurazione delle regole di port forwarding IPv6 e NAT 1:1, è possibile immettere solo l'indirizzo IP globale o unicast e non è possibile immettere l'indirizzo locale del link.

Regole di port forwarding e NAT 1:1 del firewall

Nota: È possibile configurare singolarmente le regole di port forwarding e NAT 1:1 solo a livello di Edge.

Le regole di port forwarding e NAT 1:1 consentono ai client Internet l'accesso ai server connessi a un'interfaccia LAN dell'Edge. L'accesso può essere reso disponibile tramite le regole di port forwarding o le regole NAT (Network Address Translation) 1:1.

Regole di port forwarding

Le regole di port forwarding consentono di configurare regole per reindirizzare il traffico da una porta WAN specifica a un dispositivo (IP LAN/Porta LAN) all'interno della subnet locale. Facoltativamente, è anche possibile limitare il traffico in entrata in base a un IP o una subnet. Le regole di port forwarding possono essere configurate con l'IP esterno che si trova nella stessa subnet dell'IP WAN. Può inoltre convertire gli indirizzi IP esterni in subnet diverse dall'indirizzo dell'interfaccia WAN se l'ISP instrada il traffico per la subnet verso SD-WAN Edge.

La figura seguente illustra la configurazione di port forwarding.

Nella sezione Regole port forwarding (Port-forwarding Rules), è possibile configurare le regole di port forwarding con l'indirizzo IPv4 o IPv6 facendo clic sul pulsante +Aggiungi (+Add) e quindi immettendo i dettagli seguenti.

  1. Nella casella di testo Nome (Name) immettere un nome (facoltativo) per la regola.
  2. Dal menu a discesa Protocollo (Protocol), selezionare TCP o UDP come protocollo per il port forwarding.
  3. Dal menu a discesa Interfaccia (Interface), selezionare l'interfaccia per il traffico in entrata.
  4. Nella casella di testo IP esterno (Outside IP), immettere l'indirizzo IPv4 o IPv6 che consente di accedere all'host (applicazione) dalla rete esterna.
  5. Nella casella di testo Porte WAN (WAN Ports), immettere una porta WAN o un intervallo di porte separate da un trattino (-), ad esempio 20-25.
  6. Nelle caselle di testo IP LAN (LAN IP) e Porta LAN (LAN Port), immettere l'indirizzo IPv4 o IPv6 e il numero di porta della LAN a cui verrà inoltrata la richiesta.
  7. Dal menu a discesa Segmento (Segment), selezionare un segmento a cui l'IP LAN apparterrà.
  8. Nella casella di testo IP/subnet remoti (Remote IP/subnet), specificare un indirizzo IP di un traffico in entrata che si desidera venga inoltrato a un server interno. Se non si specifica alcun indirizzo IP, verrà consentito qualsiasi traffico.
  9. Selezionare la casella di controllo Registro (Log) per attivare la registrazione per questa regola.
  10. Fare clic su Salva modifiche (Save Changes).

Impostazioni di NAT 1:1

Queste impostazioni vengono utilizzate per mappare un indirizzo IP esterno supportato da SD-WAN Edge a un server connesso a un'interfaccia LAN dell'Edge (ad esempio, un server Web o un server di posta). Può inoltre convertire gli indirizzi IP esterni in subnet diverse dall'indirizzo dell'interfaccia WAN se l'ISP instrada il traffico per la subnet verso SD-WAN Edge. Ogni mappatura viene eseguita tra un indirizzo IP esterno al firewall per un'interfaccia WAN specifica e un indirizzo IP LAN all'interno del firewall. All'interno di ogni mappatura, è possibile specificare quali porte verranno inoltrate all'indirizzo IP interno. L'icona "+" a destra può essere utilizzata per aggiungere ulteriori impostazioni di NAT 1:1.

La figura seguente illustra la configurazione NAT 1:1.

Nella sezione Regole NAT 1:1 (1:1 NAT Rules), è possibile configurare regole NAT 1:1 con indirizzo IPv4 o indirizzo IPv6 facendo clic sul pulsante +Aggiungi (+Add) e quindi immettendo i dettagli seguenti.

  1. Nella casella di testo Nome (Name) immettere un nome per la regola.
  2. Nella casella di testo IP esterno (Outside IP), immettere l'indirizzo IPv4 o IPv6 che consente di accedere all'host da una rete esterna.
  3. Dal menu a discesa Interfaccia (Interface), selezionare l'interfaccia WAN a cui verrà associato l'indirizzo IP esterno.
  4. Nella casella di testo IP interno (LAN) (Inside (LAN) IP), immettere l'indirizzo IPv4 o IPv6 (LAN) effettivo dell'host.
  5. Dal menu a discesa Segmento (Segment), selezionare un segmento a cui l'IP LAN apparterrà.
  6. Selezionare la casella di controllo Traffico in uscita (Outbound Traffic) se si desidera consentire che il traffico dal client LAN a Internet venga sottoposto al processo NAT verso l'indirizzo IP esterno.
  7. Immettere i dettagli di Origine traffico consentita (Allowed Traffic Source), ovvero Protocollo (Protocol), Porte (Ports), IP/subnet remoti (Remote IP/Subnet), per la mappatura nei rispettivi campi.
  8. Selezionare la casella di controllo Registro (Log) per attivare la registrazione per questa regola.
  9. Fare clic su Salva modifiche (Save Changes).