I clienti possono configurare e gestire Enhanced Firewall Services (EFS) utilizzando la funzionalità del firewall in VMware SASE Orchestrator.
Prima di iniziare
Affinché la funzionalità EFS funzioni:
- Assicurarsi che la versione dell'Edge sia aggiornata alla 5.2.0.0.
- Assicurarsi che la funzionalità EFS sia attivata a livello di azienda. Contattare l'operatore se si desidera attivare la funzionalità EFS. Un operatore può attivare la funzionalità EFS dalla pagina dell'interfaccia utente SD-WAN > Impostazioni globali (Global Settings) > Configurazione cliente (Customer Configuration) > Impostazioni SD-WAN (SD-WAN Settings) > Accesso alla funzionalità (Feature Access).
Configurazione delle impostazioni delle regole EFS a livello di profilo
- Nel servizio SD-WAN del portale dell'azienda, passare a . Nella pagina Profili (Profiles) vengono visualizzati i profili esistenti.
- Per configurare un firewall del profilo, fare clic sul link del profilo e quindi sulla scheda Firewall. In alternativa è possibile fare clic sul link Visualizza (View) nella colonna Firewall del Profilo.
- Viene visualizzata la pagina Firewall.
- Attivare l'il pulsante di attivazione Enhanced Firewall Services per attivare la funzionalità EFS per tutti gli Edge associati al profilo. Per impostazione predefinita. Questa funzionalità non è attivata.
- In Regole Firewall (Firewall Rules) è possibile creare una nuova regola EFS o modificare una regola del firewall esistente per le impostazioni EFS.
- Per creare una nuova regola EFS:
- Fare clic sul pulsante + Nuova regola (+ New Rule).
- Nella casella di testo Nome regola (Rule Name), immettere un nome univoco per la regola. Per creare una regola del firewall da una regola esistente, selezionare la regola da duplicare dal menu a discesa Regola duplicata (Duplicate Rule).
- Configurare le condizioni Abbina (Match) e le Azioni Firewall (Firewall Actions) da eseguire quando il traffico corrisponde ai criteri di corrispondenza definiti. Per ulteriori informazioni, vedere Configurazione delle regole del firewall.
- Selezionare la casella di controllo IDS/IPS e attivare l'interruttore IDS o IPS per creare il firewall. Quando l'utente attiva solo IPS, IDS viene attivato automaticamente. Il motore EFS ispeziona il traffico inviato/ricevuto tramite gli Edge e associa i contenuti alle firme configurate nel motore EFS.
Nota: EFS può essere attivato nella regola solo se l'azione Firewall è Consenti (Allow). Se l'Azione firewall è diversa da Consenti (Allow), EFS verrà disattivato.
- Sistema rilevamento intrusioni (Intrusion Detection System): quando IDS è attivato negli Edge, gli Edge rilevano se il flusso di traffico è dannoso o meno in base a determinate firme configurate nel motore. Se viene rilevato un attacco, il motore EFS genera un avviso e invia il messaggio di avviso a SASE Orchestrator/server syslog se la registrazione del firewall è attivata in Orchestrator.
- Sistema di prevenzione delle intrusioni (Intrusion Prevention System): quando IPS è attivato negli Edge, gli Edge rilevano se il flusso di traffico è dannoso o meno in base a determinate firme configurate nel motore. Se viene rilevato un attacco, il motore EFS genera un avviso e blocca il flusso del traffico verso il client solo se la regola di firma ha l'azione "Rifiuta", che corrisponde al traffico dannoso. Se l'azione nella regola della firma è "Avviso (Alert)", il traffico sarà consentito senza rilasciare alcun pacchetto anche se si configura IPS.
Nota: VMware consiglia al cliente di non attivare VNF quando IDS/IPS è attivato negli Edge. - Per inviare i registri EFS a Orchestrator attivare l'interruttore Acquisisci registro EFS (Capture EFS Log).
Nota: Affinché un Edge invii i registri firewall a Orchestrator, assicurarsi che la funzionalità del cliente "Abilita registrazione firewall in Orchestrator (Enable Firewall logging to Orchestrator)" sia attivata a livello di cliente nella pagina dell'interfaccia utente "Impostazioni globali (Global Settings)". I clienti devono contattare l'operatore se si desidera attivare la funzionalità di registrazione del firewall.
- Fare clic su Crea (Create).
- Per modificare una regola del firewall esistente per le impostazioni EFS:
- Nell'area Regole firewall (Firewall Rules) della pagina Firewall profilo (Profile Firewall) fare clic sul link nella colonna Nome regola (Rule name) di un firewall esistente da modificare.
- Modificare le impostazioni IDS/IPS e fare clic su Modifica (Edit).
- Per creare una nuova regola EFS:
- Fare clic su Salva modifiche (Save Changes).
Configurazione delle impostazioni delle regole EFS a livello di Edge
- Nel servizio SD-WAN del portale dell'azienda, passare a . Nella pagina Edge (Edges) sono visualizzati gli Edge esistenti.
- Per configurare un Edge, fare clic sul link dell'Edge o sul link Visualizza (View) nella colonna Firewall dell'Edge.
- Fare clic sulla scheda Firewall.
- Per sostituire le impostazioni EFS ereditate per un Edge specifico, selezionare la casella di controllo Sostituisci (Override) e attivare l'interruttore accanto all'etichetta Enhanced Firewall Services dell'interfaccia utente..
- Nell'area Regole firewall (Firewall Rules) della pagina Firewall Edge (Edge Firewall), è possibile creare una nuova regola EFS o sostituire le impostazioni della regola EFS ereditata per l'Edge. Eseguire la procedura descritta nel passaggio 5 della sezione Configurazione delle impostazioni delle regole EFS a livello di profilo.
- Dopo aver sostituito le impostazioni della regola EFS, fare clic su Salva modifiche (Save Changes).
Nota: Le regole del firewall degli Edge esistenti che non vengono aggiornate alla versione 5.2.0 non avranno alcun impatto quando si attiva il servizio EFS a livello di impostazione globale o per livello di regola con IDS/IPS.