Durante la configurazione delle regole del firewall a livello di profilo e di Edge, è possibile selezionare gruppi di oggetti esistenti in modo che corrispondano all'origine o alla destinazione. È possibile definire le regole per un intervallo di indirizzi IP o un intervallo di porte TCP/UDP/ICMPv4/ICMPv6, includendo i gruppi di oggetti nelle definizioni delle regole.
A livello di profilo, per configurare la regola del firewall con il gruppo di oggetti, eseguire i passaggi seguenti:
Procedura
Nel servizio SD-WAN del portale dell'azienda, passare a Configura (Configure) > Profili (Profiles). Nella pagina Profili (Profiles) vengono visualizzati i profili esistenti.
Selezionare un profilo per configurare una regola del firewall e fare clic sulla scheda Firewall.
Dalla pagina
Profili (Profiles), è possibile passare direttamente alla pagina
Firewall facendo clic sul link
Visualizza (View) nella colonna
Firewall del profilo.
Passare alla sezione Configura firewall (Configure Firewall) e in Regole firewall (Firewall Rules) fare clic su + NUOVA REGOLA (+ NEW RULE). Viene visualizzata la finestra di dialogo Configura regola (Configure Rule).
Nella casella di testo Nome regola (Rule Name), immettere un nome univoco per la regola. Per creare una regola del firewall da una regola esistente, selezionare la regola da duplicare dal menu a discesa Regola duplicata (Duplicate Rule).
Nell'area Corrispondenza (Match), configurare le condizioni di corrispondenza per la regola:
Scegliere il tipo di indirizzo IP per la regola. Per impostazione predefinita, è selezionato il tipo di indirizzo IPv4 e IPv6. È possibile configurare gli indirizzi IP di origine e di destinazione in base al tipo di indirizzo selezionato.
Dal menu a discesa Origine (Source), selezionare Gruppi di oggetti (Object Groups).
Nell'elenco a discesa, selezionare il gruppo di indirizzi e il gruppo di servizi pertinenti. Se il gruppo di indirizzi selezionato contiene nomi di dominio, questi vengono ignorati durante la ricerca della corrispondenza per l'origine.
È possibile fare clic sull'icona Informazioni (Info) accanto ai menu a discesa Gruppo di indirizzi (Address Group) e Gruppo di servizi (Address Group) per visualizzare i dettagli della configurazione del gruppo di indirizzi e del gruppo di servizi corrispondenti.
Se necessario, è possibile selezionare anche i gruppi di servizi e di indirizzi per la destinazione.
In base al tipo di indirizzo selezionato, il comportamento sarà il seguente:
La regola del tipo IPv4 corrisponde solo agli indirizzi IPv4 disponibili nel gruppo di indirizzi selezionato.
La regola del tipo IPv6 corrisponde solo agli indirizzi IPv6 disponibili nel gruppo di indirizzi selezionato.
La regola del tipo misto corrisponde agli indirizzi IPv4 e IPv6 nel gruppo di indirizzi selezionato.
Scegliere azioni del firewall necessarie e fare clic su Crea (Create).
Viene creata una regola del firewall per il profilo selezionato e viene visualizzata nell'area
Regole firewall (Firewall Rules) della pagina
Firewall profilo (Profile Firewall).
Nota: Le regole create a livello di profilo non possono essere aggiornate a livello di Edge. Per sostituire la regola, l'utente deve creare la stessa regola a livello di Edge con nuovi parametri per sostituire la regola a livello di profilo.
Nell'area
Regole del firewall (Firewall Rules) della pagina
Firewall profilo (Profile Firewall) è possibile eseguire le azioni seguenti:
ELIMINA (DELETE): per eliminare regole del firewall esistenti, selezionare le caselle di controllo che precedono le regole e fare clic su ELIMINA (DELETE).
CLONA (CLONE): per duplicare una regola del firewall, selezionare la regola e fare clic su CLONA (CLONE).
CRONOLOGIA COMMENTI (COMMENT HISTORY): per visualizzare tutti i commenti aggiunti durante la creazione o l'aggiornamento di una regola, selezionare la regola e fare clic su CRONOLOGIA COMMENTI (COMMENT HISTORY).
Cercare una regola (Search for Rule): consente di cercare la regola in base al nome della regola, all'indirizzo IP, alla porta o all'intervallo di porte, nonché ai nomi del gruppo di indirizzi e del gruppo di servizi.
risultati
Le regole del firewall create per un profilo vengono applicate automaticamente a tutti gli Edge associati al profilo. Se necessario, è possibile creare regole aggiuntive specifiche per gli Edge passando a
Configura (Configure) >
Edge (Edges), selezionare un Edge e fare clic sulla scheda
Firewall.
La sezione
Regole del profilo visualizza le regole ereditate dal profilo e sono di sola lettura. Se si desidera sostituire una regola a livello di profilo, aggiungere una nuova regola. La regola aggiunta viene visualizzata nella tabella sopra la sezione
Regole del profilo (Rules From Profile) e può essere modificata modificando o eliminando o se necessario.
Nota: Per impostazione predefinita, le regole del firewall vengono assegnate al segmento globale. Se necessario, è possibile scegliere un segmento dal menu a discesa
Segmento (Segment) e creare regole del firewall specifiche per il segmento selezionato.
È possibile modificare i gruppi di oggetti con indirizzi IP, numeri di porta, tipi di servizi e codici aggiuntivi. Le modifiche vengono incluse automaticamente nelle regole del firewall che utilizzano i gruppi di oggetti.
Nota: Prima di modificare i gruppi di oggetti, è possibile visualizzare i dettagli della configurazione del gruppo di indirizzi e del gruppo di servizi dalla stessa schermata dell'interfaccia utente facendo clic sull'icona Informazioni (Info) accanto al nome del gruppo di indirizzi e del gruppo di servizi. Viene visualizzata una finestra pop-up con i dettagli di configurazione del rispettivo gruppo di indirizzi e gruppo di servizi.