Un cliente con la funzionalità Enhanced Firewall Services (EFS) attivata a livello di impostazioni globali in VMware SASE Orchestrator ora può configurare e gestire singolarmente servizi di sicurezza come filtro URL (filtro della categoria URL, filtro della reputazione URL), filtro IP dannosi, sistema di rilevamento delle intrusioni (IDS) e sistema di prevenzione delle intrusioni (IPS). Per bloccare il traffico degli utenti in base alla corrispondenza della firma IDS/IPS, alla categoria e/o alla reputazione dell'URL o dell'IP, il cliente deve creare un gruppo di servizi di sicurezza che utilizzi i servizi di sicurezza preconfigurato e associare tale gruppo di servizi di sicurezza alle regole del firewall.
Prima di iniziare
- Assicurarsi che la versione dell'Edge sia 6.0.0 per il filtro URL (categoria URL e reputazione URL) e il filtro IP dannosi funzionino come previsto. Per la configurazione del servizio IDS e IPS, assicurarsi che la versione di Edge sia 5.2.0 e successive.
- Assicurarsi che la funzionalità EFS sia attivata a livello di azienda. Contattare l'operatore se si desidera attivare la funzionalità EFS. Un operatore può attivare la funzionalità EFS dalla pagina dell'interfaccia utente SD-WAN > Impostazioni globali (Global Settings) > Configurazione cliente (Customer Configuration) > Impostazioni SD-WAN (SD-WAN Settings) > Accesso alla funzionalità (Feature Access).
Configura servizio categoria URL
Attualmente, sono disponibili più di 80 categorie di URL, tra cui social network, servizi finanziari, phishing e così via.
- Nel servizio SD-WAN del portale dell'azienda, passare a . Viene visualizzata la pagina Security Services.
- Fare clic sulla scheda Categorie URL (URL Categories), quindi fare clic su + Aggiungi regola (+ADD RULE). Viene visualizzata la finestra pop-up Configura servizio categoria URL (Configure URL Category Service).
- Immettere un nome univoco per il servizio Categorie URL e fornire una descrizione secondo necessità.
- Dall'elenco Consenti categorie (Allow Categories), è possibile selezionare le categorie che si desidera bloccare e spostarla nell'elenco Categorie bloccate (Blocked Categories) utilizzando il pulsante freccia sinistra. Analogamente, è possibile selezionare le categorie che si desidera consentire e registrare e spostarla nell'elenco Categorie di monitoraggio (Monitor Categories) utilizzando il pulsante freccia destra.
Nota: I registri vengono acquisiti automaticamente per le regole del firewall che corrispondono alle categorie bloccate e di monitoraggio. Per Consenti categorie, il traffico è consentito ma non registrato.
- Per consentire gli URL con categorieSconosciuta (Unknown), deselezionare la casella di controllo nella parte inferiore.
Nota: Per impostazione predefinita, le categorie Sconosciuta (Unknown) verranno bloccate.
- Fare clic su Salva modifiche (Save Changes). Viene creata una regola del servizio Categoria URL che viene visualizzata nella tabella della pagina Categorie URL (URL Categories).
- Fare clic sul link al Security Service per modificare le impostazioni. Per eliminare un Security Service, selezionare la casella di controllo prima del gruppo e fare clic su Elimina (Delete).
Nota: I Security Services in uso non possono essere eliminati. Se si desidera eliminare un Security Service, è innanzitutto necessario rimuoverlo dal gruppo di servizi di sicurezza e dalle regole del firewall associati.
Per visualizzare l'elenco delle categorie bloccate, delle categorie di monitoraggio e dei gruppi di sicurezza associati al servizio di sicurezza, fare clic sui rispettivi link nelle colonne Categorie bloccate (Blocked Categories), Categorie di monitoraggio (Monitor Categories) e Usato da - Gruppo di sicurezza (Used By - Security Group).
Configura servizio reputazione URL
La reputazione dell'URL garantisce l'affidabilità del sito Web. La classificazione del punteggio di reputazione per URL e indirizzi IP è la seguente:
- 81-100: attendibile
- 61-80: rischio basso
- 41-60: rischio medio
- 21-40: sospetto
- 01-20: rischio alto
-
Nota: Attendibile è la reputazione più sicura e presenta la minor quantità di rischio.
Il servizio di reputazione URL cerca il punteggio degli URL di destinazione e blocca il traffico dell'Edge se i punteggi indicano una minaccia.
- Nel servizio SD-WAN del portale dell'azienda, passare a . Viene visualizzata la pagina Security Services.
- Fare clic sulla scheda Reputazione URL (URL Reputation), quindi fare clic su + Aggiungi regola (+ADD RULE). Viene visualizzata la finestra pop-up Configura servizio reputazione URL (Configure URL Reputation Service).
- Immettere un nome univoco per il servizio Reputazione URL e fornire una descrizione secondo necessità.
- Dal menu a discesa Reputazione minima accettabile (Minimum Acceptable Reputation) selezionare una reputazione accettabile per consentire il traffico da o verso un URL. Una volta configurata la reputazione minima accettabile, tutte le altre reputazione che devono essere bloccate vengono automaticamente elencate nella casella Reputazioni bloccate (Blocked Reputation(s)). Il traffico da o verso un URL inferiore al livello di reputazione URL selezionato verrà bloccato e registrato automaticamente, mentre il traffico al di sopra del livello di reputazione URL selezionato sarà consentito ma non registrato automaticamente. È possibile specificare le reputazioni da registrare utilizzando il menu a discesa Acquisisci registri (Capture Logs).
- Per consentire gli URL con reputazione Sconosciuta (Unknown), deselezionare la casella di controllo nella parte inferiore. Un URL è classificato come con una reputazione "Sconosciuta" quando non sono disponibili informazioni sulla reputazione dal servizio Filtro URL (URL Filtering).
Nota: Per impostazione predefinita, le reputazioni Sconosciuta (Unknown) verrà bloccata.
- Fare clic su Salva modifiche (Save Changes). Viene creata una regola del servizio di reputazione URL che viene visualizzata nella tabella della pagina Reputazione URL (URL Reputation).
- Fare clic sul link al Security Service per modificare le impostazioni. Per eliminare un Security Service, selezionare la casella di controllo prima del gruppo e fare clic su Elimina (Delete).
Configura il servizio IP dannoso
Il blocco degli indirizzi IP può essere utile per proteggere una rete o un sito Web da attività dannose. Il punteggio di reputazione IP assegnato da WebRoot fornisce l'attendibilità dell'IP. Il servizio IP dannoso cerca il punteggio di reputazione IP degli IP di destinazione e blocca il traffico dell'Edge se i relativi punteggi indicano un'attività dannosa.
- Nel servizio SD-WAN del portale dell'azienda, passare a . Viene visualizzata la pagina Security Services.
- Fare clic sulla scheda IP dannoso (Malicious IP), quindi fare clic su + Aggiungi regola (+ADD RULE). Viene visualizzata la finestra pop-up Configura servizio filtro IP dannoso (Configure Malicious IP Filtering Service).
- Immettere un nome univoco per il servizio IP dannoso e fornire una descrizione secondo necessità.
- Dal menu a discesa Azione (Action) selezionare un'azione da eseguire quando viene rilevato il traffico IPv4 da o verso IP dannosi. È possibile selezionare una qualsiasi delle seguenti opzioni:
- Monitora (Monitor): consente e registra automaticamente il traffico IPv4 dal servizio IP dannosi.
- Blocca (Block): blocca e registra automaticamente il traffico IPv4 dal servizio IP dannosi.
Nota: Se l'IP non è dannoso, il traffico IPv4 è consentito ma non registrato. - Fare clic su Salva modifiche (Save Changes). Viene creata una regola del servizio IP dannoso che viene visualizzata nella tabella della pagina IP dannoso (Malicious IP).
- Fare clic sul link al Security Service per modificare le impostazioni. Per eliminare un Security Service, selezionare la casella di controllo prima del gruppo e fare clic su Elimina (Delete).
Configurazione del servizio di sicurezza IDS/IPS
- Nel servizio SD-WAN del portale dell'azienda, passare a . Viene visualizzata la pagina Security Services.
- Fare clic sulla scheda IDS/IPS, quindi fare clic su + Aggiungi regola (+ADD RULE). Viene visualizzata la finestra pop-up Configura servizio di sicurezza IDS/IPS (Configure IDS/IPS Security Service).
- Immettere un nome univoco per il servizio IDS/IPS e fornire una descrizione secondo necessità.
- Nella sezione Rilevamento e prevenzione delle intrusioni (Intrusion Detection and Prevention) attivare l'interruttore Rilevamento intrusioni (IDS) e/o Prevenzione intrusioni (IPS). Quando un utente attiva solo IPS, IDS viene attivato automaticamente. Il motore EFS ispeziona il traffico inviato/ricevuto tramite gli Edge e associa i contenuti alle firme configurate nel motore EFS. Le firme IDS/IPS vengono aggiornate in modo continuativo con una licenza EFS valida. Per ulteriori informazioni sul EFS, vedere Panoramica Enhanced Firewall Services.
- Rilevamento intrusioni (Intrusion Detection): quando IDS è attivato negli Edge, gli Edge rilevano se il flusso di traffico è dannoso o meno in base a determinate firme configurate nel motore. Se viene rilevato un attacco, il motore EFS genera un avviso e invia il messaggio di avviso a SASE Orchestrator/server syslog se la registrazione del firewall è attivata in Orchestrator.
- Prevenzione intrusioni (Intrusion Prevention): quando IPS è attivato negli Edge, gli Edge rilevano se il flusso di traffico è dannoso o meno in base a determinate firme configurate nel motore. Se viene rilevato un attacco, il motore EFS genera un avviso e blocca il flusso di traffico verso il client se l'azione nella regola della firma è "Rifiuta". Se l'azione nella regola della firma è "Avviso (Alert)", il traffico sarà consentito senza rilasciare alcun pacchetto anche se si configura IPS.
Nota: VMware consiglia ai clienti di non attivare VNF quando IDS/IPS è attivato negli Edge. - Dal menu a discesa Log selezionare Sì (Yes) se si desidera inviare i registri IDS/IPS a Orchestrator.
- Fare clic su Salva modifiche (Save Changes). Viene creata una regola del servizio IDS/IPS che viene visualizzata nella tabella della pagina della IDS/IPS.
- Fare clic sul link al Security Service per modificare le impostazioni. Per eliminare un Security Service, selezionare la casella di controllo prima del gruppo e fare clic su Elimina (Delete).
Configura gruppo di servizi di sicurezza
- Nel servizio SD-WAN del portale dell'azienda, passare a . Viene visualizzata la pagina Security Services.
- Fare clic sulla scheda Gruppo di servizi di sicurezza (Security Service Group) e quindi su + CREA GRUPPO (+ CREATE GROUP). Viene visualizzata la pagina Nuovo gruppo di servizi di sicurezza (New Security Service Group).
- Se si desidera creare un nuovo gruppo di servizi da uno esistente, scegliere un'opzione dal menu a discesa Duplica gruppo di servizi di sicurezza (Duplicate Security Service Group) e rinominare solo il nome della regola. Tutte le altre configurazioni verranno applicate automaticamente dal gruppo di servizi di sicurezza selezionato.
- Per creare un nuovo gruppo di servizi, immettere un nome univoco per il gruppo di servizi di sicurezza e fornire una descrizione secondo necessità.
- Nella sezione Crea gruppo di servizi di sicurezza (Create Security Service Group) è possibile selezionare i servizi di sicurezza già creati per Categorie URL, Reputazione URL, IP dannoso e IDS/IPS e raggrupparli per creare un gruppo di sicurezza. Se non si desidera utilizzare i servizi già creati, è possibile fare clic sul pulsante Nuovo (New) e creare un nuovo servizio di sicurezza per associarlo al gruppo di sicurezza. Fare clic sul pulsante Visualizza (View) per visualizzare i dettagli di configurazione del servizio di sicurezza selezionato.
- Fare clic su Salva modifiche (Save Changes). Viene creato un gruppo di servizi di sicurezza che viene visualizzato nella tabella della pagina Gruppo servizio di sicurezza (Security Service Group).
- Fare clic sul link al gruppo servizio di sicurezza per modificare le impostazioni. Per eliminare un gruppo servizio di sicurezza, selezionare la casella di controllo prima del gruppo e fare clic su Elimina (Delete).
Nota: Il gruppo servizio di sicurezza in uso non può essere eliminato. Se si desidera eliminare un gruppo di servizi di sicurezza, è necessario prima rimuoverlo dalle regole del firewall associate.
Associazione di un gruppo di servizi di sicurezza a una regola del firewall a livello di profilo
- Nel servizio SD-WAN del portale dell'azienda, passare a . Nella pagina Profili (Profiles) vengono visualizzati i profili esistenti.
- Selezionare un profilo per configurare una regola del firewall e fare clic sulla scheda Firewall.
- Passare alla sezione Configura firewall (Configure Firewall) e nell'area Regole firewall (Firewall Rules) fare clic su + NUOVA REGOLA (NEW RULE). Viene visualizzata la pagina Nuova regola (New Rule).
- Nella casella di testo Nome regola (Rule Name), immettere un nome univoco per la regola. Per creare una regola del firewall da una regola esistente, selezionare la regola da duplicare dal menu a discesa Regola duplicata (Duplicate Rule).
- Nelle sezioni Corrispondenza (Match) e Azione firewall (Firewall Action), configurare rispettivamente le condizioni di corrispondenza per la regola e le azioni da eseguire quando il traffico corrisponde ai criteri definiti. Per ulteriori informazioni, vedere Configurazione delle regole del firewall.
- Nella sezione Security Services, configurare il servizio di sicurezza per la regola selezionando un gruppo di servizi di sicurezza dal menu a discesa. Verrà visualizzato un riepilogo di tutti i servizi di sicurezza configurati all'interno del gruppo di servizi di sicurezza. È possibile fare clic sul pulsante Visualizza (View) in corrispondenza di ciascuno dei servizi di sicurezza per visualizzare i dettagli della configurazione.
Nota: Security Services può essere attivato nella regola solo se l'azione Firewall è Consenti (Allow). Se l'Azione firewall è diversa da Consenti (Allow), Security Services verrà disattivato.
- Dopo aver configurato tutte le impostazioni necessarie, fare clic su Crea (Create). Viene creata una regola del firewall per il profilo selezionato e viene visualizzata nell'area Regole firewall (Firewall Rules) della pagina Firewall profilo (Profile Firewall).
- Fare clic su Salva modifiche (Save Changes).
- Nel servizio SD-WAN del portale dell'azienda, passare a . Nella pagina Profili (Profiles) vengono visualizzati i profili esistenti.
- Selezionare un profilo per configurare una regola del firewall e fare clic sulla scheda Firewall.
- Passare alla sezione Configura firewall (Configure Firewall) e nell'area Regole firewall (Firewall Rules) selezionare il nome della regola per cui si desidera modificare la configurazione del servizio di sicurezza.
- Nella sezione Security Services, selezionare un gruppo di servizi diverso da associare alla regola e fare clic su Modifica (Edit).
- Fare clic su Salva modifiche (Save Changes).
Associazione di un gruppo di servizi di sicurezza a una regola del firewall a livello di Edge
- Nel servizio SD-WAN del portale dell'azienda, passare a . Nella pagina Edge (Edges) sono visualizzati gli Edge esistenti.
- Per configurare un Edge, fare clic sul link dell'Edge o sul link Visualizza (View) nella colonna Firewall dell'Edge.
- Fare clic sulla scheda Firewall.
- Passare alla sezione Configura firewall (Configure Firewall) e nell'area Regole firewall (Firewall Rules), è possibile creare una nuova regola con le configurazioni del servizio di sicurezza o modificare le impostazioni del servizio di sicurezza della regola esistente. Eseguire la procedura descritta nel passaggio 6 della sezione Associazione di un gruppo di servizi di sicurezza a una regola del firewall a livello di profilo.
Nota: Le regole create a livello di profilo non possono essere aggiornate a livello di Edge. Per sostituire la regola, l'utente deve creare la stessa regola a livello di Edge con nuovi parametri per sostituire la regola a livello di profilo.
- Dopo aver configurato tutte le impostazioni necessarie, fare clic su Crea (Create). Viene creata una regola del firewall per l'Edge selezionato e viene visualizzata nell'area Regole firewall (Firewall Rules) della pagina Firewall Edge (Edge Firewall).
- Fare clic su Salva modifiche (Save Changes).