拡張ファイアウォール サービス (EFS) サービスは、VMware SD-WAN Edge の追加の EFS セキュリティ機能を提供します。NSX セキュリティを搭載した EFS 機能は、VMware SD-WAN Edge の侵入検知システム (IDS) および侵入防止システム (IPS) サービスをサポートします。Edge のファイアウォール EFS は、ブランチ間、ブランチからハブ、またはブランチからインターネットのトラフィック パターン全体の侵入から Edge トラフィックを保護します。
現在、SD-WAN Edge ファイアウォールは、追加の EFS セキュリティ機能を使用せずに、ステートフル インスペクションとアプリケーション識別を提供しています。ステートフル ファイアウォール SD-WAN Edge はセキュリティを提供しますが、適切ではなく、VMware SD-WAN とネイティブに統合された EFS セキュリティを提供する際にギャップが発生します。Edge EFS はこれらのセキュリティ ギャップに対処し、VMware SD-WAN と組み合わせた SD-WAN Edge 上で強化されたファイアウォール サービスをネイティブに提供します。
カスタマーは、VMware SASE Orchestrator のファイアウォール機能を使用して EFS を設定および管理できます。
制限事項
- EFS を有効にすると、静的アドレス指定のみがサポートされます。DHCPv4 クライアント、DHCPv6 クライアント、DHCPv6 PD、IPv6 SLAAC などの LAN ネットワークでは、動的アドレスを使用しないでください。
動的アドレス指定が使用されており、RFC1918 に記載されているように IPv4 のアドレスがプライベート アドレス範囲外、IPv6 のアドレスが ULA アドレス範囲外の場合、アドレスが suricata.yaml の HOME_NETWORK 設定の一部ではないため、ルールの一致が発生しない可能性があります。