カスタマーは、VMware SASE Orchestrator のファイアウォール機能を使用して拡張ファイアウォール サービス (EFS) を設定および管理できます。

開始する前に

EFS 機能を使用するには、次の手順を実行します。
  • Edge のバージョンが 5.2.0.0 にアップグレードされていることを確認します。
  • EFS 機能がエンタープライズ レベルで有効になっていることを確認します。EFS 機能を有効にする必要がある場合は、オペレータにお問い合わせください。オペレータは、[SD-WAN] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [SD-WAN 設定 (SD-WAN Settings)] > [機能アクセス (Feature Access)] ユーザー インターフェイス ページから EFS 機能を有効にできます。

プロファイル レベルでの EFS ルールの設定

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [プロファイル (Profiles)] の順に移動します。[プロファイル (Profiles)] ページに既存のプロファイルが表示されます。
  2. プロファイルのファイアウォールを設定するには、プロファイルへのリンクをクリックし、[ファイアウォール (Firewall)] タブをクリックします。または、プロファイルの [ファイアウォール (Firewall)] 列で [表示 (View)] リンクをクリックすることもできます。
  3. [ファイアウォール (Firewall)] ページが表示されます。
  4. [拡張ファイアウォール サービス (EFS) (Enhanced Firewall Services)] トグル ボタンをオンにして、プロファイルに関連付けられているすべての Edge の EFS 機能を有効にします。デフォルトでは、この機能は有効になっていません。
  5. [ファイアウォール ルール (Firewall Rules)] で、新しい EFS ルールを作成したり、EFS 設定の既存のファイアウォール ルールを変更したりできます。
    • 新しい EFS ルールを作成するには、次の手順を実行します。
      1. [+新規ルール (+New Rule)] ボタンをクリックします。
      2. [ルール名 (Rule Name)] テキスト ボックスに、ルールの一意の名前を入力します。既存のルールからファイアウォール ルールを作成するには、[ルールの複製 (Duplicate Rule)] ドロップダウン メニューから複製するルールを選択します。
      3. [一致 (Match)] 条件と [ファイアウォール アクション (Firewall Actions)] を設定し、定義された一致基準にトラフィックが一致するとアクションが実行されるようにします。詳細については、ファイアウォール ルールの設定を参照してください。
      4. [IDS/IPS] チェックボックスをオンにし、IDS または IPS トグルを有効にして、ファイアウォールを作成します。ユーザーが IPS のみを有効にすると、IDS が自動的に有効になります。EFS エンジンは、Edge を介して送受信されたトラフィックを検査し、コンテンツを EFS エンジンで設定された署名と照合します。
        注: ファイアウォール アクションが [許可 (Allow)] の場合にのみ、ルールで EFS を有効にできます。ファイアウォール アクションが [許可 (Allow)] 以外の場合、EFS は無効になります。
        • [侵入検知システム (IDS)] - Edge で IDS が有効になっている場合、Edge は、エンジンで設定された特定のシグネチャに基づいてトラフィック フローが悪意のあるものかどうかを検出します。攻撃が検出されると、Orchestrator でファイアウォールのログ作成が有効になっている場合、EFS エンジンはアラートを生成し、アラート メッセージを SASE Orchestrator/Syslog サーバに送信します。パケットはドロップされません。
        • [侵入防止システム (IPS)] - Edge で IPS が有効になっている場合、Edge は、エンジンで設定された特定のシグネチャに基づいてトラフィック フローが悪意のあるものかどうかを検出します。攻撃が検出されると、EFS エンジンはアラートを生成し、シグネチャ ルールのアクションが「拒否 (Reject)」で、悪意のあるトラフィックと一致する場合にのみ、クライアントへのトラフィック フローをブロックします。シグネチャ ルールのアクションが「アラート (Alert)」の場合、IPS を設定している場合でもパケットをドロップせずにトラフィックが許可されます。
        注: VMware では、Edge で IDS/IPS が有効になっている場合、カスタマーは VNF を有効にしないことをお勧めします。
      5. EFS ログを Orchestrator に送信するには、[EFS ログのキャプチャ (Capture EFS Log)] トグル ボタンをオンにします。
        注: Edge がファイアウォールのログを Orchestrator に送信できるようにするには、[グローバル設定 (Global Settings)] ユーザー インターフェイス ページのカスタマー レベルで「Orchestrator のファイアウォール ログ作成の有効化 (Enable Firewall Logging to Orchestrator)」カスタマー機能が有効になっていることを確認します。ファイアウォールのログ作成機能を有効にする場合は、オペレータにお問い合わせください。
      6. [作成 (Create)] をクリックします。
    • EFS 設定の既存のファイアウォール ルールを変更するには、次の手順を実行します。
      1. [プロファイル ファイアウォール (Profile Firewall)] ページの [ファイアウォール ルール (Firewall Rules)] 領域で、変更する既存のファイアウォールの [ルール名 (Rule name)] 列の下にあるリンクをクリックします。
      2. [IDS/IPS] 設定を変更し、[編集 (Edit)] をクリックします。
  6. [変更の保存 (Save Changes)] をクリックします。

Edge レベルでの EFS ルールの設定

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [Edge (Edges)] の順に移動します。[Edge (Edges)] ページに既存の Edge が表示されます。
  2. Edge を設定するには、Edge へのリンクをクリックするか、Edge の [ファイアウォール (Firewall)] 列にある [表示 (View)] リンクをクリックします。
  3. [ファイアウォール (Firewall)] タブをクリックします。
  4. 特定の Edge の継承された EFS 設定を上書きするには、[上書き (Override)] チェックボックスをオンにして、[拡張ファイアウォール サービス (Enhanced Firewall Services)] ユーザー インターフェイス ラベルの横にあるトグル ボタンをオンにします。
  5. [Edge のファイアウォール (Edge Firewall)] ページの [ファイアウォール ルール (Firewall Rules)] 領域で、新しい EFS ルールを作成するか、Edge の継承された EFS ルール設定を上書きできます。プロファイル レベルでの EFS ルールの設定セクションの手順 5 で説明する手順に従います。
  6. EFS ルールの設定を上書きしたら、[変更の保存 (Save Changes)] をクリックします。

注: グローバル設定レベルまたは IDS/IPS のルール レベルで EFS サービスを有効にした場合、5.2.0 リリースにアップグレードされていない既存の Edge のファイアウォール ルールは影響しません。