拡張ファイアウォール サービス (EFS) は、VMware SD-WAN Edge の追加の EFS セキュリティ機能を提供します。NSX Security を利用した EFS 機能は、VMware SD-WAN Edge 上の URL カテゴリ フィルタリング、URL レピュテーション フィルタリング、悪意のある IP アドレスのフィルタリング、侵入検知システム (IDS) および侵入防止システム (IPS) サービスをサポートします。Edge 拡張ファイアウォール サービス (EFS) は、ブランチ間、ブランチ間、またはブランチ間のトラフィック パターン全体の侵入から Edge トラフィックを保護します。
現在、SD-WAN Edge ファイアウォールは、追加の EFS セキュリティ機能を使用せずに、ステートフル インスペクションとアプリケーション識別を提供しています。ステートフル ファイアウォール SD-WAN Edge はセキュリティを提供しますが、適切ではなく、VMware SD-WAN とネイティブに統合された EFS セキュリティを提供する際にギャップが発生します。Edge EFS はこれらのセキュリティ ギャップに対処し、VMware SD-WAN と組み合わせた SD-WAN Edge 上で強化された脅威保護をネイティブに提供します。
カスタマーは、VMware SASE Orchestrator のファイアウォール機能を使用して EFS 機能を設定および管理できます。カスタマーは、URL または IP アドレスの IDS/IPS シグネチャの一致、カテゴリ、レピュテーションに基づいて Web トラフィックをブロックするようにファイアウォール ルールを設定できます。
制限事項
- EFS が有効で、IDS/IPS が設定されている場合、静的アドレス指定のみがサポートされます。DHCPv4 クライアント、DHCPv6 クライアント、DHCPv6 PD、IPv6 SLAAC などの LAN ネットワークでは、動的アドレスを使用しないでください。
動的アドレス指定が使用されており、RFC1918 に記載されているように IPv4 のアドレスがプライベート アドレス範囲外、IPv6 のアドレスが ULA アドレス範囲外の場合、アドレスが suricata.yaml の HOME_NETWORK 設定の一部ではないため、ルールの一致が発生しない可能性があります。