Uma firewall é um dispositivo de segurança de rede que monitoriza o tráfego de rede de entrada e saída e decide se permite ou bloqueia tráfego específico com base num conjunto definido de regras de segurança. O SD-WAN Orchestrator suporta a configuração de firewalls sem estado e com estado para perfis e Edges.
Para obter mais informações sobre a firewall, consulte Configurar a firewall.
Para configurar uma firewall com a nova IU do Orchestrator:
- No portal da empresa, clique na opção Abrir nova IU Orchestrator (Open New Orchestrator UI) disponível na parte superior da janela.
- Clique em Lançamento de nova IU do Orchestrator (Launch New Orchestrator UI) na janela de pop-up.
- A IU é aberta num novo separador que apresenta as opções de monitorização e configuração.
- Na nova IU, clique em Perfis (Profiles) apresenta os perfis existentes. . A página
- Para configurar um perfil, clique na ligação para o Perfil ou clique na ligação Ver (View) na coluna Dispositivo (Device) do perfil. As opções de configuração são apresentadas no separador Dispositivo (Device).
- Clique no separador Firewall.
A partir da página Perfis (Profiles), pode navegar diretamente para a página Firewall ao clicar na ligação Ver (View) na coluna Firewall do Perfil.
- O separador Firewall apresenta o seguinte:
- Acesso Edge (Edge Access) - permite-lhe configurar um perfil para acesso Edge. Tem de se certificar de que seleciona a opção adequada para Acesso de suporte (Support access), Acesso de consola (Console access), Acesso à porta USB (USB port access), Acesso SNMP (SNMP access) e Acesso IU Web local (Local Web UI access) nas definições de firewall para tornar o Edge mais seguro. Evitará, assim , que qualquer utilizador malicioso aceda ao Edge. Por predefinição, as opções Acesso de suporte (Support Access), Acesso de consola (Console access), Acesso SNMP (SNMP Access) e Acesso IU Web local (Local Web UI Access) estão desativadas por razões de segurança. Para mais informações, consulte Configurar Acesso Edge (Configuring Edge access).
- Estado da firewall (Firewall Status) - permite-lhe ligar ou desligar as regras de firewall, configurar as definições de firewall e ACLs de entrada para todos os Edges associados ao Perfil.
Nota: Pode desativar a função Firewall para perfis ao definir Estado da Firewall (Firewall Status) como desligado.
- Encaminhamento Syslog (Syslog Forwarding) - por predefinição, a funcionalidade Encaminhamento Syslog está desativada para as empresas. Para recolher eventos de vinculação SD-WAN Orchestrator e registos da firewall originários do SD-WAN Edge empresarial para um ou mais coletores Syslog remotos centralizados (servidores), um utilizador empresarial tem de ativar esta funcionalidade a nível empresarial. Para configurar os detalhes do coletor Syslog por segmento no SD-WAN Orchestrator, consulte Configurar as definições Syslog para os perfis.
Nota: Pode ver os detalhes de registo da firewall IPv4 e IPv6 num servidor syslog com base em IPv4.
- Regras de firewall (Firewall Rules) - as regras de firewall predefinidas existentes são apresentadas. Pode clicar em + NOVA REGRA (+ NEW RULE) para criar uma nova regra de firewall. Para mais informações, consulte Configurar regra de firewall com a nova IU do Orchestrator. Para eliminar as regras de firewall existentes, selecione as caixas de verificação junto às regras e clique em ELIMINAR (DELETE). Para duplicar uma regra de Firewall, selecione a regra e clique em CLONAR (CLONE).
- Stateful Firewall (Firewall com estado) - por predefinição, a funcionalidade Firewall com estado está ativada para as empresas. Para desativar a funcionalidade Firewall com estado (Stateful Firewall) para uma empresa, contacte um operador com a permissão de superutilizador. Para obter mais informações, consulte Configurações de definições de firewall com estado (Configuring Stateful Firewall Settings).
- Proteção de rede e flood (Network & Flood Protection) - para proteger todas as tentativas de ligação numa rede empresarial, o VMware SD-WAN Orchestrator permite-lhe configurar as definições de proteção de rede e flood aos níveis do perfil e do Edge, para proteger contra vários tipos de ataques. Para obter mais informações, consulte Configurações de definições de proteção de rede e flood.
Por predefinição, todos os Edges herdam as regras de firewall, as definições de firewall com estado, as definições de proteção de rede e flood e configurações de acesso Edge a partir do perfil associado. No separador
Firewall da caixa de diálogo
Configuração de Edge (Edge Configuration), pode ver todas as regras de firewall herdadas na área
Regra do perfil (Rule From Profile). Opcionalmente, ao nível do Edge, também pode anular as regras de firewall do perfil e a configuração de acesso Edge através dos passos abaixo.
- Na nova IU, clique em .
- Selecione um Edge para o qual pretende anular as definições de firewall herdadas e clique no separador Firewall.
- Se quiser modificar as regras de perfil herdadas e as definições de firewall do Edge, selecione a caixa de verificação Anular (Override).
Nota: As regras de anulação aparecerão na área Anulações de Edge (Edge Overrides). As regras de anulações do Edge terão prioridade sobre as regras de perfil herdadas do Edge. Qualquer valor de correspondência de anulação da Firewall que seja o mesmo que qualquer regra de Firewall do Perfil irá anular essa regra de Perfil.
- Ao nível do Edge, pode configurar o Encaminhamento de porta e as regras NAT 1:1 IPv4 ou IPv6 individualmente ao navegar para Definições Adicionais > ACLs de entrada (Additional Settings > Inbound ACLs). Para informações detalhadas sobre a configuração do Encaminhamento de porta e as regras NAT 1:1, consulte Configurar a firewall para os Edges.
Nota: Ao configurar o Encaminhamento de porta IPv6 e as regras NAT 1:1, só pode introduzir o endereço IP Global ou Unicast e não pode introduzir o Endereço local de ligação.