Por predefinição, todos os Edges herdam as regras de firewall, as definições dos serviços de firewall melhorados (EFS), as definições de firewall com estado, as definições de proteção de rede e flood, o registo da firewall, encaminhamento Syslog e configurações de acesso Edge a partir do perfil associado.

Nota: Para que o registo de firewalls para o Orchestrator funcione, certifique-se de que os Edges SD-WAN estão a ser executados na versão 5.2 e superior.
No separador Firewall da caixa de diálogo Configuração de Edge (Edge Configuration), pode ver todas as regras de firewall herdadas na área Regra do perfil (Rule From Profile). Opcionalmente, ao nível do Edge, também pode sobrepor as regras de firewall herdadas e várias definições da firewall.
  1. No serviço SD-WAN do portal da empresa, aceda a Configurar (Configure) > Edges.
  2. Selecione um Edge para o qual pretende sobrepor as definições de firewall herdadas e clique no separador Firewall.
  3. Selecione a caixa de verificação Sobrepor (Override) nas várias definições de Firewall se desejar modificar as regras e definições herdadas da Firewall para o Edge selecionado.
    Nota: As regras de sobreposição de configuração do Edge terão prioridade sobre as regras de perfil herdadas do Edge. Qualquer valor de correspondência de sobreposição da Firewall que seja o mesmo que qualquer regra de Firewall do Perfil irá sobrepor essa regra de Perfil.
  4. Ao nível do Edge, pode configurar o Encaminhamento de porta e as regras NAT 1:1 IPv4 ou IPv6 individualmente ao navegar para Definições Adicionais > ACLs de entrada (Additional Settings > Inbound ACLs). Para obter informações detalhadas, consulte Regras de encaminhamento de porta e Definições NAT 1:1.
    Nota: Por predefinição, todo o tráfego de entrada será bloqueado a menos que as regras de encaminhamento de porta e de firewall NAT 1:1 estejam configuradas. O IP externo será sempre o do endereço IP WAN ou do endereço IP da sub-rede IP WAN.
    Nota: Ao configurar o Encaminhamento de porta IPv6 e as regras NAT 1:1, só pode introduzir o endereço IP Global ou Unicast e não pode introduzir o Endereço local de ligação.

Regras de encaminhamento de porta e de firewall NAT 1:1

Nota: Pode configurar as regras de encaminhamento de portas e de NAT 1:1 individualmente apenas ao nível do Edge.

As regras de encaminhamento de porta e de firewall NAT 1:1 dão aos clientes da Internet acesso a servidores ligados a uma interface LAN do Edge. O acesso pode ser disponibilizado através das regras de encaminhamento de porta ou NAT 1:1 (Tradução de endereços de rede).

Regras de encaminhamento de porta

As regras de encaminhamento de porta permitem configurar regras para redirecionar o tráfego de uma porta WAN específica para um dispositivo (porta IP LAN/LAN) dentro da sub-rede local. Opcionalmente, também pode restringir o tráfego de entrada por um IP ou uma sub-rede. É possível configurar as regras de encaminhamento de portas com o IP externo que está na mesma sub-rede do IP WAN. Também poderá traduzir endereços IP externos em sub-redes diferentes do endereço de interface WAN se o ISP encaminhar o tráfego para a sub-rede em direção ao SD-WAN Edge.

A figura a seguir ilustra a configuração do encaminhamento de porta.

Na secção Regras de encaminhamento de porta (Port Forwarding Rules), pode configurar as regras de encaminhamento de porta com endereço IPv4 ou IPv6 ao clicar no botão +Adicionar (+Add) e, em seguida, introduzir os seguintes detalhes.

  1. Na caixa de texto Nome (Name), introduza um nome (opcional) para a regra.
  2. No menu pendente Protocolo (Protocol), selecione TCP ou UDP como o protocolo para o encaminhamento de porta.
  3. No menu pendente Interface, selecione a interface para o tráfego de entrada.
  4. Na caixa de texto IP externo (Outside IP), introduza o endereço IPv4 ou IPv6 através do qual é possível aceder ao anfitrião (aplicação) a partir de uma rede externa.
  5. Na caixa de texto Portas WAN (WAN Ports), introduza uma porta WAN ou um intervalo de portas separado com um traço (-), por exemplo, 20-25.
  6. Nas caixas de texto IP LAN (LAN IP) e Porta LAN (LAN Port), introduza o endereço IPv4 e IPv6 e o número de porta da LAN para onde o pedido será encaminhado.
  7. No menu pendente Segmento (Segment), selecione um segmento ao qual o IP LAN irá pertencer.
  8. Na caixa de texto IP/Sub-rede remotos (Remote IP/subnet), especifique um endereço IP de um tráfego de entrada que pretende que seja encaminhado para um servidor interno. Se não especificar nenhum endereço IP, será permitido qualquer tráfego.
  9. Selecione a caixa de verificação Registo (Log) para ativar o registo para esta regra.
  10. Clique em Guardar alterações (Save Changes).

Definições NAT 1:1

Estas são utilizadas para mapear um endereço IP externo suportado pelo SD-WAN Edge para um servidor ligado a uma interface LAN do Edge (por exemplo, um servidor Web ou um servidor de e-mail). Também pode traduzir endereços IP externos em sub-redes diferentes do endereço de interface WAN se o ISP encaminhar o tráfego para a sub-rede em direção ao SD-WAN Edge. Cada mapeamento está entre um endereço IP fora da firewall para uma interface WAN específica e um endereço IP LAN dentro da firewall. Dentro de cada mapeamento, pode especificar que portas serão encaminhadas para o endereço IP interno. O ícone "+" à direita pode ser utilizado para adicionar definições adicionais de NAT 1:1.

A figura a seguir ilustra a configuração NAT 1:1.

Na secção Regras NAT 1:1 (1:1 NAT Rules), pode configurar as regras NAT 1:1 com endereço IPv4 ou IPv6 ao clicar no botão + Adicionar (+Add) e, em seguida, introduzir os seguintes detalhes.

  1. Na caixa de texto Nome (Name), introduza um nome para a regra.
  2. Na caixa de texto IP externo (Outside IP), introduza o endereço IPv4 ou IPv6 através do qual é possível aceder ao anfitrião a partir de uma rede externa.
  3. No menu pendente Interface, selecione a interface WAN onde o endereço IP externo será vinculado.
  4. Na caixa de texto IP interno (LAN) [Inside (LAN) IP], insira o endereço IPv4 ou IPv6 (LAN) real do anfitrião.
  5. No menu pendente Segmento (Segment), selecione um segmento ao qual o IP LAN irá pertencer.
  6. Selecione a caixa de verificação Tráfego de saída (Outbound Traffic) se pretender permitir que o tráfego do cliente LAN para a Internet seja “NATeado” para o endereço IP externo.
  7. Introduza os detalhes da origem de tráfego permitida (Protocolo, Portas, IP/Sub-rede remotos) para o mapeamento nos respetivos campos.
  8. Selecione a caixa de verificação Registo (Log) para ativar o registo para esta regra.
  9. Clique em Guardar alterações (Save Changes).