Os clientes podem configurar e gerir os serviços de firewall melhorados (EFS) com a funcionalidade de Firewall no VMware SASE Orchestrator.

Antes de começar

Para que a funcionalidade EFS funcione:
  • Verifique se a versão do Edge está atualizada para 5.2.0.0.
  • Verifique se a funcionalidade EFS está ativada ao nível da empresa. Contacte o operador se desejar que a funcionalidade EFS seja ativada. Um operador pode ativar a funcionalidade EFS na página da IU SD-WAN > Definições globais (Global Settings) > Configuração do cliente (Customer Configuration) > Definições SD-WAN (SD-WAN Settings) > Acesso a funcionalidade (Feature Access).

Configurar as definições de regra EFS ao nível do perfil

  1. No serviço SD-WAN do portal da empresa, aceda a Configurar (Configure) > Perfis (Profiles). A página Perfis (Profiles) apresenta os perfis existentes.
  2. Para configurar uma firewall de perfil, clique na ligação para o perfil e, em seguida, clique no separador Firewall. Como alternativa, pode também clicar na ligação Ver (View) na coluna Firewall do perfil.
  3. É apresentada a página Firewall.
  4. Ative o botão de alternar Serviços de firewall melhorados (Enhanced Firewall Services) para ativar a funcionalidade EFS para todos os Edges associados ao perfil. Por predefinição, esta funcionalidade não está ativada.
  5. Em Regras de firewall (Firewall Rules), pode criar uma nova regra EFS ou modificar uma regra de firewall existente para as definições EFS.
    • Para criar uma nova regra EFS:
      1. Clique no botão + Nova regra (+ New Rule).
      2. Na caixa de texto Nome da regra (Rule Name), introduza um nome exclusivo para a regra. Para criar uma regra de firewall a partir de uma regra existente, selecione a regra a duplicar no menu pendente Duplicar regra (Duplicate Rule).
      3. Configure as condições de Correspondência (Match) e Ações de firewall (Firewall Actions) a serem executadas quando o tráfego corresponder aos critérios de correspondência definidos. Para obter mais informações, consulte Configurar a regra de firewall.
      4. Selecione a caixa de verificação IDS/IPS e ative a opção IDS ou IPS para criar a Firewall. Quando o utilizador ativa apenas o IPS, o IDS será ativado automaticamente. O motor EFS inspeciona o tráfego enviado/recebido através dos Edges e estabelece a correspondência entre o conteúdo e as assinaturas configuradas no motor EFS.
        Nota: O EFS só poderá ser ativado na regra se a ação de Firewall for Permitir (Allow). Se a ação de Firewall for diferente de Permitir (Allow), o EFS será desativado.
        • Sistema de deteção de intrusões (Intrusion Detection System) – Quando o IDS é ativado nos Edges, os Edges detetam se o fluxo de tráfego é malicioso ou não baseado em determinadas assinaturas configuradas no motor. Se for detetado um ataque, o motor EFS gerará um alerta e enviará a mensagem de alerta para o SASE Orchestrator/servidor Syslog se o registo da firewall estiver ativado no Orchestrator e não perderá qualquer pacote.
        • Sistema de prevenção de intrusões (Intrusion Detection System) – Quando o IPS é ativado nos Edges, os Edges detetam se o fluxo de tráfego é malicioso ou não baseado em determinadas assinaturas configuradas no motor. Se o ataque for detetado, o motor EFS gerará um alerta e bloqueará o fluxo de tráfego para o cliente apenas se a regra de assinatura tiver a ação “Rejeitar” (Reject), correspondida pelo tráfego malicioso. Se a ação na regra de assinatura for “Alerta” (Alert), o tráfego será permitido sem perder qualquer pacote, mesmo que configure o IPS.
        Nota: A VMware recomenda que o cliente não ative o VNF quando o IDS/IPS estiver ativado nos Edges.
      5. Para enviar os registos do EFS para o Orchestrator, ative o botão de alternar Capturar registo de EFS (Capture EFS Log).
        Nota: Para que um Edge envie os registos de Firewall para o Orchestrator, certifique-se de que a funcionalidade do cliente “Ativar registo da firewall no Orchestrator” (Enable Firewall logging to Orchestrator) está ativada ao nível do cliente na página da IU “Definições globais” (Global Settings). Os clientes têm de entrar em contacto com o operador se desejarem ativar a funcionalidade Registo da firewall (Firewall Logging).
      6. Clique em Criar (Create).
    • Para modificar uma regra de firewall existente para as definições EFS:
      1. Na área Regras de firewall (Firewall Rules) da página Firewall de perfil (Profile Firewall), clique na ligação na coluna Nome da regra (Rule name) de uma firewall existente a ser modificada.
      2. Modifique as definições de IDS/IPS e clique em Editar (Edit).
  6. Clique em Guardar alterações (Save Changes).

Configurar as definições de regra EFS ao nível do Edge

  1. No serviço SD-WAN do portal da empresa, aceda a Configurar (Configure) > Edges. A página Edges apresenta os Edges existentes.
  2. Para configurar um Edge, clique na ligação para o Edge ou clique na ligação Ver (View) na coluna Firewall do Edge.
  3. Clique no separador Firewall.
  4. Para sobrepor as definições herdadas do EFS para um Edge específico, selecione a caixa de verificação Sobrepor (Override) e ative o botão de alternar junto à etiqueta da IU Serviços de firewall melhorados (Enhanced Firewall Services).
  5. Na área Regras de firewall (Firewall Rules) da página Firewall do Edge (Edge Firewall), pode criar uma nova regra EFS ou sobrepor as definições herdadas da regra EFS para o Edge. Siga o procedimento descrito no Passo 5 da secção Configurar as definições de regra EFS ao nível do perfil.
  6. Após sobrepor as definições da regra EFS, clique em Guardar alterações (Save Changes).

Nota: As regras de firewall dos Edges existentes que não forem atualizadas para a versão 5.2.0 não terão qualquer impacto quando ativar o serviço EFS no nível de definição global ou por nível de regra com IDS/IPS.