您可以使用第三方防火牆,透過 SD-WAN Edge 上的 VNF 部署及轉送流量。
只有操作員可以啟用安全性 VNF 組態。如果您無法使用安全性 VNF (Security VNF) 選項,請連絡您的操作員。
必要條件
確保您具有下列項目:
- SD-WAN Orchestrator 及已啟動並執行支援部署特定安全性 VNF 軟體版本的 SD-WAN Edge。如需有關受支援軟體版本和 Edge 平台的詳細資訊,請參閱安全性 VNF 中的支援對照表。
- 已設定 VNF 管理服務。如需詳細資訊,請參閱設定 VNF 管理服務。
程序
- 在企業入口網站中,按一下。
- 在 Edge 頁面中按一下 Edge 旁的裝置 (Device) 圖示,或按一下 Edge 的連結,然後按一下裝置 (Device) 索引標籤。
- 在裝置 (Device) 索引標籤中,向下捲動至安全性 VNF (Security VNF) 區段,然後按一下編輯 (Edit)。
- 在 Edge VNF 組態 (Edge VNF Configuration) 視窗中,勾選部署 (Deploy) 核取方塊。
- 在虛擬機器組態 (VM Configuration) 中設定下列項目:
- VLAN – 從下拉式清單中選擇要用於 VNF 管理的 VLAN。
- VM-1 IP – 輸入虛擬機器的 IP 位址,並確保 IP 位址位於所選 VLAN 的子網路範圍內。
- VM-1 主機名稱 (VM-1 Hostname) – 輸入虛擬機器主機的名稱。
- 部署狀態 (Deployment State) – 選擇以下其中一個選項:
- 映像已下載並開啟電源 (Image Downloaded and Powered On) – 此選項會在 Edge 上建置防火牆 VNF 後開啟虛擬機器的電源。只有在選擇此選項時,流量才會傳送 VNF,這需要至少為 VNF 插入設定一個 VLAN 或路由介面。
- 映像已下載並關閉電源 (Image Downloaded and Powered Off) – 此選項會在 Edge 上建置防火牆 VNF 後保持虛擬機器的電源關閉。如果您想要透過 VNF 傳送流量,請勿選取此選項。
- 安全性 VNF (Security VNF) – 從下拉式清單中選擇預先定義的 VNF 管理服務。您也可以按一下新增 VNF 服務 (New VNF Service),以建立新的 VNF 管理服務。如需詳細資訊,請參閱設定 VNF 管理服務。
下圖顯示
Check Point 防火牆 (Check Point Firewall) 作為安全性 VNF (Security VNF) 類型的範例。
如果您選擇
Palo Alto Networks 防火牆 (Palo Alto Networks Firewall) 作為安全性 VNF,請設定下列其他設定:
- 授權 (License) – 從下拉式清單中選取 VNF 授權。
- 裝置群組名稱 (Device Group Name) – 輸入在 Panorama 伺服器上預先設定的裝置群組名稱。
- 組態範本名稱 (Config Template Name) – 輸入在 Panorama 伺服器上預先設定的組態範本名稱。
備註: 如果您想要從 VNF 類型移除
Palo Alto Networks 防火牆 (Palo Alto Networks Firewall) 組態部署,請確認您先停用 Palo Alto Networks 的
VNF 授權 (VNF License),然後再移除組態。
如果您選擇
Fortinet Firewall (Fortinet 防火牆),請設定下列其他設定:
- 虛擬機器核心 (VM Cores) – 從下拉式清單中選取核心數目。虛擬機器授權是以虛擬機器核心為基礎。確保您的虛擬機器授權與選取的核心數目相容。
- 檢查模式 (Inspection Mode) – 選擇以下其中一個選項:
- Proxy – 依預設會選取此選項。以 Proxy 為基礎的檢查涉及緩衝流量,以及檢查整體資料以進行分析。
- 流量 (Flow) – 以流量為基礎的檢查會在流量資料透過 FortiGate 單位傳遞而不進行任何緩衝時檢查流量資料。
- 授權 (License) – 拖放虛擬機器授權。
- 按一下更新 (Update)。
結果
組態詳細資料會顯示在安全性 VNF (Security VNF) 區段中。
下一步
如果您想要將多個流量區段重新導向至 VNF,請定義區段與服務 VLAN 之間的對應。請參閱使用服務 VLAN 定義對應區段
您可以將安全性 VNF 插入 VLAN 以及路由介面,以將流量從 VLAN 或路由介面重新導向至 VNF。請參閱設定含 VNF 插入的 VLAN。