防火牆是一種網路安全性裝置,可監控傳入和傳出的網路流量,並根據已定義的一組安全性規則來決定是否允許或封鎖特定流量。SD-WAN Orchestrator 支援為設定檔和 Edge 設定無狀態和可設定狀態的防火牆。
如需防火牆的詳細資訊,請參閱設定防火牆。
若要使用新的 Orchestrator UI 設定防火牆:
- 在企業入口網站中,按一下位於視窗頂端的開啟新的 Orchestrator UI (Open New Orchestrator UI) 選項。
- 在快顯視窗中,按一下啟動新的 Orchestrator UI (Launch New Orchestrator UI)。
- UI 會在新的索引標籤中開啟,並顯示監控和設定選項。
- 在新的 UI 中,按一下設定檔 (Profiles) 頁面即會顯示現有的設定檔。 。
- 若要設定設定檔,請按一下設定檔的連結或按一下設定檔的裝置 (Device) 資料行中的檢視 (View) 連結。裝置 (Device) 索引標籤中會顯示組態選項。
- 按一下防火牆 (Firewall) 索引標籤。
從設定檔 (Profiles) 頁面中,您可以直接導覽至防火牆 (Firewall) 頁面,方法是按一下設定檔的防火牆 (Firewall) 資料行中的檢視 (View) 連結。
- 防火牆 (Firewall) 索引標籤會顯示下列項目:
- Edge 存取 (Edge Access) - 允許設定設定檔以進行 Edge 存取。您必須在防火牆設定下方選取適用於支援存取、主控台存取、USB 連接埠存取、SNMP 存取和本機 Web UI 存取的選項,以提高 Edge 的安全性。這將可防止任何惡意使用者存取 Edge。基於安全考量,依預設會停用支援存取、主控台存取、SNMP 存取和本機 Web UI 存取。如需詳細資訊,請參閱設定 Edge 存取。
- 防火牆狀態 (Firewall Status) - 允許為與設定檔相關聯的所有 Edge 開啟或關閉防火牆規則,以及設定防火牆設定和輸入 ACL。
備註: 您可以將 防火牆狀態 (Firewall Status) 設為 [關閉 (OFF)],以停用設定檔的防火牆功能。
- Syslog 轉送 (Syslog Forwarding) -依預設,會為企業停用 Syslog 轉送功能。若要將源自企業 SD-WAN Edge 的 SD-WAN Orchestrator 繫結事件和防火牆記錄收集到一或多個集中式遠端 Syslog 收集器 (伺服器),企業使用者必須在企業層級啟動此功能。若要在 SD-WAN Orchestrator 中為每個區段設定 Syslog 收集器詳細資料,請參閱設定設定檔的 Syslog 設定。
備註: 您可以在 IPv4 型 Syslog 伺服器中,檢視 IPv4 和 IPv6 防火牆記錄詳細資料。
- 防火牆規則 (Firewall Rules) - 顯示現有的預先定義防火牆規則。您可以按一下 + 新增規則 (+ New Rule) 以建立新的防火牆規則。如需詳細資訊,請參閱使用新的 Orchestrator UI 來設定防火牆規則。若要刪除現有的防火牆規則,請選取這些規則前面的核取方塊,然後按一下刪除 (DELETE)。若要複製防火牆規則,請選取該規則,然後按一下複製 (CLONE)。
- 可設定狀態的防火牆 (Stateful Firewall) - 依預設會為企業啟動 [可設定狀態的防火牆 (Stateful Firewall)] 功能。若要為企業停用可設定狀態的防火牆功能,請連絡具有超級使用者權限的操作員。如需詳細資訊,請參閱設定可設定狀態的防火牆設定。
- 網路和洪泛保護 (Network & Flood Protection) - 為了保護企業網路中的所有連線嘗試,VMware SD-WAN Orchestrator 可讓您在設定檔和 Edge 層級設定網路和洪泛保護設定,以防止各種類型的攻擊:如需詳細資訊,請參閱設定網路和洪泛保護設定。
依預設,所有 Edge 從相關聯的設定檔中繼承防火牆規則、可設定狀態的防火牆設定、網路和洪泛保護設定,以及 Edge 存取組態。在
Edge 組態 (Edge Configuration) 對話方塊的
防火牆 (Firewall) 索引標籤下,您可以在
設定檔中的規則 (Rule From Profile) 區域中檢視所有繼承的防火牆規則。或者,在 Edge 層級上,您也可以覆寫設定檔防火牆規則和 Edge 存取組態。
- 在新的 UI 中,按一下 。
- 選取一個要覆寫繼承的防火牆設定的 Edge,然後按一下防火牆 (Firewall) 核取方塊。
- 如果您要修改 Edge 繼承的設定檔規則和防火牆設定,請選取覆寫 (Override) 核取方塊。
備註: 覆寫規則會出現在 Edge 覆寫 (Edge Overrides) 區域中。Edge 覆寫規則的優先權會高於 Edge 繼承的設定檔規則。與任何設定檔防火牆規則相同的任何防火牆覆寫相符值,都將覆寫該設定檔規則。
- 在 Edge 層級,您可以導覽至其他設定 (Additional Settings) > 輸入 ACL (Inbound ACLs) 以個別設定連接埠轉送和 1:1 NAT IPv4 或 IPv6 規則。如需設定連接埠轉送和 1:1 NAT 規則的詳細資訊,請參閱設定 Edge 的防火牆。
備註: 設定 IPv6 連接埠轉送和 1:1 NAT 規則時,您只能輸入全域或單點傳播 IP 位址,而無法輸入連結本機位址。