設定 Edge 存取的設定檔時,您必須在防火牆設定下方選取適用於支援存取、主控台存取、USB 連接埠存取、SNMP 存取和本機 Web UI 存取的選項,以提高 Edge 的安全性。這將可防止任何惡意使用者存取 Edge。

基於安全考量,依預設會停用支援存取、主控台存取、SNMP 存取和本機 Web UI 存取。

開機自我測試

在 5.1.0 版中,在 SD-WAN Orchestrator 開機或重新開機後,將執行開機自我測試,以驗證軟體作者,並確保關鍵檔案和程式碼未收到警示或損毀。此功能的使用案例包括「共同準則需求」和中高風險部署 (財務、政府等)。
備註: 依預設,將停用開機自我測試功能。(在主控台上顯示一則警告訊息,產生一個事件,然後繼續執行開機自我測試。)
開機自我測試功能包括在 SD-WAN Orchestrator 開機或重新開機時,所進行的以下檢查:
  • 軟體完整性測試:在建置時,識別並簽署關鍵系統檔案。驗證簽章的完整性。此程序會使用密碼編譯簽章,來驗證真實性和完整性。
  • 密碼編譯模組的已知答案測試:密碼編譯模組 (例如 Openssl) 將執行已知答案測試,並驗證這些測試是否全部通過。
  • 熵來源測試:驗證熵來源的隨機數目產生功能。
備註: 開機自我測試會指出通過/失敗結果。只有在開機自我測試通過時,系統才會繼續啟動其餘的應用程式。如果開機自我測試失敗,將顯示錯誤訊息,指出測試失敗位置,且系統開機過程將會停止。

在開機和重新開機程序期間,會簽署及驗證以下檔案:

  • Edge (其下的所有檔案):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /.bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator 和 SD-WAN 閘道
    備註: 對於以下模組,會以 ENFORCED 模式下來執行完整性檢查,一旦這些模組無法驗證,就會導致開機失敗。
    • SD-WAN 閘道 - 套件名稱會儲存於下列位置:/opt/vc/etc/post/vcg_critical_packages.in
      • 閘道關鍵模組
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator - 套件名稱會儲存在下列位置:/opt/vc/etc/post/vco_critical_packages.in
      • SD-WAN Orchestrator 關鍵模組:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

程序

若要為設定檔設定 Edge 存取,請執行下列步驟:

程序

  1. SD-WAN Orchestrator,移至設定 (Configure) > 設定檔 (Profiles) > 防火牆 (Firewall)防火牆 (Firewall) 頁面隨即出現。

  2. Edge 存取 (Edge Access) 區域下方,您可以使用下列選項設定裝置存取權:
    欄位 說明
    支援存取 (Support Access)

    如果您想要明確指定可讓您透過 SSH 連線至此 Edge 的 IP 位址,請選取允許下列 IP (Allow the following IPs)。您可以輸入以逗號 (,) 分隔的 IPv4 和 IPv6 位址。

    依預設會選取全部拒絕 (Deny All)
    主控台存取 (Console Access) 選取允許 (Allow),可啟用透過實體主控台 (序列埠或視訊圖形陣列 (VGA) 連接埠) 的 Edge 存取。依預設會選取拒絕 (Deny),並在 Edge 啟用後停用主控台登入。
    備註: 每當主控台存取設定從 允許 (Allow) 變更為 拒絕 (Deny) (或相反) 時,都必須手動將 Edge 重新開機。
    強制開機自我測試 如果選取了已啟用 (Enabled),一旦開機自我測試失敗,將會停用 Edge。若要復原 Edge,必須進行原廠重設及重新啟用。附註:在 5.1.0 版和更新版本中支援該功能。
    USB 連接埠存取 (USB Port Access)

    選取允許 (Allow),則會在 Edge 上啟用 USB 連接埠存取;選取拒絕 (Deny),則是停用 USB 連接埠存取。

    此選項僅適用於 Edge 型號 510 和 6x0。

    備註: 每當將 USB 連接埠存取設定從 允許 (Allow) 變更為 拒絕 (Deny) (或反過來) 時,如果您有權存取 Edge,則必須手動將 Edge 重新開機,此外,如果 Edge 位於遠端站台,則必須使用 SD-WAN Orchestrator 重新啟動 Edge。如需指示,請參閱 遠端動作
    SNMP 存取 (SNMP Access) 允許透過 SNMP 從路由介面/WAN 進行 Edge 存取。選取下列其中一個選項:
    • 全部拒絕 (Deny All) - 依預設,系統會為所有連線至 Edge 的裝置停用 SNMP 存取。
    • 允許所有 LAN (Allow All LAN) - 允許透過 LAN 網路連線至 Edge 的所有裝置進行 SNMP 存取。
    • 允許下列 IP (Allow the following IPs) - 允許您明確指定可讓您透過 SNMP 存取 Edge 的 IP 位址。IP 位址必須以逗號 (,) 分隔。
    本機 Web UI 存取 (Local Web UI Access) 允許透過本機 Web UI 從路由介面/WAN 進行 Edge 存取。選取下列其中一個選項:
    • 全部拒絕 (Deny All) - 依預設,系統會為所有連線至 Edge 的裝置停用本機 Web UI 存取。
    • 允許所有 LAN (Allow All LAN) - 允許透過 LAN 網路連線至 Edge 的所有裝置進行本機 Web UI 存取。
    • 允許下列 IP (Allow the following IPs) - 允許您明確指定可讓您透過本機 Web UI 存取 Edge 的 IP 位址。IP 位址必須以逗號 (,) 分隔。
    本機 Web UI 連接埠號碼 (Local Web UI Port Number) 輸入可讓您存取 Edge 的本機 Web UI 的連接埠號碼。
  3. 按一下儲存變更 (Save Changes)

下一步

如果您想要覆寫特定 Edge 的 Edge 存取設定,請使用 Edge 防火牆 (Edge Firewall) 頁面上的 啟用 Edge 覆寫 (Enable Edge Override) 選項。如需相關資訊,請參閱 設定 Edge 的防火牆