增強型防火牆服務 (EFS) 在 VMware SD-WAN Edge 上可提供額外的 EFS 安全功能。由「NSX 安全性」提供的 EFS 功能在 VMware SD-WAN Edge 上支援「入侵偵測系統 (IDS)」服務和「入侵防護系統 (IPS)」服務。Edge 防火牆 EFS 可在「分支到分支」、「分支到中樞」或「分支到網際網路」流量模式中,保護 Edge 流量不受入侵。

目前,SD-WAN Edge 防火牆提供可設定狀態的檢查以及應用程式識別,而無需額外的 EFS 安全功能。雖然可設定狀態的防火牆 SD-WAN Edge 可提供安全性,但這並不足夠,且在提供與 VMware SD-WAN 原生整合的 EFS 安全功能方面出現缺口。Edge EFS 填補了這些安全缺口,並在 SD-WAN Edge 上與 VMware SD-WAN 一起以原生方式提供增強型防火牆服務。

客戶可以使用 VMware SASE Orchestrator 中的防火牆功能來設定和管理 EFS。

限制

  • 啟用 EFS 後,僅支援靜態定址。請勿在 LAN 網路 (例如 DHCPv4 用戶端、DHCPv6 用戶端、DHCPv6 PD 和 IPv6 SLAAC) 上使用動態位址。

如果使用動態定址,且位址範圍不在私人位址範圍 (若為 IPv4) 和 ULA 位址範圍 (若為 IPv6) 內 (如 RFC1918 中所述),則由於位址不是 suricata.yaml 中 HOME_NETWORK 設定的一部分,可能不會進行規則比對。