您可以使用第三方防火牆,透過 SD-WAN Edge 上的 VNF 部署及轉送流量。
只有操作員可以啟用安全性 VNF 組態。如果您無法使用安全性 VNF (Security VNF) 選項,請連絡您的操作員。
必要條件
確保您具有下列項目:
- SASE Orchestrator 及已啟動並執行支援部署特定安全性 VNF 軟體版本的 SD-WAN Edge。如需有關受支援軟體版本和 Edge 平台的詳細資訊,請參閱安全虛擬網路功能 中的支援對照表。
- 已設定 VNF 管理服務。如需詳細資訊,請參閱設定 VNF 管理服務。
程序
- 在裝置 (Device) 索引標籤中,向下捲動至安全性 VNF (Security VNF) 區段,然後按一下 + 設定安全性 VNF (+ Configure Security VNF)。此時將顯示設定安全性 VNF (Configure Security VNF) 視窗。
- 在安全性 VNF (Security VNF) 之下,從下拉式功能中選擇預先定義的 VNF 管理服務。您也可以按一下 + 新增 (+ Add),以建立新的 VNF 管理服務。如需詳細資訊,請參閱設定 VNF 管理服務。
- 下圖顯示以 Fortinet 防火牆 (Fortinet Firewall) 作為 [安全性 VNF (Security VNF)] 類型的範例。如果您選擇 Fortinet 防火牆 (Fortinet Firewall),請設定下列其他設定:
- 虛擬機器核心 (VM Cores) – 從下拉式清單中選取核心數目。虛擬機器授權是以虛擬機器核心為基礎。確保您的虛擬機器授權與選取的核心數目相容。
- 檢查模式 (Inspection Mode) – 選擇以下其中一個選項:
- Proxy – 依預設會選取此選項。以 Proxy 為基礎的檢查涉及緩衝流量,以及檢查整體資料以進行分析。
- 流量 (Flow) – 以流量為基礎的檢查會在流量資料透過 FortiGate 單位傳遞而不進行任何緩衝時檢查流量資料。
- 授權 (License) - 拖放虛擬機器授權,或者將您的授權內容貼到文字方塊中。
- 下圖顯示以 Check Point 防火牆 (Check Point Firewall) 作為 [安全性 VNF (Security VNF)] 類型的範例。
- 如果您選擇 Palo Alto Networks 防火牆 (Palo Alto Networks Firewall) 作為安全性 VNF,請設定下列其他設定:
- 授權 (License) – 從下拉式清單中選取 VNF 授權。
- 裝置群組名稱 (Device Group Name) – 輸入在 Panorama 伺服器上預先設定的裝置群組名稱。
- 組態範本名稱 (Config Template Name) – 輸入在 Panorama 伺服器上預先設定的組態範本名稱。
備註: 如果您想要從 VNF 類型移除 Palo Alto Networks 防火牆 (Palo Alto Networks Firewall) 組態部署,請確認您先停用 Palo Alto Networks 的 VNF 授權 (VNF License),然後再移除組態。
- 下圖顯示以 Fortinet 防火牆 (Fortinet Firewall) 作為 [安全性 VNF (Security VNF)] 類型的範例。如果您選擇 Fortinet 防火牆 (Fortinet Firewall),請設定下列其他設定:
結果
組態詳細資料會顯示在
安全性 VNF (Security VNF) 區段中。
下一步
如果您想要將多個流量區段重新導向至 VNF,請定義區段與服務 VLAN 之間的對應。請參閱使用服務 VLAN 定義對應區段
您可以將安全性 VNF 插入 VLAN 以及路由介面,以將流量從 VLAN 或路由介面重新導向至 VNF。請參閱設定含 VNF 插入的 VLAN。
