增強型防火牆服務 (EFS) 在 VMware SD-WAN Edge 上可提供額外的 EFS 安全功能。由 NSX 安全功能提供支援的 EFS 功能在 VMware SD-WAN Edge 上支援 URL 類別篩選、URL 信譽篩選、惡意 IP 篩選、入侵偵測系統 (IDS) 和入侵防護系統 (IPS) 服務。Edge 增強型防火牆服務 (EFS) 可保護 Edge 流量免受跨分支、分支到中樞或分支到網際網路流量模式的入侵。
目前,SD-WAN Edge 防火牆提供可設定狀態的檢查以及應用程式識別,而無需額外的 EFS 安全功能。雖然可設定狀態的防火牆 SD-WAN Edge 可提供安全性,但這並不足夠,且在提供與 VMware SD-WAN 原生整合的 EFS 安全功能方面出現缺口。Edge EFS 填補了這些安全缺口,並在 SD-WAN Edge 上與 VMware SD-WAN 一起以原生方式提供增強型威脅防護。
客戶可以使用 VMware SASE Orchestrator 中的防火牆功能來設定和管理 EFS 功能。客戶可以將防火牆規則設定為根據 IDS/IPS 特徵碼相符、類別和/或 URL 或 IP 的信譽,來封鎖 Web 流量。
限制
- 啟用 EFS 並設定 IDS/IPS 時,僅支援靜態定址。請勿在 LAN 網路 (例如 DHCPv4 用戶端、DHCPv6 用戶端、DHCPv6 PD 和 IPv6 SLAAC) 上使用動態位址。
如果使用動態定址,且位址範圍不在私人位址範圍 (若為 IPv4) 和 ULA 位址範圍 (若為 IPv6) 內 (如 RFC1918 中所述),則由於位址不是 suricata.yaml 中 HOME_NETWORK 設定的一部分,可能不會進行規則比對。