Sicherheit

Sie können die Sicherheitseinstellungen wie Netzwerkverschlüsselung, Firewall und Zertifikate konfigurieren, die für alle Appliances im Netzwerk gelten.

Verschlüsselung

Der Netzwerkverschlüsselungsmodus definiert den Algorithmus, der für alle verschlüsselten Pfade im SD-WAN-Netzwerk verwendet wird. Sie gilt nicht für nicht verschlüsselte Pfade. Sie können die Verschlüsselung als AES-128 oder AES-256 festlegen.

Netzwerkverschlüsselungsmodus

Firewall-Zonen

Sie können Zonen im Netzwerk konfigurieren und Richtlinien definieren, um zu steuern, wie der Datenverkehr die Zonen ein- und verlässt. Die folgenden Zonen sind standardmäßig verfügbar:

  • Default_LAN_Zone: Gilt für Datenverkehr zu oder von einem Objekt mit einer konfigurierbaren Zone, für die die Zone nicht festgelegt wurde.
  • Internet_Zone: Gilt für Datenverkehr zu oder von einem Internetdienst über eine vertrauenswürdige Schnittstelle.
  • Untrusted_Internet_Zone: Gilt für Datenverkehr zu oder von einem Internetdienst über eine nicht vertrauenswürdige Schnittstelle.

Firewall-Zonen

Sie können auch eigene Zonen erstellen und den folgenden Objekttypen zuweisen:

  • Virtuelle Netzwerkschnittstellen
  • Intranetdienste
  • GRE Tunnel
  • LAN IPSec-Tunnel

Firewall-Standardwerte

Sie können die globalen Firewalleinstellungen konfigurieren, die auf alle Appliances im SD-WAN-Netzwerk angewendet werden können. Die Einstellungen können auch auf Standortebene definiert werden, die die globale Einstellung außer Kraft setzt.

Firewall-Standardeinstellungen

  • Standard-Firewall-Aktion: Wählen Sie eine Aktion (Zulassen/Löschen) aus der Liste für Pakete aus, die nicht mit einer Richtlinie übereinstimmen.

  • Standardverbindungsstatusverfolgung: Aktiviert die Richtungszustandsverfolgung für TCP-, UDP- und ICMP-Flows, die nicht mit einer Filterrichtlinie oder NAT-Regel übereinstimmen.

    Hinweis

    Asymmetrische Flows werden blockiert, wenn die Standardverbindungsstatusverfolgung aktiviert ist, selbst wenn keine Firewall-Richtlinien definiert sind. Wenn asymmetrische Flüsse an einem Standort möglich sind, empfiehlt es sich, ihn auf Standort- oder Richtlinienebene und nicht global zu aktivieren.

  • Abgelehnte Zeitüberschreitung (en): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor verweigerte Verbindungen geschlossen werden.

  • TCP Initial Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine unvollständige TCP-Sitzung geschlossen wird.

  • TCP-Leerlauf-Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine aktive TCP-Sitzung geschlossen wird.

  • TCP Closing Timeout: Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine TCP-Sitzung nach einer Abbruchanforderung geschlossen wird.

  • TCP Time Wait Timeouts (en): Wartezeit (in Sekunden) auf neue Pakete warten, bevor eine abgeschlossene TCP-Sitzung geschlossen wird.

  • TCP Closed Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine abgebrochene TCP-Sitzung geschlossen wird.

  • UDP Initial Timeout (s): Wartezeit (in Sekunden) auf neue Pakete, bevor die UDP-Sitzung geschlossen wird, die keinen Datenverkehr in beide Richtungen gesehen hat.

  • UDP-Leerlauf-Timeout (s): Wartezeit (in Sekunden) auf neue Pakete, bevor eine aktive UDP-Sitzung geschlossen wird.

  • ICMP Initial Timeout (s): Wartezeit (in Sekunden) auf neue Pakete vor dem Schließen einer ICMP-Sitzung, die keinen Datenverkehr in beiden Richtungen gesehen hat

  • ICMP Idle Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine aktive ICMP-Sitzung geschlossen wird.

  • Generisches Anfangstimeout (s): Wartezeit (in Sekunden) auf neue Pakete, bevor eine generische Sitzung geschlossen wird, die keinen Datenverkehr in beide Richtungen gesehen hat.

  • Generisches Timeout (s) im Leerlauf: Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine aktive generische Sitzung geschlossen wird.

Firewall-Richtlinien

Firewall-Richtlinien bieten Sicherheit, indem sichergestellt wird, dass der Netzwerkverkehr nur auf eine bestimmte Richtlinie beschränkt ist, abhängig von den Übereinstimmungskriterien, und indem bestimmte Aktionen angewendet werden.

Sie können Firewall-Regeln definieren und basierend auf der Priorität platzieren. Sie können die Prioritätsreihenfolge auswählen, die oben in der Liste, unten in der Liste oder in einer bestimmten Zeile beginnt.

Es wird empfohlen, spezifischere Regeln für Anwendungen oder Unteranwendungen an der Spitze zu haben, gefolgt von weniger spezifischen Regeln für diejenigen, die einen breiteren Datenverkehr darstellen.

Firewall-Standardeinstellungen

Klicken Sie zum Erstellen einer Firewallregel auf Neue Regel erstellen.

Firewall-Richtliniendetails

  • Die Übereinstimmungskriterien definieren den Datenverkehr für die Regel, z. B. eine Anwendung, eine benutzerdefinierte Anwendung, eine Anwendungsgruppe, eine Anwendungsfamilie oder ein IP-Protokoll basiert.

  • Netzwerkinformationen:

    • Quellzone: Die Quell-Firewall-Zone.

    • Zielzone: Die Ziel-Firewall-Zone.

    • Quelldiensttyp: Der Quell-SD-WAN-Diensttyp — Lokal, Virtueller Pfad, Intranet, IPHost oder Internet sind Beispiele für Diensttypen.

    • Quelldienstname: Der Name eines Dienstes, der an den Diensttyp gebunden ist. Wenn beispielsweise der virtuelle Pfad für den Quelldiensttyp ausgewählt ist, wäre dies der Name des spezifischen virtuellen Pfads. Dies ist nicht immer erforderlich und hängt vom ausgewählten Servicetyp ab.

    • Quell-IP: Die IP-Adresse und die Subnetzmaske, mit der die Regel übereinstimmt.

    • Quellport: Der Quellport, den die jeweilige Anwendung verwendet.

    • Dest Service Type: Der Zieldiensttyp SD-WAN — Lokal, Virtueller Pfad, Intranet, IPHost oder Internet sind Beispiele für Diensttypen.

    • Dest Service Name: Name eines Dienstes, der an die Dienstart gebunden ist. Dies ist nicht immer erforderlich und hängt vom ausgewählten Servicetyp ab.

    • Dest IP: Die IP-Adresse und die Subnetzmaske, mit der der Filter übereinstimmt.

    • Dest Port: Zielport, der von der bestimmten Anwendung verwendet wird (d. h. HTTP-Zielport 80 für das TCP-Protokoll).

    • IP-Protokoll: Wenn dieser Übereinstimmungstyp ausgewählt ist, wählen Sie ein IP-Protokoll aus, mit dem die Regel übereinstimmt. Die Optionen sind ANY, TCP, UDP ICMP usw

    • DSCP: Erlauben Sie dem Benutzer die Übereinstimmung mit einer DSCP-Tag-Einstellung.

    • Fragmente zulassen: Zulassen von IP-Fragmenten, die dieser Regel entsprechen.

    • Auch umkehren: Fügen Sie automatisch eine Kopie dieser Filterrichtlinie hinzu, wobei die Quell- und Zieleinstellungen umgekehrt sind.

    • Übereinstimmung etabliert: Ordnen Sie eingehende Pakete für eine Verbindung zu, für die ausgehende Pakete zulässig waren.

  • Regelbereich gibt an, ob eine definierte Regel global auf alle Standorte im Netzwerk oder auf bestimmten Standorten angewendet werden kann.

  • Die folgenden Aktionen können für einen abgestimmten Flow ausgeführt werden:

    • Zulassen: Erlauben Sie den Fluss durch die Firewall.

    • Drop: Verweigern Sie den Fluss durch die Firewall, indem Sie die Pakete löschen.

    • Zurückweisen: Verweigern Sie den Flow durch die Firewall und senden Sie eine protokollspezifische Antwort. TCP sendet einen Reset, ICMP sendet eine Fehlermeldung.

    • Count and Continue: Zählen Sie die Anzahl der Pakete und Bytes für diesen Flow, und fahren Sie dann mit der Richtlinienliste fort.

Neben der Definition der zu ergreifenden Aktion können Sie auch die Protokolle auswählen, die erfasst werden sollen.

Zertifikate

Es gibt zwei Arten von Zertifikaten: Identität und Vertrauenswürdig. Identitätszertifikate werden verwendet, um Daten zu signieren oder zu verschlüsseln, um den Inhalt einer Nachricht und die Identität des Absenders zu überprüfen. Vertrauenswürdige Zertifikate werden verwendet, um Nachrichtensignaturen zu überprüfen. Citrix SD-WAN-Appliances akzeptieren sowohl Identitäts- als auch vertrauenswürdige Zertifikate. Administratoren können Zertifikate im Konfigurations-Editor verwalten.

Zertifikat hinzufügen

Um ein Zertifikat hinzuzufügen, klicken Sie auf Zertifikat hinzufügen.

  • Identitätszertifikate: Identitätszertifikate erfordern, dass der private Schlüssel des Zertifikats dem Signierer zur Verfügung steht. Identitätszertifikate oder deren Zertifikatketten, denen ein Peer vertraut, um den Inhalt und die Identität des Absenders zu überprüfen. Die konfigurierten Identitätszertifikate und ihre jeweiligen Fingerabdrücke werden im Konfigurations-Editor angezeigt.

  • Vertrauenswürdige Zertifikate: Vertrauenswürdige Zertifikate sind selbstsignierte, zwischengeschaltete Zertifizierungsstellen (CA) oder Stammzertifizierungsstellenzertifikate, die zur Überprüfung der Identität eines Peers verwendet werden. Für ein vertrauenswürdiges Zertifikat ist kein privater Schlüssel erforderlich. Die konfigurierten Trusted Certificates und ihre jeweiligen Fingerabdrücke werden hier aufgelistet.

Zertifikat