Sicherheit

Sie können die Sicherheitseinstellungen wie Netzwerkverschlüsselung, virtueller Pfad IPsec, Firewall und Zertifikate konfigurieren, die für alle Appliances im Netzwerk gelten.

Firewall-Zonen

Sie können Zonen im Netzwerk konfigurieren und Richtlinien definieren, um zu steuern, wie der Datenverkehr die Zonen ein- und verlässt. Die folgenden Zonen sind standardmäßig verfügbar:

  • Default_LAN_Zone: Gilt für Datenverkehr zu oder von einem Objekt mit einer konfigurierbaren Zone, für die die Zone nicht festgelegt wurde.
  • Internet_Zone: Gilt für Datenverkehr zu oder von einem Internetdienst über eine vertrauenswürdige Schnittstelle.
  • Untrusted_Internet_Zone: Gilt für Datenverkehr zu oder von einem Internetdienst über eine nicht vertrauenswürdige Schnittstelle.

Firewall-Zonen

Sie können auch eigene Zonen erstellen und den folgenden Objekttypen zuweisen:

  • Virtuelle Netzwerkschnittstellen
  • Intranetdienste
  • GRE Tunnel
  • LAN IPSec-Tunnel

Klicken Sie auf Config überprüfen, um jeden Überwachungsfehler zu überprüfen.

Firewall-Standardeinstellungen

Sie können die globalen Firewalleinstellungen konfigurieren, die auf alle Appliances im SD-WAN-Netzwerk angewendet werden können. Die Einstellungen können auch auf Standortebene definiert werden, die die globale Einstellung außer Kraft setzt.

Firewall-Standardeinstellungen

  • Standard-Firewall-Aktion: Wählen Sie eine Aktion (Zulassen/Löschen) aus der Liste für Pakete aus, die nicht mit einer Richtlinie übereinstimmen.

  • Standardverbindungsstatusverfolgung: Aktiviert die Richtungszustandsverfolgung für TCP-, UDP- und ICMP-Flows, die nicht mit einer Filterrichtlinie oder NAT-Regel übereinstimmen.

    Hinweis:

    Asymmetrische Flows werden blockiert, wenn die Standardverbindungsstatusverfolgung aktiviert ist, selbst wenn keine Firewall-Richtlinien definiert sind. Wenn asymmetrische Flüsse an einem Standort möglich sind, empfiehlt es sich, ihn auf Standort- oder Richtlinienebene und nicht global zu aktivieren.

  • Abgelehnte Zeitüberschreitung (en): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor verweigerte Verbindungen geschlossen werden.

  • TCP Initial Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine unvollständige TCP-Sitzung geschlossen wird.

  • TCP-Leerlauf-Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine aktive TCP-Sitzung geschlossen wird.

  • TCP Closing Timeout: Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine TCP-Sitzung nach einer Abbruchanforderung geschlossen wird.

  • TCP Time Wait Timeouts (en): Wartezeit (in Sekunden) auf neue Pakete warten, bevor eine abgeschlossene TCP-Sitzung geschlossen wird.

  • TCP Closed Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine abgebrochene TCP-Sitzung geschlossen wird.

  • UDP Initial Timeout (s): Wartezeit (in Sekunden) auf neue Pakete, bevor die UDP-Sitzung geschlossen wird, die keinen Datenverkehr in beide Richtungen gesehen hat.

  • UDP-Leerlauf-Timeout (s): Wartezeit (in Sekunden) auf neue Pakete, bevor eine aktive UDP-Sitzung geschlossen wird.

  • ICMP Initial Timeout (s): Wartezeit (in Sekunden) auf neue Pakete vor dem Schließen einer ICMP-Sitzung, die keinen Datenverkehr in beiden Richtungen gesehen hat

  • ICMP Idle Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine aktive ICMP-Sitzung geschlossen wird.

  • Generisches Anfangstimeout (s): Wartezeit (in Sekunden) auf neue Pakete, bevor eine generische Sitzung geschlossen wird, die keinen Datenverkehr in beide Richtungen gesehen hat.

  • Generisches Timeout (s) im Leerlauf: Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine aktive generische Sitzung geschlossen wird.

Klicken Sie auf Config überprüfen, um jeden Überwachungsfehler zu überprüfen.

Firewall-Profile

Firewall-Profile bieten Sicherheit, indem sichergestellt wird, dass der Netzwerkverkehr je nach Übereinstimmungskriterien nur auf eine bestimmte Firewall-Regel beschränkt ist und bestimmte Aktionen angewendet werden. Die Firewall-Profile enthalten drei Abschnitte.

  • Globale Profile — Globales Profil ist eine Aggregation von einigen Firewall-Regeln. Das Profil, das Sie im Abschnitt Globale Profile erstellen, wird auf alle Standorte im Netzwerk angewendet.
  • Site-spezifische Profile — Sie können die definierten Firewall-Regeln auf bestimmte Websites anwenden.
  • Globales Überschreibungsprofil — Sie können globale und standortspezifische Profile mithilfe von Globalen Überschreibungsprofilen überschreiben.

Firewall-Profile

Sie können Firewall-Regeln definieren und basierend auf der Priorität platzieren. Sie können die Prioritätsreihenfolge auswählen, die oben in der Liste, unten in der Liste oder in einer bestimmten Zeile beginnt.

Es wird empfohlen, spezifischere Regeln für Anwendungen oder Unteranwendungen an der Spitze zu haben, gefolgt von weniger spezifischen Regeln für diejenigen, die einen breiteren Datenverkehr darstellen.

Firewall-Standardeinstellungen

Klicken Sie zum Erstellen einer Firewallregel auf Neue Regel erstellen.

Firewall-Richtliniendetails

  • Geben Sie einen Profilnamen ein, und aktivieren Sie das Kontrollkästchen Aktives Profil, wenn Sie alle Firewallregeln anwenden möchten.
  • Die Übereinstimmungskriterien definieren den Datenverkehr für die Regel, z. B. eine Anwendung, eine benutzerdefinierte Anwendung, eine Anwendungsgruppe, eine Anwendungsfamilie oder ein IP-Protokoll basiert.

  • Filterkriterien:

    • Quellzone: Die Quell-Firewall-Zone.

    • Zielzone: Die Ziel-Firewall-Zone.

    • Quelldiensttyp: Der Quell-SD-WAN-Diensttyp — Lokal, Virtueller Pfad, Intranet, IPHost oder Internet sind Beispiele für Diensttypen.

    • Quelldienstname: Der Name eines Dienstes, der an den Diensttyp gebunden ist. Wenn beispielsweise der virtuelle Pfad für den Quelldiensttyp ausgewählt ist, wäre dies der Name des spezifischen virtuellen Pfads. Dies ist nicht immer erforderlich und hängt vom ausgewählten Servicetyp ab.

    • Quell-IP: Die IP-Adresse und die Subnetzmaske, mit der die Regel übereinstimmt.

    • Quellport: Der Quellport, den die jeweilige Anwendung verwendet.

    • Dest Service Type: Der Zieldiensttyp SD-WAN — Lokal, Virtueller Pfad, Intranet, IPHost oder Internet sind Beispiele für Diensttypen.

    • Dest Service Name: Name eines Dienstes, der an die Dienstart gebunden ist. Dies ist nicht immer erforderlich und hängt vom ausgewählten Servicetyp ab.

    • Dest IP: Die IP-Adresse und die Subnetzmaske, mit der der Filter übereinstimmt.

    • Dest Port: Zielport, der von der bestimmten Anwendung verwendet wird (d. h. HTTP-Zielport 80 für das TCP-Protokoll).

    • IP-Protokoll: Wenn dieser Übereinstimmungstyp ausgewählt ist, wählen Sie ein IP-Protokoll aus, mit dem die Regel übereinstimmt. Die Optionen sind ANY, TCP, UDP ICMP usw

    • DSCP: Erlauben Sie dem Benutzer die Übereinstimmung mit einer DSCP-Tag-Einstellung.

    • Fragmente zulassen: Zulassen von IP-Fragmenten, die dieser Regel entsprechen.

    • Auch umkehren: Fügen Sie automatisch eine Kopie dieser Filterrichtlinie hinzu, wobei die Quell- und Zieleinstellungen umgekehrt sind.

    • Übereinstimmung etabliert: Ordnen Sie eingehende Pakete für eine Verbindung zu, für die ausgehende Pakete zulässig waren.

  • Die folgenden Aktionen können für einen abgestimmten Flow ausgeführt werden:

    • Zulassen: Erlauben Sie den Fluss durch die Firewall.

    • Drop: Verweigern Sie den Fluss durch die Firewall, indem Sie die Pakete löschen.

    • Zurückweisen: Verweigern Sie den Flow durch die Firewall und senden Sie eine protokollspezifische Antwort. TCP sendet einen Reset, ICMP sendet eine Fehlermeldung.

    • Count and Continue: Zählen Sie die Anzahl der Pakete und Bytes für diesen Flow, und fahren Sie dann mit der Richtlinienliste fort.

Neben der Definition der zu ergreifenden Aktion können Sie auch die Protokolle auswählen, die erfasst werden sollen.

Klicken Sie auf Config überprüfen, um jeden Überwachungsfehler zu überprüfen.

Netzwerk-Verschlüsselung

Wählen Sie den Verschlüsselungsmechanismus aus, der im Netzwerk verwendet werden soll. Sie können die globalen Sicherheitseinstellungen konfigurieren, die das gesamte SD-WAN-Netzwerk sichern.

Der Netzwerkverschlüsselungsmodus definiert den Algorithmus, der für alle verschlüsselten Pfade im SD-WAN-Netzwerk verwendet wird. Sie gilt nicht für nicht verschlüsselte Pfade. Sie können die Verschlüsselung als AES-128 oder AES-256 festlegen.

Netzwerkverschlüsselungsmodus

Intrusion Prevention

Intrusion Prevention System (IPS) erkennt und verhindert, dass bösartige Aktivitäten in Ihr Netzwerk gelangen. IPS prüft den Netzwerkverkehr und führt automatisierte Aktionen für alle eingehenden Datenströme durch.

IPS verwendet eine signaturbasierte Erkennung, die die eingehenden Pakete mit einer Datenbank mit eindeutig identifizierbaren Exploit- und Angriffsmustern übereinstimmt. Die Signaturdatenbank wird täglich automatisch aktualisiert. Da es Tausende von Signaturen gibt, werden die Signaturen in Kategorien und Klassen gruppiert. Sie können bestimmte Signaturattribute des Kategorie- oder Klassentyps auswählen, um Intrusion Prevention-Regeln zu erstellen. Wenn es eine Regel gibt, stimmen die IPS-Protokolle, blockiert oder erlaubt die Pakete basierend auf der Regelaktion.

Sie können IPS-Regeln global für das gesamte Netzwerk erstellen und Intrusion Prevention aktivieren oder deaktivieren, während Sie Sicherheitsprofile definieren.

Hinweis:

  • Da Intrusion Prevention ein rechensensitiver Prozess ist, verwenden Sie nur die minimalen Signaturkategorien, die für Ihre Edge-Sicherheitsbereitstellungen relevant sind.
  • Die SD-WAN-Firewall löscht den Datenverkehr auf allen WAN L4-Ports, die nicht portweitergeleitet werden und in der IPS-Engine nicht sichtbar sind. Dies bietet eine zusätzliche Sicherheitsschicht gegen triviale DOS- und Scan-Attacken.

Um Intrusion Prevention-Regeln zu erstellen, navigieren Sie auf Netzwerkebene zu Konfiguration > Sicherheit > Intrusion Prevention, und klicken Sie auf Neue Regel.

Intrusion Prevention erstellt Regel

Geben Sie einen Regelnamen und eine Beschreibung an. Wählen Sie die Signaturattribute der Übereinstimmungskategorie oder des Klassentyps aus, wählen Sie die Regelaktion aus, und aktivieren Sie sie. Sie können aus den folgenden Regelaktionen wählen:

Aktion “Regel” Funktion
Empfohlen Für jede Signatur sind empfohlene Aktionen definiert. Führen Sie die empfohlene Aktion für die Signaturen aus.
Protokoll aktivieren Zulassen und Protokollieren des Datenverkehrs, der mit einer der Signaturen in der Regel übereinstimmt.
Sperren aktivieren, wenn Empfohlen aktiviert ist Wenn die Regelaktion Empfohlen ist und die empfohlene Aktion der Signatur Protokoll aktivierenlautet, löschen Sie den Datenverkehr, der mit einer der Signaturen in der Regel übereinstimmt.
Sperren aktivieren Löschen Sie den Datenverkehr, der mit einer der Signaturen in der Regel übereinstimmt.
Deaktivieren Die Signaturen sind deaktiviert. Erlauben Sie, dass der Datenverkehr ohne Protokollierung zum Ziel fortgesetzt wird.
Positivliste Die Quell- und Zielnetzwerke der Signatur werden so geändert, dass Netzwerke ausgeschlossen werden, die durch die Positivlistenvariable definiert sind.

Seite "Regel"

Sie können Sicherheitsprofile definieren und Intrusion Prevention-Regeln aktivieren oder deaktivieren. Die Sicherheitsprofile werden verwendet, um Firewall-Regeln zu erstellen. Weitere Informationen finden Sie unter Sicherheitsprofil — Intrusion Prevention.

IPSec-Einstellungen für virtuelle Pfade

Die IPsec-Einstellungen für virtuelle Pfade definieren die IPsec-Tunneleinstellungen, um eine sichere Übertragung von Daten über die virtuellen Pfade sicherzustellen.

  • Verkapselungsart: Wählen Sie einen der folgenden Sicherheitstypen:
    • ESP: Daten sind gekapselt und verschlüsselt.
    • ESP+Auth: Daten werden mit einem HMAC gekapselt, verschlüsselt und validiert.
    • AH: Daten werden mit einem HMAC validiert.
  • Verschlüsselungsmodus: Der Verschlüsselungsalgorithmus, der verwendet wird, wenn ESP aktiviert ist.
  • Hash-Algorithmus: Der Hash-Algorithmus, der zum Generieren eines HMAC verwendet wird.
  • Lebensdauer (en): Die bevorzugte Dauer (in Sekunden) für eine IPSec-Sicherheitszuordnung. Geben Sie 0 für unbegrenzt ein.

Weitere Informationen zum Konfigurieren des IPsec-Dienstes finden Sie unter IPsec-Dienst.

IPSec-Einstellung für virtuelle Pfade

Klicken Sie auf Config überprüfen, um jeden Überwachungsfehler zu überprüfen.

Zertifikate

Es gibt zwei Arten von Zertifikaten: Identität und Vertrauenswürdig. Identitätszertifikate werden verwendet, um Daten zu signieren oder zu verschlüsseln, um den Inhalt einer Nachricht und die Identität des Absenders zu überprüfen. Vertrauenswürdige Zertifikate werden verwendet, um Nachrichtensignaturen zu überprüfen. Citrix SD-WAN-Appliances akzeptieren sowohl Identitäts- als auch vertrauenswürdige Zertifikate. Administratoren können Zertifikate im Konfigurations-Editor verwalten.

Zertifikat

Klicken Sie auf Config überprüfen, um jeden Überwachungsfehler zu überprüfen.

Um ein Zertifikat hinzuzufügen, klicken Sie auf Zertifikat hinzufügen.

  • Zertifikatname: Geben Sie den Zertifikatnamen an.

  • Zertifikatstyp: Wählen Sie den Zertifikatstyp aus der Dropdown-Liste aus.

    • Identitätszertifikate: Identitätszertifikate erfordern, dass der private Schlüssel des Zertifikats dem Signierer zur Verfügung steht. Identitätszertifikate oder deren Zertifikatketten, denen ein Peer vertraut, um den Inhalt und die Identität des Absenders zu überprüfen. Die konfigurierten Identitätszertifikate und ihre jeweiligen Fingerabdrücke werden im Konfigurations-Editor angezeigt.

    • Vertrauenswürdige Zertifikate: Vertrauenswürdige Zertifikate sind selbstsignierte, zwischengeschaltete Zertifizierungsstellen (CA) oder Stammzertifizierungsstellenzertifikate, die zur Überprüfung der Identität eines Peers verwendet werden. Für ein vertrauenswürdiges Zertifikat ist kein privater Schlüssel erforderlich. Die konfigurierten Trusted Certificates und ihre jeweiligen Fingerabdrücke werden hier aufgelistet.

Sicherheitszertifikat.

Sicherheit