Firewalleinstellungen
Sie können Firewalleinstellungen auf Standortebene konfigurieren. Diese Einstellungen bieten Sicherheit für alle SD-WAN-Appliances an einem bestimmten Standort.
Im Folgenden finden Sie Anweisungen zum Konfigurieren der Site-spezifischen Override-Firewalleinstellungen:
-
Navigieren Sie auf Standortebene zu Konfiguration > Erweiterte Einstellungen > Firewall-Einstellungen.
-
Wählen Sie im Dropdown-Menü Firewall-Einstellungen außer Kraft setzen die Option Standortspezifische Außerkra Diese Aktion wendet die definierten Firewallregeln auf eine bestimmte Site an.
Hinweis:
Wenn Sie von einer standortspezifischen Einstellung zu einer globalen Standardeinstellung wechseln möchten, wählen Sie in der Dropdownliste die Option Globale Standardwerte aus. Diese Aktion entfernt die standortspezifische Konfiguration und behält die globalen spezifischen Standardeinstellungen bei.
-
Aktion, wenn keine Firewallregeln übereinstimmen: Wählen Sie in der Dropdownliste eine Aktion (Zulassen oder Verwerfen) für die Pakete aus, die nicht mit einer Firewall-Richtlinie übereinstimmen.
-
Standardmäßige Verbindungsstatusverfolgung: Aktiviert die direktionale Verbindungsstatusverfolgung für TCP-, UDP- und ICMP-Flows, die keiner Filterrichtlinie oder NAT-Regel entsprechen.
-
Quellroutenvalidierung: Wenn Sie dieses Kontrollkästchen aktivieren, werden Pakete verworfen, wenn sie auf einer Schnittstelle empfangen werden, die sich von der Route des Pakets unterscheidet, die durch die Quell-IP-Adresse bestimmt wird.
-
FTP ALG: Wenn Sie dieses Kontrollkästchen aktivieren, überwacht das FTP-ALG (Application Layer Gateway) die Verbindungen am TCP-Port 21 und aktualisiert FTP-Nachrichten mit den entsprechenden NAT-IP-Adressen.
-
Max. Verbindungen pro Quelle: Maximale Anzahl nicht hergestellter Verbindungen, die jede Quell-IP-Adresse zulassen kann. Standardmäßig erlaubt jede Quell-IP-Adresse eine unbegrenzte Anzahl nicht hergestellter Verbindungen.
-
Max. Neue Verbindungen pro Quelle: Maximale Anzahl von Verbindungen, die jede Quell-IP-Adresse zulassen kann. Standardmäßig erlaubt jede Quell-IP-Adresse eine unbegrenzte Anzahl von Verbindungen.
-
Globale Verbindungs-Timeouts verwenden: Wenn Sie dieses Kontrollkästchen aktivieren, aktiviert SD-WAN die globalen Timeout-Einstellungen. Deaktivieren Sie dieses Kontrollkästchen, um bestimmte Timeout-Einstellungen zu konfigurieren.
- Verweigerte Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor verweigerte Verbindungen geschlossen werden.
- TCP-Anfangs-Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine unvollständige TCP-Sitzung geschlossen wird.
- TCP-Leerlauf-Timeout (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine aktive TCP-Sitzung geschlossen wird.
- TCP-Schließzeitlimit: Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine TCP-Sitzung nach einer Termin-Anforderung geschlossen wird.
- TCP-Zeitwarte-Timeouts (s): Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine beendete TCP-Sitzung geschlossen wird.
- TCP-Zeitlimit für geschlossenePakete: Zeit (in Sekunden), um auf neue Pakete zu warten, bevor eine abgebrochene TCP-Sitzung geschlossen wird.
-
-
Klicken Sie auf Speichern.