Citrix SD-WAN

Richtlinien

Richtlinien bieten die Möglichkeit, bestimmte Verkehrsströme zuzulassen, abzulehnen oder zu zählen und fortzusetzen. Die individuelle Anwendung dieser Richtlinien auf jeden Standort wäre schwierig, wenn die SD-WAN-Netzwerke wachsen. Um dieses Problem zu beheben, können Gruppen von Firewall-Filtern mit einer Firewall-Richtlinienvorlage erstellt werden. Eine Firewall-Richtlinienvorlage kann auf alle Sites im Netzwerk oder nur auf bestimmte Sites angewendet werden. Diese Richtlinien werden entweder als Richtlinien für Vorlagen vor der Appliance oder als Post-Appliance-Vorlagenrichtlinien angeordnet. Sowohl netzwerkweite Vorbereitungs- als auch Post-Appliance-Vorlagenrichtlinien werden auf globaler Ebene konfiguriert. Lokale Richtlinien werden auf Standortebene unter Verbindungen konfiguriert und gelten nur für diesen bestimmten Standort.

lokalisiertes Bild

Vorlagenrichtlinien vor der Appliance werden vor allen lokalen Site-Richtlinien angewendet. Als Nächstes werden lokale Site-Richtlinien angewendet, gefolgt von Richtlinien für Post-Appliance-Vorlagen. Ziel ist es, den Konfigurationsprozess zu vereinfachen, indem Sie globale Richtlinien anwenden können und gleichzeitig die Flexibilität beibehalten, standortspezifische Richtlinien anzuwenden.

Filterrichtlinienauswertungsreihenfolge

  1. Pre-Templates — kompilierte Richtlinien aus allen Abschnitten “PRE” für Vorlagen.

  2. Vorglobal — zusammengestellte Richtlinien aus dem Abschnitt “Vor” Global.

  3. Lokal — Richtlinien auf Appliance-Ebene.

  4. Lokal automatisch generiert — automatisch lokal generierte Richtlinien.

  5. Post-Templates — kompilierte Richtlinien aus allen Abschnitten “POST” der Vorlage.

  6. Post-Global — zusammengestellte Richtlinien aus dem Abschnitt Global “POST”.

Richtliniendefinitionen - Global und Local (Site)

Sie können Richtlinien für Pre-Appliance- und Post-Appliance-Vorlagen auf globaler Ebene konfigurieren. Lokale Richtlinien werden auf Standortebene einer Appliance angewendet.

lokalisiertes Bild

Der obige Screenshot zeigt die Richtlinienvorlage, die global für das SD-WAN-Netzwerk gelten würde. Um eine Vorlage auf alle Sites im Netzwerk anzuwenden, navigieren Sie zu Global > Netzwerkeinstellungen > Globale Richtlinienvorlage und wählen Sie eine bestimmte Richtlinie aus. Auf Standortebene können Sie weitere Richtlinienvorlagen hinzufügen und standortspezifische Richtlinien erstellen.

Die spezifischen konfigurierbaren Attribute für eine Richtlinie werden im folgenden Screenshot angezeigt, diese sind für alle Richtlinien gleich.

lokalisiertes Bild

Richtlinienattribute

  • Priorität — Reihenfolge, in der die Richtlinie innerhalb aller definierten Richtlinien angewendet wird. Richtlinien mit niedrigerer Priorität werden vor Richtlinien mit höherer Priorität angewendet.

  • Zone — Flüsse haben eine Quell- und Zielzone.

    • Aus Zone — Quellzone für die Richtlinie.
    • Zur Zone — Zielzone für die Richtlinie.
  • Aktion — Aktion, die bei einem übereinstimmenden Fluss ausgeführt werden soll.

    • Erlauben — erlauben Sie den Fluss durch die Firewall.

    • Drop — verweigern Sie den Fluss durch die Firewall, indem Sie die Pakete fallen lassen.

    • Ablehnen — verweigern Sie den Fluss durch die Firewall und senden Sie eine protokollspezifische Antwort. TCP sendet einen Reset, ICMP sendet eine Fehlermeldung.

    • Zählen und fortfahren — zählen Sie die Anzahl der Pakete und Byte für diesen Fluss und fahren Sie dann in der Richtlinienliste fort.

  • Protokollintervall — Zeit in Sekunden zwischen der Protokollierung der Anzahl der Pakete, die der Richtlinie entsprechen, mit der Firewall-Protokolldatei oder dem Syslog-Server, falls diese konfiguriert ist.

    • Start protokollieren — wenn diese Option ausgewählt ist, wird ein Protokolleintrag für den neuen Flow erstellt.

    • Log End — protokolliert die Daten für einen Flow, wenn der Flow gelöscht wird.

Hinweis

Der Standardwert für Protokollintervall 0 bedeutet keine Protokollierung.

  • Track — ermöglicht der Firewall, den Status eines Flows zu verfolgen und diese Informationen in der Tabelle Überwachung > Firewall > Verbindungen anzuzeigen. Wenn der Flow nicht verfolgt wird, zeigt der Status NOT_TRACKED an. Siehe die Tabelle für die Statusverfolgung basierend auf dem Protokoll unten. Verwenden Sie die auf Site-Ebene unter Firewall > Einstellungen > Erweitert > Standardverfolgungdefinierte Einstellung.

    • Kein Track — Flow-Status ist nicht aktiviert.

    • Track — Zeigt den aktuellen Status des Flows an (der dieser Richtlinie entspricht).

  • Übereinstimmungstyp — wählen Sie einen der folgenden Übereinstimmungstypen aus

    • IP-Protokoll — Wenn dieser Übereinstimmungstyp ausgewählt ist, wählen Sie ein IP-Protokoll aus, mit dem der Filter übereinstimmt. Zu den Optionen gehören ANY, TCP, UDP, ICMP usw.

    • Anwendung — Wenn dieser Übereinstimmungstyp ausgewählt ist, geben Sie die Anwendung an, die als Übereinstimmungskriterium für diesen Filter verwendet wird.

    • Anwendungsfamilie — Wenn dieser Übereinstimmungstyp ausgewählt ist, wählen Sie eine Anwendungsfamilie aus, die als Übereinstimmungskriterien für diesen Filter verwendet wird.

    • Anwendungsobjekt — Wenn dieser Übereinstimmungstyp ausgewählt ist, wählen Sie eine Anwendungsfamilie aus, die als Übereinstimmungskriterium für diesen Filter verwendet wird.

Weitere Informationen zu Anwendung, Anwendungsfamilie und Anwendungsobjekt finden Sie unter Anwendungsklassifizierung.

  • DSCP — ermöglicht dem Benutzer die Übereinstimmung mit einer DSCP-Tag-Einstellung.

  • Fragmente zulassen — erlaubt IP-Fragmente, die dieser Filterrichtlinie entsprechen.

Hinweis

Die Firewall fügt fragmentierte Frames nicht wieder ein.

  • Umkehren auch — fügt automatisch eine Kopie dieser Filterrichtlinie hinzu, wobei die Quell- und Zieleinstellungen umgekehrt sind.

  • Match Etabliert — stimmt eingehende Pakete für eine Verbindung zu, zu der ausgehende Pakete erlaubt waren.

  • Quelldiensttyp - in Bezug auf einen SD-WAN-Dienst - Lokal (zur Appliance), virtueller Pfad, Intranet, IPHost oder Internet sind Beispiele für Diensttypen.

  • IPHost-Option - Dies ist ein neuer Diensttyp für die Firewall und wird für Pakete verwendet, die von der SD-WAN-Anwendung generiert werden. Beispielsweise führt das Ausführen eines Pings über die Webbenutzeroberfläche des SD-WAN zu einem Paket, das von einer virtuellen SD-WAN-IP-Adresse bezogen wird. Beim Erstellen einer Richtlinie für diese IP-Adresse muss der Benutzer die Option IPHost auswählen.

  • Quelldienstname — Name eines an den Diensttyp gebundenen Dienstes. Wenn beispielsweise virtueller Pfad für den Quelldiensttyp ausgewählt ist, wäre dies der Name des spezifischen virtuellen Pfads. Dies ist nicht immer erforderlich und hängt vom ausgewählten Servicetyp ab.

  • Quell-IP-Adresse — typische IP-Adresse und Subnetzmaske, die der Filter verwendet, um abzugleichen.

  • Quellport — Quellport, den die spezifische Anwendung verwenden wird.

  • Zieldiensttyp - in Bezug auf einen SD-WAN-Dienst - Lokal (zur Appliance), Virtual Path, Intranet, IPHost oder Internet sind Beispiele für Diensttypen.

  • Zieldienstname - Name eines Dienstes, der an den Diensttyp gebunden ist. Dies ist nicht immer erforderlich und hängt vom ausgewählten Servicetyp ab.

  • Ziel-IP-Adresse - typische IP-Adresse und Subnetzmaske, die der Filter verwendet, um abzugleichen.

  • Zielport — Zielport, den die spezifische Anwendung verwendet (d. h. den HTTP-Zielport 80 für das TCP-Protokoll).

Die Gleisoption bietet viel mehr Details über einen Fluss. Die in den Statustabellen verfolgten Zustandsinformationen sind unten aufgeführt.

Status-Tabelle für die Track-Option

Es gibt nur wenige Status, die konsistent sind:

  • INIT-Verbindung wurde erstellt, aber das ursprüngliche Paket war ungültig.

  • O_DENIED-Pakete, die die Verbindung hergestellt haben, werden von einer Filterrichtlinie verweigert.

  • R_DENIED-Pakete vom Responder werden durch eine Filterrichtlinie verweigert.

  • NOT_TRACKED- Die Verbindung wird nicht zustandslos verfolgt, ist aber anderweitig zulässig.

  • CLOSED- Die Verbindung ist abgelaufenen oder wurde durch das Protokoll auf andere Weise geschlossen.

  • DELETED- Die Verbindung wird gerade entfernt. Der Status DELETED wird fast nie gesehen werden.

Alle anderen Zustände sind protokollspezifisch und erfordern die Aktivierung der Statusverfolgung.

TCP kann die folgenden Zustände melden:

  • SYN_SENT - erste TCP-SYN-Meldung wurde gesehen.

  • SYN_SENT2 - SYN-Meldung in beide Richtungen gesehen, kein SYN+ACK (AKA gleichzeitig geöffnet).

  • SYN_ACK_RCVD - SYN+ACK erhalten.

  • ESTABLISHED- zweites ACK erhalten, Verbindung ist vollständig hergestellt.

  • FIN_WAIT - erste FIN-Nachricht gesehen.

  • CLOSE_WAIT - FIN-Meldung in beide Richtungen gesehen.

  • TIME_WAIT - letzte ACK in beide Richtungen gesehen. Die Verbindung ist jetzt geschlossen und wartet auf eine erneute Öffnung.

Alle anderen IP-Protokolle (insbesondere ICMP und UDP) haben die folgenden Zustände:

  • NEW - Pakete in eine Richtung gesehen.

  • ESTABLISHED - Pakete in beide Richtungen gesehen.

Richtlinien