Citrix SD-WAN

Richtlinien

Richtlinien bieten die Möglichkeit, bestimmte Verkehrsflüsse zu erlauben, zu verweigern, abzulehnen oder zu zählen und fortzusetzen. Die Anwendung dieser Richtlinien auf jeden Standort wäre schwierig, wenn die SD-WAN-Netzwerke wachsen. Um dieses Problem zu beheben, können Gruppen von Firewall-Filtern mit einer Firewall-Richtlinienvorlage erstellt werden. Eine Firewall-Richtlinienvorlage kann auf alle Sites im Netzwerk oder nur auf bestimmte Sites angewendet werden. Diese Richtlinien werden entweder als Vorlagen-Richtlinien für die Vorlagenvorbereitung oder nach Appliance-Vorlagen-Richtlinien sortiert. Sowohl die netzwerkweiten Richtlinien für die Vorab-Appliance als auch für die Post-Appliance-Vorlage werden auf globaler Ebene konfiguriert. Lokale Richtlinien werden auf Standortebene unter Verbindungen konfiguriert und gelten nur für diesen bestimmten Standort.

lokalisiertes Bild

Richtlinien für Vorlagenvorlagen werden vor lokalen Standortrichtlinien angewendet. Lokale Standortrichtlinien werden als Nächstes angewendet, gefolgt von Richtlinien für die Vorlage nach der Appliance. Ziel ist es, den Konfigurationsprozess zu vereinfachen, indem Sie globale Richtlinien anwenden und gleichzeitig die Flexibilität beibehalten, standortspezifische Richtlinien anzuwenden.

Filterrichtlinienauswertungsreihenfolge

  1. Vorlagenvorlagen — kompilierte Richtlinien aus allen PRE-Abschnitten.

  2. Pre-Global — Aus dem Abschnitt “PRE” wurden Richtlinien zusammengestellt.

  3. Lokal — Richtlinien auf Appliance-Ebene.

  4. Lokal automatisch generiert — automatisch lokal generierte Richtlinien.

  5. Post-Templates — kompilierte Richtlinien aus allen “POST” -Abschnitten.

  6. Post-Global — Kompilierte Richtlinien aus dem Abschnitt “POST”.

Richtliniendefinitionen - Global und Local (Site)

Sie können Richtlinien für Vorinstallierungs- und Nach-Appliance-Vorlagen auf globaler Ebene konfigurieren. Lokale Richtlinien werden auf Standortebene einer Appliance angewendet.

lokalisiertes Bild

Der obige Screenshot zeigt die Richtlinienvorlage, die global für das SD-WAN-Netzwerk gelten würde. Um eine Vorlage auf alle Standorte im Netzwerk anzuwenden, navigieren Sie zu Global > Netzwerkeinstellungen > Globale Richtlinienvorlage, und wählen Sie eine bestimmte Richtlinie aus. Auf Standortebene können Sie weitere Richtlinienvorlagen hinzufügen und standortspezifische Richtlinien erstellen.

Die spezifischen konfigurierbaren Attribute für eine Richtlinie werden im folgenden Screenshot angezeigt, diese sind für alle Richtlinien identisch.

lokalisiertes Bild

Richtlinienattribute

  • Priorität — Reihenfolge, in der die Richtlinie innerhalb aller definierten Richtlinien angewendet wird. Richtlinien mit niedrigerer Priorität werden vor Richtlinien mit höherer Priorität angewendet.

  • Zone — Flows haben eine Quellzone und eine Zielzone.

    • Von Zone — Quellzone für die Richtlinie.
    • Zu Zone — Zielzone für die Richtlinie.
  • Aktion — Aktion, die bei einem übereinstimmenden Flow ausgeführt werden soll.

    • Zulassen — Erlauben Sie den Fluss durch die Firewall.

    • Drop — verweigern Sie den Fluss durch die Firewall, indem Sie die Pakete löschen.

    • Ablehnen — verweigern Sie den Fluss durch die Firewall und senden Sie eine protokollspezifische Antwort. TCP sendet einen Reset, ICMP sendet eine Fehlermeldung.

    • Count and Continue — Zählen Sie die Anzahl der Pakete und Bytes für diesen Flow, und fahren Sie dann mit der Richtlinienliste fort.

  • Protokollintervall — Zeit in Sekunden zwischen der Protokollierung der Anzahl der Pakete, die der Richtlinie entsprechen, an die Firewall-Protokolldatei oder den Syslog-Server, sofern diese konfiguriert ist.

    • Protokollstart — Wenn diese Option aktiviert ist, wird ein Protokolleintrag für den neuen Flow erstellt.

    • Log End — Protokollieren Sie die Daten für einen Flow, wenn der Flow gelöscht wird.

Hinweis:

Der Standardwert für Protokollintervall 0 bedeutet keine Protokollierung.

  • Track — Ermöglicht der Firewall, den Status eines Flow zu verfolgen und diese Informationen in derTabelleÜberwachung>Firewall>Verbindungen anzuzeigen. Wenn der Flow nicht verfolgt wird, zeigt der Status NOT_TRACKED an. In der Tabelle finden Sie die Statusverfolgung auf Basis des Protokolls unten. Verwenden Sie die Einstellung, die auf Standortebene unter Firewall > Einstellungen > **Erweitert** > Standardverfolgung definiert ist.

    • Keine Spur — Der Fließstatus ist nicht aktiviert.

    • Track — Zeigt den aktuellen Status des Flow an (der dieser Richtlinie entspricht).

  • Übereinstimmungstyp — Wählen Sie einen der folgenden Übereinstimmungstypen

    • IP-Protokoll — Wenn dieser Übereinstimmungstyp ausgewählt ist, wählen Sie ein IP-Protokoll aus, mit dem der Filter übereinstimmt. Die Optionen sind ANY, TCP, UDP ICMP usw

    • Anwendung — Wenn dieser Übereinstimmungstyp ausgewählt ist, geben Sie die Anwendung an, die als Übereinstimmungskriterien für diesen Filter verwendet wird.

    • Anwendungsfamilie — Wenn dieser Übereinstimmungstyp ausgewählt ist, wählen Sie eine Anwendungsfamilie aus, die als Übereinstimmungskriterien für diesen Filter verwendet wird.

    • Anwendungsobjekt — Wenn dieser Übereinstimmungstyp ausgewählt ist, wählen Sie eine Anwendungsfamilie aus, die als Übereinstimmungskriterien für diesen Filter verwendet wird.

Weitere Informationen zu Anwendung, Anwendungsfamilie und Anwendungsobjekt finden Sie unter Anwendungsklassifizierung.

  • DSCP — Erlauben Sie dem Benutzer die Übereinstimmung mit einer DSCP-Tag-Einstellung.

  • Fragmente zulassen — Erlauben Sie IP-Fragmente, die dieser Filterrichtlinie entsprechen.

Hinweis:

Die Firewall fügt fragmentierte Frames nicht wieder ein.

  • Auch umkehren — fügt automatisch eine Kopie dieser Filterrichtlinie hinzu, wobei Quell- und Zieleinstellungen rückgängig gemacht wurden.

  • Übereinstimmung festgelegt — Übereinstimmung mit eingehenden Paketen für eine Verbindung, zu der ausgehende Pakete zugelassen waren.

  • Quell-Servicetyp — in Bezug auf einen SD-WAN-Dienst — Lokal (zur Appliance), Virtual Path, Intranet, IPHost oder Internet sind Beispiele für Service-Typen.

  • IPHost Option - Dies ist ein neuer Diensttyp für die Firewall und wird für Pakete verwendet, die von der SD-WAN-Anwendung generiert werden. Beispielsweise führt das Ausführen eines Pings über die Web-Benutzeroberfläche des SD-WAN zu einem Paket, das von einer virtuellen SD-WAN-IP-Adresse stammt. Wenn Sie eine Richtlinie für diese IP-Adresse erstellen, muss der Benutzer die Option IPHost auswählen.

  • Quelldienstname — Name eines Dienstes, der an den Diensttyp gebunden ist. Wenn beispielsweise der virtuelle Pfad für den Quelldiensttyp ausgewählt ist, wäre dies der Name des spezifischen virtuellen Pfads. Dies ist nicht immer erforderlich und hängt vom ausgewählten Servicetyp ab.

  • Quell-IP-Adresse — typische IP-Adresse und Subnetzmaske, mit der der Filter übereinstimmt.

  • Quellport — Quellport, den die jeweilige Anwendung verwendet.

  • Zieldiensttyp - in Bezug auf einen SD-WAN-Dienst: Lokal (zur Appliance), Virtual Path, Intranet, IPHost oder Internet sind Beispiele für Diensttypen.

  • Zieldienstname - Name eines Dienstes, der an den Diensttyp gebunden ist. Dies ist nicht immer erforderlich und hängt vom ausgewählten Servicetyp ab.

  • Ziel-IP-Adresse — typische IP-Adresse und Subnetzmaske, mit der der Filter übereinstimmt.

  • Zielport — Zielport, den die spezifische Anwendung verwendet (z. B. HTTP-Zielport 80 für das TCP-Protokoll).

Die Option Spur bietet viel mehr Details über einen Fluss. Die Statusinformationen, die in den Statustabellen nachverfolgt werden, sind unten aufgeführt.

Zustandstabelle für die Spuroption

Es gibt nur wenige Staaten, die konsistent sind:

  • INIT- Verbindung erstellt, aber das anfängliche Paket war ungültig.

  • O_DENIED- Pakete, die die Verbindung erstellt haben, werden von einer Filterrichtlinie verweigert.

  • R_DENIED- Pakete aus dem Responder werden durch eine Filterrichtlinie verweigert.

  • NOT_TRACKED - Die Verbindung wird nicht statusmäßig verfolgt, ist aber andernfalls zulässig.

  • GESCHLOSSEN - die Verbindung wurde abgelaufen oder anderweitig durch das Protokoll geschlossen.

  • LETED - Die Verbindung wird gerade entfernt. Der DELETED Zustand wird fast nie gesehen.

Alle anderen Zustände sind protokollspezifisch und erfordern die Aktivierung der Stateful-Tracking.

TCP kann folgende Zustände melden:

  • SYN_SENT - erste TCP-SYN-Nachricht gesehen.

  • SYN_SENT2 - SYN-Nachricht in beide Richtungen gesehen, kein SYN+ACK (AKA simultaneous open).

  • SYN_ACK_RCVD - SYN+ACK empfangen.

  • ESTRIERTED- zweite ACK empfangen, die Verbindung ist vollständig aufgebaut.

  • FIN_WAIT - erste FIN-Nachricht gesehen.

  • CLOSE_WAIT - FIN-Nachricht in beide Richtungen gesehen.

  • TIME_WAIT - letzte ACK in beide Richtungen gesehen. Die Verbindung wird jetzt geschlossen und wartet auf erneutes Öffnen.

Alle anderen IP-Protokolle (insbesondere ICMP und UDP) haben die folgenden Zustände:

  • NEU - Pakete in eine Richtung gesehen.

  • ** ESTRIERT - Pakete, die in beide Richtungen gesehen werden.

Richtlinien