安全

您可以配置适用于网络中所有设备的安全设置,如网络加密、虚拟路径 IPsec、防火墙和证书。

防火墙区域

您可以配置网络中的区域,并定义策略来控制流量进出区域的方式。默认情况下,以下区域可用:

  • Default_LAN_Zone:在未设置区域的情况下适用于使用可配置区域的对象进行传输的情况。
  • Internet_Zone:适用于使用受信任接口传入或传出 Internet 服务的流量。
  • Untrusted_Internet_Zone:适用于使用不受信任的界面进入或从互联网服务的流量。

防火墙区域

您还可以创建自己的区域并将它们分配给以下类型的对象:

  • 虚拟网络接口
  • 内联网服务
  • GRE 通道
  • 局域网 IPsec 隧道

单击验证配置以验证任何审核错误。

防火墙默认值

您可以配置可应用于 SD-WAN 网络中所有设备的全局防火墙设置。也可以在覆盖全局设置的站点级别定义这些设置。

防火墙默认值

  • 默认防火墙操作:从列表中为与策略不匹配的数据包选择一个操作(允许/删除)。

  • 默认连接状态跟踪:为不匹配筛选器策略或 NAT 规则的 TCP、UDP 和 ICMP 流启用定向连接状态跟踪。

    注意

    当启用默认连接状态跟踪时,即使未定义防火墙策略,也会阻止非对称流。如果站点存在不对称流动的可能性,建议在站点或策略级别启用该流动,而不是在全球范围内启用。

  • 拒绝超时:在关闭被拒绝连接之前等待新数据包的时间(以秒为单位)。

  • TCP 初始超时:在关闭不完整的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 空闲超时:在关闭活动 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 关闭超时:在终止请求后关闭 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 时间等待超时:在关闭已终止的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 关闭超时:在关闭中止的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • UDP 初始超时:在关闭未看到双向流量的 UDP 会话之前等待新数据包的时间(以秒为单位)。

  • UDP 空闲超时:在关闭活动 UDP 会话之前等待新数据包的时间(以秒为单位)。

  • ICMP 初始超时:在关闭尚未看到两个方向流量的 ICMP 会话之前等待新数据包的时间(以秒为单位)

  • ICMP 空闲超时:在关闭活动 ICMP 会话之前等待新数据包的时间(以秒为单位)。

  • 通用初始超时:在关闭未看到双向流量的通用会话之前等待新数据包的时间(以秒为单位)。

  • 通用空闲超时:在关闭活动通用会话之前等待新数据包的时间(以秒为单位)。

单击验证配置以验证任何审核错误。

防火墙配置文件

防火墙配置文件通过确保网络流量仅限于特定防火墙规则,具体取决于匹配条件,并通过应用特定操作来提供安全性。防火墙配置文件 包含三个部分。

  • 全局配置文件 — 全局配置文件是几个防火墙规则的聚合。在全局配置文件部分下创建的配置文件将应用于网络中的所有站点。
  • 站点特定配置文件 — 您可以在某些特定站点上应用定义的防火墙规则。
  • 全局覆盖配置文件 — 您可以使用全局覆盖配置文件 覆盖全局配置文件和特定站点配置文件

防火墙配置文件

您可以定义防火墙规则并根据优先级放置它。您可以选择从列表顶部、列表底部或特定行开始的优先级顺序。

建议在最特殊的情况下,为应用程序或 subapplications 提供更多特定规则,然后在较低的特定规则中提供更大的流量。

防火墙默认值

要创建防火墙规则,请单击创建新规则

防火墙策略详细信息

  • 如果要应用所有防火墙规则,请提供 配置文件名称并选中“活动配置文件”复选框。
  • 匹配条件定义规则的流量,如应用程序、自定义应用程序、应用程序组、应用程序系列或基于 IP 协议的流量。

  • 筛选条件:

    • 源区域:源防火墙区域。

    • 目标区域:目标防火墙区域。

    • 源服务类型:源 SD-WAN 服务类型 — 本地、虚拟路径、Intranet、IPhost 或 Internet 是服务类型的示例。

    • 源服务名称:与服务类型绑定的服务的名称。例如,如果为源服务类型选择了虚拟路径,则该路径将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。

    • 源 IP:规则用于匹配的 IP 地址和子网掩码。

    • 源端口:特定应用程序使用的源端口。

    • 目标服务类型:目标 SD-WAN 服务类型 — 本地、虚拟路径、Intranet、IPhost 或 Internet 是服务类型的示例。

    • 目标服务名称:与服务类型关联的服务名称。这并不总是必需的,取决于所选服务类型。

    • 目标 IP:IP 地址和子网掩码筛选器使用以匹配。

    • 目标端口: 特定应用程序使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。

    • IP 协议:如果选择了此匹配类型,请选择与规则匹配的 IP 协议。选项包括 ANY、TCP、UDP ICMP 等。

    • DSCP:允许用户匹配 DSCP 标签设置。

    • 允许片段:允许匹配此规则的 IP 片段。

    • 反向:自动添加此筛选器策略的副本,其源设置和目标设置相反。

    • 已建立匹配:匹配允许传出数据包的连接的传入数据包。

  • 可以对匹配的流执行以下操作:

    • 允许: 允许流经防火墙。

    • 放弃:通过删除数据包来拒绝通过防火墙的流。

    • 拒绝:拒绝通过防火墙的流,并发送特定于协议的响应。TCP 发送重置,ICMP 发送错误消息。

    • 计数并继续:计数此流的数据包和字节数,然后继续执行策略列表。

除了定义要执行的操作外,您还可以选择要捕获的日志。

单击验证配置以验证任何审核错误。

网络加密

选择要在网络中使用的加密机制。可以配置用于确保整个 SD-WAN 网络安全的全局安全设置。

网络加密模式定义在 SD-WAN 网络中用于所有加密路径的算法。它不适用于非加密路径。可以将加密设置为 AES-128 或 AES-256。

网络加密模式

入侵防护

入侵防护系统 (IPS) 可检测并阻止恶意活动进入您的网络。IPS 检查网络流量,并对所有传入流量执行自动操作。

IPS 使用基于签名的检测,它将传入的数据包与具有唯一标识的漏洞攻击和攻击模式的数据库进行匹配。签名数据库每天自动更新。由于有数千个签名,因此签名被分组为“类别”和“类”类型。您可以选择特定的“类别”或“类”类型签名属性来创建入侵防护规则。如果存在与规则匹配的规则,则 IPS 日志、阻止或允许基于规则操作的数据包。

您可以在全局范围内为整个网络创建 IPS 规则,并在定义安全配置文件时选择启用或禁用入侵防护。

注意

  • 由于入侵防护是一个计算敏感的过程,只使用与边缘安全部署相关的最小特征码类别集。
  • SD-WAN 防火墙会丢弃所有未端口转发且在 IPS 引擎中不可见的 WAN L4 端口上的流量。这提供了一个额外的安全层来抵御微不足道的 DOS 和扫描攻击。

要创建入侵防护规则,请在网络级别导航到“配置”>“安全”>“入侵防 护”,然后单击“新建规则”。

入侵防护创建规则

提供规则名称和说明。选择匹配类别或类型签名属性,选择规则操作,然后启用它。您可以从以下规则操作中进行选择:

规则操作 功能
推荐 为每个特征码定义了建议的操作。对签名执行建议的操作。
启用日志 允许并记录与规则中任何签名匹配的流量。
如果启用了建议,则启用阻止 如果规则操作为“推荐”,并且特征码的建议操作为“启用日志”,请删除与规则中任何特征码匹配的流量。
启用块 删除与规则中任何签名匹配的流量。
禁用 签名处于禁用状态。允许流量在不记录的情况下继续到达目的地。
白名单 对特征码的源网络和目的网络进行了修改,以排除由白名单变量定义的网络。

“规则”页

您可以定义安全配置文件,并启用或禁用入侵防护规则。安全配置文件用于创建防火墙规则。有关详细信息,请参阅安全配置文件 — 入侵防护

虚拟路径 IPsec 设置

虚拟路径 IPsec 设置定义 IPsec 通道设置,以确保通过虚拟通道安全传输数据。

  • 封装类型:选择以下安全类型之一:
    • ESP:数据被封装和加密。
    • ESP+ 身份验证:使用 HMAC 封装、加密和验证数据。
    • AH:使用 HMAC 验证数据。
  • 加密模式:启用 ESP 时使用的加密算法。
  • 散列算法:用于生成 HMAC 的散列算法。
  • 生命周期:IPsec 安全关联存在的首选持续时间(以秒为单位)。输入0表示无限制。

有关配置 IPsec 服务的信息,请参阅IPsec 服务

虚拟路径 IPsec 设置

单击验证配置以验证任何审核错误

证书

有两种类型的证书: 身份识别和可信证书。身份证书用于签名或加密数据,以验证消息内容和发件人的身份。可信证书用于验证消息签名。Citrix SD-WAN 设备同时接受身份证书和可信证书。管理员可以在配置编辑器中管理证书。

证书

单击验证配置以验证任何审核错误

要添加证书,请单击添加证书

  • 证书名称:提供证书名称。

  • 证书类型:从下拉列表中选择证书类型。

    • 身份证书:身份证书要求签名者可以使用证书的私钥。对等机信任的身份证书或其证书链,用于验证发件人的内容和身份。配置编辑器中将显示已配置的身份证书及其各自的指纹。

    • 可信证书: 可信证书是自签名证书、中间证书颁发机构 (CA) 或根 CA 证书,用于验证对等方的身份。可信证书不需要私钥。此处列出了配置的可信证书及其各自的指纹。

安全证书

安全