安全性

您可以配置适用于网络中所有设备的安全设置,例如网络加密、虚拟路径 IPsec、防火墙和证书。

防火墙区域

您可以在网络中配置区域并定义策略来控制流量进出区域的方式。默认情况下,以下区域可用:

  • default_lan_Zone:适用于进出具有可配置区域的对象(其中尚未设置区域)的流量。
  • Internet_Zone:适用于使用可信接口进出互联网服务的流量。
  • Untruted_Internet_Zone:适用于使用不可信接口进出互联网服务的流量。

防火墙区域

您还可以创建自己的区域并将其分配给以下类型的对象:

  • 虚拟网络接口
  • 内联网服务
  • GRE 通道
  • 局域网 IPsec 隧道

单击验证配置以验证任何审计错误。

防火墙默认

您可以配置可应用于 SD-WAN 网络中所有设备的全局防火墙设置。还可以在覆盖全局设置的站点级别定义设置。

防火墙默认

  • 默认防火墙操作:从列表中选择与策略不匹配的数据包的操作(允许/丢弃)。

  • 默认连接状态跟踪:为与筛选器策略或 NAT 规则不匹配的 TCP、UDP 和 ICMP 流启用定向连接状态跟踪。

    注意

    启用默认连接状态跟踪时,即使没有定义防火墙策略,也会阻止非对称流。如果站点有可能出现不对称流量,则建议在站点或策略级别而不是在全球范围内启用它。

  • 拒绝超时:在关闭被拒绝的连接之前等待新数据包的时间(以秒为单位)。

  • TCP 初始超时:在关闭未完成的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 空闲超时:在关闭活动 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 关闭超时:终止请求后关闭 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 等待超时:在关闭终止的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 关闭超时:在关闭中止的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • UDP 初始超时:在关闭未看到双向流量的 UDP 会话之前等待新数据包的时间(以秒为单位)。

  • UDP 空闲超时:关闭活动 UDP 会话之前等待新数据包的时间(以秒为单位)。

  • ICMP 初始超时:在关闭未看到双向流量的 ICMP 会话之前等待新数据包的时间(以秒为单位)

  • ICMP 空闲超时:在关闭活动 ICMP 会话之前等待新数据包的时间(以秒为单位)。

  • 通用初始超时:在关闭未看到双向流量的通用会话之前等待新数据包的时间(以秒为单位)。

  • 通用空闲超时:在关闭活动的通用会话之前等待新数据包的时间(以秒为单位)。

单击验证配置以验证任何审计错误。

防火墙简介

防火墙配置文件通过确保网络流量仅限于特定的防火墙规则,具体取决于匹配条件,并通过应用特定操作来提供安全性。防火墙配置文件包含三个部分。

  • 全局配置文件 — 全局配置文件是几条防火墙规则的聚合。您在“全局配置文件”部分下创建的配置文件将应用于网络中的所有站点。
  • 站点特定配置文件 — 您可以在某些特定站点上应用定义的防火墙规则。
  • 全局覆盖配置文件 — 您可以使用全局覆盖配置文件覆盖全局和站点特定配置文件。

防火墙简介

您可以定义防火墙规则并根据优先级进行放置。您可以选择从列表顶部、列表底部或特定行开始的优先顺序。

建议在最特殊的情况下,为应用程序或 subapplications 提供更多特定规则,然后在较低的特定规则中提供更大的流量。

防火墙默认

要创建防火墙规则,请单击创建新规则

防火墙策略详情

  • 如果要应用所有防火墙规则,请提供配置文件名称并选中活动配置文件复选框。
  • 匹配条件定义规则的流量,例如,应用程序、自定义的应用程序、应用程序组、应用程序系列或基于 IP 协议的流量。

  • 筛选条件:

    • 源区域:源防火墙区域。

    • 目标区域:目标防火墙区域。

    • 源服务类型:源 SD-WAN 服务类型 — 本地、虚拟路径、Intranet、IP 主机或 Internet 是服务类型的示例。

    • 源服务名称:与服务类型关联的服务的名称。例如,如果为源服务类型选择了虚拟路径,则该路径将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。

    • 源 IP:规则用来匹配的 IP 地址和子网掩码。

    • 源端口:特定应用程序使用的源端口。

    • Dest 服务类型:目标 SD-WAN 服务类型 — 本地、虚拟路径、Intranet、IP 主机或 Internet 是服务类型的示例。

    • Dest 服务名称:与服务类型关联的服务的名称。这并不总是必需的,取决于所选服务类型。

    • Dest IP:筛选器用来匹配的 IP 地址和子网掩码。

    • Dest Port:特定应用程序使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。

    • IP 协议:如果选择了此匹配类型,请选择规则匹配的 IP 协议。选项包括 ANY、TCP、UDP ICMP 等。

    • DSCP:允许用户在 DSCP 标签设置上进行匹配。

    • 允许片段:允许匹配此规则的 IP 片段。

    • 另外反向:自动添加此筛选器策略的副本,其中源和目标设置已撤消。

    • 已建立匹配:将允许传出数据包连接的传入数据包匹配。

  • 可以对匹配的流程执行以下操作:

    • 允许:允许通过防火墙。

    • 丢弃:通过丢弃数据包来拒绝通过防火墙的流。

    • 拒绝:拒绝通过防火墙的流量并发送特定于协议的响应。TCP 发送重置,ICMP 会发送错误消息。

    • 计数并继续:计算此流的数据包和字节数,然后向下继续策略列表。

除了定义要执行的操作外,您还可以选择要捕获的日志。

单击验证配置以验证任何审计错误。

网络加密

选择要在网络中使用的加密机制。可以配置用于确保整个 SD-WAN 网络安全的全局安全设置。

网络加密模式定义在 SD-WAN 网络中用于所有加密路径的算法。它不适用于非加密路径。可以将加密设置为 AES-128 或 AES-256。

网络加密模式

入侵防御

入侵防御系统 (IPS) 可检测并防止恶意活动进入您的网络。IPS 检查网络流量,并对所有传入的流量采取自动化操作。

IPS 使用基于特征的检测,它将传入的数据包与具有唯一可识别的漏洞和攻击模式的数据库进行匹配。

签名数据库每天自动更新。由于有成千上万个签名,因此签名被分组为类别和类类型。您可以选择特定的类别或类型签名属性来创建入侵防护规则。如果存在与 IPS 日志匹配的规则,则会根据规则操作阻止或允许数据包。

您可以在全局范围内为整个网络创建 IPS 规则,并在定义安全配置文件时选择启用或禁用入侵防护。

注意

  • 由于入侵防护是一个计算敏感的进程,因此只使用与边缘安全部署相关的最低限度的签名类别集。
  • SD-WAN 防火墙会丢弃所有未端口转发且在 IPS 引擎中不可见的 WAN L4 端口上的流量。这为防止微不足道的 DOS 和扫描攻击提供了额外的安全层。

要创建入侵防护规则,请在网络级别导航到“配置”>“安全”>“入侵防护”,然后单击“新建规则”

入侵防御创建规则

提供规则名称和描述。选择匹配类别或类型签名属性,选择规则操作并启用它。您可以从以下规则操作中进行选择:

规则操作 功能
推荐 为每个签名定义了建议的操作。对签名执行建议的操作。
启用日志 允许并记录与规则中任何签名匹配的流量。
启用“如果推荐”启用阻止 如果规则操作为“推荐”且签名的建议操作为“启用日志”,请删除与规则中任何签名匹配的流量。
启用阻止 丢弃与规则中任何签名匹配的流量。
禁用 签名已禁用。允许流量在不记录的情况下继续到目的地。
允许列表 将修改签名的源网络和目标网络,以排除由允许列表变量定义的网络。

规则页

您可以定义安全配置文件并启用或禁用入侵防护规则。安全配置文件用于创建防火墙规则。有关详细信息,请参阅安全配置文件 — 入侵防护

虚拟路径 IPsec 设置

虚拟路径 IPsec 设置定义了 IPsec 隧道设置,以确保通过静态虚拟路径和动态虚拟路径安全传输数据。选择静态虚拟路径 IPsec动态虚拟路径 IPsec 选项卡以定义 IPsec 隧道设置。

  • 封装类型:选择以下安全类型之一:
    • ESP:数据被封装和加密。
    • ESP+Auth:使用 HMAC 封装、加密和验证数据。
    • AH:数据通过 HMAC 进行验证。
  • 加密模式:启用 ESP 时使用的加密算法。
  • 哈希算法:用于生成 HMAC 的哈希算法。
  • 生命周期:IPsec 安全关联存在的首选持续时间(以秒为单位)。输入0表示无限制。

有关配置 IPsec 服务的信息,请参阅 IPsec 服务

虚拟路径 IPsec 设置

单击验证配置以验证任何审计错误

证书

有两种类型的证书: 身份识别和可信证书。身份证书用于签名或加密数据,以验证消息内容和发件人的身份。可信证书用于验证消息签名。Citrix SD-WAN 设备同时接受身份证书和可信证书。管理员可以在配置编辑器中管理证书。

证书

单击验证配置以验证任何审计错误

要添加证书,请单击添加证书

  • 证书名称:提供证书名称。

  • 证书类型:从下拉列表中选择证书类型。

    • 身份证书:身份证书要求签名者可以使用证书的私钥。对等体信任的身份证书或其证书链来验证发件人的内容和身份。配置编辑器中将显示已配置的身份证书及其各自的指纹。

    • 可信证书:受信任证书是自签名的中间证书颁发机构 (CA) 或根 CA 证书,用于验证对等体的身份。可信证书不需要私钥。此处列出了配置的可信证书及其各自的指纹。

安全证书

安全性