安全

您可以配置适用于网络中所有设备的安全设置,例如网络加密、防火墙和证书。

加密

网络加密模式定义在 SD-WAN 网络中用于所有加密路径的算法。它不适用于非加密路径。可以将加密设置为 AES-128 或 AES-256。

网络加密模式

防火墙区域

您可以在网络中配置区域并定义策略以控制流量进出区域的方式。默认情况下,以下区域可用:

  • Default_LAN_Zone:在未设置区域的情况下适用于使用可配置区域的对象进行传输的情况。
  • Internet _Zone:适用于使用可信接口进入或从 Internet 服务的流量。
  • Untrusted_Internet_Zone:适用于使用不受信任的界面进入或从互联网服务的流量。

防火墙区域

您还可以创建自己的区域并将它们分配给以下类型的对象:

  • 虚拟网络接口
  • 内联网服务
  • GRE 隧道
  • 局域网 IPsec 隧道

防火墙默认值

您可以配置可应用于 SD-WAN 网络中所有设备的全局防火墙设置。也可以在覆盖全局设置的站点级别定义这些设置。

防火墙默认值

  • 默认防火墙操作:从列表中为与策略不匹配的数据包选择一个操作(允许/删除)。

  • 默认连接状态跟踪:为与筛选器策略或 NAT 规则不匹配的 TCP、UDP 和 ICMP 流启用定向连接状态跟踪。

    注意

    当启用默认连接状态跟踪时,即使未定义防火墙策略,也会阻止非对称流。如果某个地点存在不对称流量的可能性,建议在一个地点或政策层面而不是在全球范围内启用这种流量。

  • 拒绝超时:在关闭被拒绝连接之前等待新数据包的时间(以秒为单位)。

  • TCP 初始超时:在关闭不完整的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 空闲超时:在关闭活动 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 关闭超时:在终止请求后关闭 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 时间等待超时:在关闭终止的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • TCP 关闭超时:在关闭中止的 TCP 会话之前等待新数据包的时间(以秒为单位)。

  • UDP 初始超时:在关闭未看到双向流量的 UDP 会话之前等待新数据包的时间(以秒为单位)。

  • UDP 空闲超时:在关闭活动 UDP 会话之前等待新数据包的时间(以秒为单位)。

  • ICMP 初始超时:在关闭尚未看到两个方向流量的 ICMP 会话之前等待新数据包的时间(以秒为单位)

  • ICMP 空闲超时:在关闭活动 ICMP 会话之前等待新数据包的时间(以秒为单位)。

  • 通用初始超时:在关闭未看到双向流量的通用会话之前等待新数据包的时间(以秒为单位)。

  • 通用空闲超时:在关闭活动通用会话之前等待新数据包的时间(以秒为单位)。

防火墙策略

防火墙策略通过确保网络流量仅限于特定策略,具体取决于匹配条件,并通过应用特定操作来提供安全性。

您可以根据优先级定义防火墙规则并放置防火墙规则。您可以选择从列表顶部、列表底部或特定行开始的优先级顺序。

建议在最特殊的情况下,为应用程序或 subapplications 提供更多特定规则,然后在较低的特定规则中提供更大的流量。

防火墙默认值

要创建防火墙规则,请单击创建新规则

防火墙策略详细信息

  • 匹配条件定义规则的流量,例如应用程序、自定义应用程序、应用程序组、应用程序系列或基于 IP 协议的流量。

  • 网络信息:

    • 源区域:源防火墙区域。

    • 目标区域:目标防火墙区域。

    • 源服务类型:源 SD-WAN 服务类型 — 本地、虚拟路径、Intranet、IPhost 或 Internet 是服务类型的示例。

    • 源服务名称:与服务类型关联的服务名称。例如,如果为源服务类型选择了虚拟路径,则该路径将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。

    • 源 IP:规则用于匹配的 IP 地址和子网掩码。

    • 源端口:特定应用程序使用的源端口。

    • 目标服务类型:目标 SD-WAN 服务类型 — 本地、虚拟路径、Intranet、IPhost 或 Internet 是服务类型的示例。

    • 目标服务名称:与服务类型关联的服务名称。这并不总是必需的,取决于所选服务类型。

    • 目标 IP:IP 地址和子网掩码筛选器使用以匹配。

    • 目标端口: 特定应用程序使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。

    • IP 协议:如果选择此匹配类型,请选择规则匹配的 IP 协议。选项包括任何、TCP、UDP ICMP 等。

    • DSCP:允许用户在 DSCP 标签设置上进行匹配。

    • 允许片段:允许匹配此规则的 IP 片段。

    • 另外反向:自动添加此筛选器策略的副本,并撤销源和目标设置。

    • 已建立匹配:匹配允许传出数据包的连接的传入数据包。

  • 规则作用域指定定义的规则是否可以在网络中的所有站点上全局应用,还是在某些特定站点上应用。

  • 可以对匹配的流执行以下操作:

    • 允许: 允许流经防火墙。

    • 放弃:通过删除数据包来拒绝通过防火墙的流。

    • 拒绝:拒绝通过防火墙的流,并发送特定于协议的响应。TCP 发送重置,ICMP 发送错误消息。

    • 计数并继续:计算此流的数据包和字节数,然后继续下去策略列表。

除了定义要执行的操作外,您还可以选择要捕获的日志。

证书

有两种类型的证书: 身份识别和可信证书。身份证书用于签名或加密数据,以验证消息内容和发件人的身份。可信证书用于验证消息签名。Citrix SD-WAN 设备同时接受身份证书和可信证书。管理员可以在配置编辑器中管理证书。

添加证书

要添加证书,请单击添加证书

  • 身份证书:身份证书要求签名者可以使用证书的私钥。对等方信任的身份证书或其证书链来验证发件人的内容和身份。配置编辑器中将显示已配置的身份证书及其各自的指纹。

  • 可信证书: 可信证书是自签名证书、中间证书颁发机构 (CA) 或根 CA 证书,用于验证对等方的身份。可信证书不需要私钥。此处列出了配置的可信证书及其各自的指纹。

证书