Citrix SD-WAN Orchestrator

防火墙设置

防火墙设置

您可以在站点级别配置防火墙设置。这些设置为特定站点上的所有 SD-WAN 设备提供安全性。

以下是配置特定站点覆盖防火墙设置的说明:

  1. 在站点级别,导航到 配置 > 高级设置 > 防火墙设置

  2. 从 “ 覆盖防火墙设置” 下拉菜单中选择 “特定站点覆盖 ” 选项。此操作将定义的防火墙规则应用于特定站点。

    注意

    如果要从特定站点设置切换到全局默认设置,请从下拉列表中选择 “ 全局默认值 ” 选项。此操作会删除特定于站点的配置并保留全局特定的默认值。

    特定站点的覆盖

    • 不匹配防火墙规则时的操作:从下拉列表中选择与防火墙策略不匹配的数据包的操作(允许或丢弃)。

    • 默认连接状态跟踪:对与筛选策略或 NAT 规则不匹配的 TCP、UDP 和 ICMP 流启用定向连接状态跟踪。

    • 源路由验证:选中此复选框时,如果在与数据包路由不同的接口上接收数据包,则会丢弃这些数据包,具体取决于源 IP 地址。

    • FTP ALG:选中此复选框时,FTP ALG(应用层网关)会监控 TCP 端口 21 上的连接,并使用相应的 NAT IP 地址更新 FTP 消息。

    • 每个源的最大连接数:每个源 IP 地址允许的最大未建立连接数。默认情况下,每个源 IP 地址允许无限数量的未建立连接。

    • 每个源的最大新连接数:每个源 IP 地址允许的最大连接数。默认情况下,每个源 IP 地址允许无限数量的连接。

    • 使用全局连接超时:选中此复选框时,SD-WAN 会启用全局超时设置。要配置特定的超时设置,请清除此复选框。

      • 拒绝超时:在关闭被拒绝的连接之前等待新数据包的时间(以秒为单位)。
      • TCP 初始超时:在关闭未完成的 TCP 会话之前等待新数据包的时间(以秒为单位)。
      • TCP 空闲超时:在关闭活动 TCP 会话之前等待新数据包的时间(以秒为单位)。
      • TCP 关闭超时:在终止请求后关闭 TCP 会话之前等待新数据包的时间(以秒为单位)。
      • TCP 等待时间超时:在关闭已终止的 TCP 会话之前等待新数据包的时间(以秒为单位)。
      • TCP 关闭超时:在关闭中止的 TCP 会话之前等待新数据包的时间(以秒为单位)。
  3. 单击保存

防火墙设置

在本文中