Citrix SD-WAN

策略

策略提供了允许、拒绝、拒绝或计数和继续特定流量流量的功能。随着 SD-WAN 网络的发展,将难以将这些策略单独应用到每个站点。若要解决此问题,可以使用防火墙策略模板创建防火墙筛选器组。防火墙策略模板可以应用于网络中的所有站点,也可以仅应用于特定站点。这些策略按设备前模板策略或设备后模板策略进行排序。网络范围的前设备和后设备模板策略均在全局级别进行配置。本地策略在 连接 下的站点级别配置,并仅应用于该特定站点。

本地化后的图像

设备前模板策略应用于任何本地站点策略。接下来应用本地站点策略,后面是设备后模板策略。目标是通过允许您应用全局策略,同时保持应用特定于站点的策略的灵活性,从而简化配置过程。

筛选策略评估顺序

  1. 预模板 — 从所有模板“PRE”部分编译的策略。

  2. 全局前 — 从全球“PRE”部分编译的策略。

  3. 本地 — 设备级策略。

  4. 本地自动生成 — 自动本地生成的策略。

  5. 后模板 — 从所有模板“POST”部分编译的策略。

  6. 后全局 — 从全局“POST”部分编译的策略。

政策定义-全局和本地(站点)

您可以在全局级别配置设备前和设备后模板策略。本地策略在设备的站点级别应用。

本地化后的图像

以上屏幕截图显示了将应用于全局 SD-WAN 网络的策略模板。要将模板应用到网络中的所有站点,请导航到全局 > 网络设置 > 全局策略模板, 然后选择特定策略。在站点级别,您可以添加更多策略模板,以及创建特定于站点的策略。

策略的特定可配置属性显示在下面的屏幕截图中,这些属性对于所有策略都是相同的。

本地化后的图像

策略属性

  • 优先级 — 在所有已定义的策略中应用策略的顺序。优先级较低的策略在优先级较高的策略之前应用。

  • 区域 — 流程具有源区域和目标区域。

    • 自区域 — 策略的源区域。
    • 到区域 — 策略的目标区域。
  • 操作 ― 要对匹配的流程执行的操作。

    • 允许 — 允 许流量通过防火墙。

    • 弃 — 通过丢弃数据包来拒绝通过防火墙的流量。

    • 拒绝 — 拒绝 通过防火墙的流量并发送特定于协议的响应。TCP 将发送重置,ICMP 将发送错误消息。

    • 计数并继续 — 计算此流的数据包数和字节数,然后继续执行策略列表。

  • 日志间隔 — 将与策略匹配的数据包数量记录到防火墙日志文件或 syslog 服务器(如果已配置)之间的时间(以秒为单位)。

    • 日志开始 — 如果选择此选项,则会为新流程创建日志条目。

    • 日志结束 — 在删除流程时记录流程的数据。

注意

默认的日志间隔值为 0 表示没有日志记录。

  • 跟踪 — 允许防火墙跟踪流的状态,并在 “ 监视 ” > “ 防火墙 ” > “ 连接 ” 表中显示此信息。如果未跟踪流,状态将显示 NOT_TRACKED。请参阅下表,了解基于协议的状态跟踪。使用在站点级别在 防火墙 > 设置 > 高级 > 默认跟踪下定义的设置。

    • 无跟踪 — 未启用流状态。

    • Track — 显示流的当前状态(与此策略匹配)。

  • 匹配类型 — 选择以下匹配类型之一

    • IP 协议 — 如果选择了此匹配类型,请选择筛选器将与之匹配的 IP 协议。选项包括任何,TCP,UDP ICMP 等

    • 应用程序 — 如果选择了此匹配类型,请指定用作此筛选器匹配条件的应用程序。

    • 应用程序系 列 — 如果选择了此匹配类型,请选择用作此筛选器匹配条件的应用程序系列。

    • 应用程序对象 — 如果选择了此匹配类型,请选择用作此筛选器匹配条件的应用程序系列。

有关应用程序、应用程序系列和应用程序对象的详细信 息,请参阅应用

  • DSCP — 允许用户在 DSCP 标记设置上进行匹配。

  • 允许片段 — 允许与此过滤器策略匹配的 IP 片段。

注意

防火墙不会重新组装碎片框架。

  • 另外反向 — 自动添加此筛选器策略的副本,同时源和目标设置已反转。

  • 匹配已建立 — 将允许传出数据包连接的传入数据包匹配。

  • 源服务类型 — 参考 SD-WAN 服务 — 本地(到设备)、虚拟路径、内部网、IPHost 或 Internet 是服务类型的示例。

  • IPHost 选项 -这是防火墙的新服务类型,用于 SD-WAN 应用程序生成的数据包。例如,从 SD-WAN 的 Web UI 运行 ping 会产生来自 SD-WAN 虚拟 IP 地址的数据包。为此 IP 地址创建策略需要用户选择 IPhost 选项。

  • 源服务名称 — 与服务类型关联的服务的名称。例如,如果为源服务类型选择了虚拟路径,则这将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。

  • 源 IP 地址 — 筛选器将用来匹配的典型 IP 地址和子网掩码。

  • 源端口 — 特定应用程序将使用的源端口。

  • 目标服务类型 -参考 SD-WAN 服务-本地(到设备)、虚拟路径、内部网、IPHost 或 Internet 是服务类型的示例。

  • 目标服务名称 -与服务类型关联的服务的名称。这并不总是必需的,取决于所选服务类型。

  • 目标 IP 地址 -筛选器将用来匹配的典型 IP 地址和子网掩码。

  • 目标端口 — 特定应用程序将使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。

轨道选项提供了有关流程的更多详细信息。状态表中跟踪的状态信息如下所示。

轨道选项的状态表

只有几个状态是一致的:

  • 已创建INIT- 连接,但初始数据包无效。

  • O_DENIED- 创建连接的数据包被过滤器策略拒绝。

  • R_DENIED- 来自响应程序的数据包被过滤器策略拒绝。

  • NOT_TARED- 不会有状态地跟踪连接,但在其他情况下允许连接。

  • 关闭- 连接已超时或以其他方式被协议关闭。

  • 已删除- 连接正在删除过程中。DELETED 状态几乎永远不会被看到。

所有其他状态都是特定于协议的,并且需要启用状态跟踪。

TCP 可以报告以下状态:

  • SYN_SENT -看到第一条 TCP SYN 消息。

  • SYN_SENT2 -在两个方向上看到 SYN 消息,没有 SYN+ACK(又名同时打开)。

  • SYN_ACK_RCVD -已收到 SYN+ACK。

  • 已建立- 收到第二个 ACK,连接已完全建立。

  • FIN_WATIT -看到第一条 FIN 消息。

  • CLOSE_WATIT -从两个方向看到 FIN 消息。

  • TIME_WATIT -在两个方向上看到的最后一个 ACK 连接现在已关闭,等待重新打开。

所有其他 IP 协议(尤其是 ICMP 和 UDP)都具有以下状态:

  • NEW -在一个方向上看到的数据包。

  • 建立 -在两个方向上看到的数据包。

策略