Citrix SD-WAN

策略

策略提供了允许、拒绝、拒绝或计数和继续特定流量流量的功能。随着 SD-WAN 网络的发展,将难以将这些策略单独应用到每个站点。若要解决此问题,可以使用防火墙策略模板创建防火墙筛选器组。防火墙策略模板可以应用于网络中的所有站点,也可以仅应用于特定站点。这些策略按设备前模板策略或设备后模板策略进行排序。网络范围的前设备和后设备模板策略均在全局级别进行配置。本地策略在 连接 下的站点级别配置,并仅应用于该特定站点。

本地化后的图片

设备前模板策略应用于任何本地站点策略。接下来应用本地站点策略,后面是设备后模板策略。目标是通过允许您应用全局策略,同时保持应用特定于站点的策略的灵活性,从而简化配置过程。

筛选策略评估顺序

  1. 预模板 — 从所有模板“PRE”部分编译的策略。

  2. 全局前 — 从全球“PRE”部分编译的策略。

  3. 本地 — 设备级策略。

  4. 本地自动生成 — 自动本地生成的策略。

  5. 后模板 — 从所有模板“POST”部分编译的策略。

  6. 后全局 — 从全局“POST”部分编译的策略。

政策定义-全局和本地(站点)

您可以在全局级别配置设备前和设备后模板策略。本地策略在设备的站点级别应用。

本地化后的图片

以上屏幕截图显示了将应用于全局 SD-WAN 网络的策略模板。要将模板应用于网络中的所有站点,请导航到全局”>“网络设置”>“全局策略模板”, 然后选择特定策略。在站点级别,您可以添加更多策略模板,以及创建特定于站点的策略。

策略的特定可配置属性显示在下面的屏幕截图中,这些属性对于所有策略都是相同的。

本地化后的图片

策略属性

  • 优先级 — 策略在所有已定义策略中应用的顺序。优先级较低的策略在优先级较高的策略之前应用。

  • 区域 — 流具有源区域和目标区域。

    • 从区域 — 策略的源区域。
    • 至区域 — 策略的目标区域。
  • 操作 — 对匹配流执行的操作。

    • 允许 — 允许流通过防火墙。

    • 丢弃 — 通过丢弃数据包来拒绝通过防火墙的流。

    • 拒绝 — 拒绝通过防火墙的流,并发送特定于协议的响应。TCP 将发送重置,ICMP 将发送错误消息。

    • 计数并继续 — 计算此流的数据包和字节数,然后继续执行策略列表。

  • 日志间隔 — 将与策略匹配的数据包数记录到防火墙日志文件或 syslog 服务器(如果已配置)之间的时间(以秒为单位)。

    • 日志开始 — 如果选中此选项,则为新流创建日志条目。

    • 日志结束 — 删除流时记录流的数据。

注意

默认的日志间隔值为 0 表示没有日志记录。

  • 跟踪 — 允许防火墙跟踪流的状态,并在监视”>“防火墙”>“连接”表中显示此信息。如果未跟踪流,状态将显示 NOT_TRACKED。请参阅下表,了解基于协议的状态跟踪。使用在防火墙”>“设置”>“高** 级”>“默认跟踪”下的站点级别定义的设置**。

    • 无跟踪 — 未启用流状态。

    • 跟踪 — 显示流的当前状态(与此策略相匹配)。

  • 匹配类型 — 选择以下匹配类型之一

    • IP 协议 — 如果选择了此匹配类型,请选择筛选器将与之匹配的 IP 协议。选项包括任何,TCP,UDP ICMP 等

    • 应用程序 — 如果选择了此匹配类型,则指定用作此筛选器匹配条件的应用程序。

    • 应用程序系列 — 如果选择了此匹配类型,请选择用作此筛选器匹配条件的应用程序系列。

    • 应用程序对象 — 如果选择了此匹配类型,请选择用作此筛选器匹配条件的应用程序系列。

有关应用程序、应用程序族和应用程序对象的详细信息,请参阅 应用程序分类

  • DSCP — 允许用户匹配 DSCP 标签设置。

  • 允许碎片 — 允许与此筛选器策略匹配的 IP 片段。

注意

防火墙不会重新组装碎片框架。

  • 另外反向 — 自动添加此筛选器策略的副本,源和目标设置已反转。

  • 已建立匹配 — 匹配允许传出数据包的连接的传入数据包。

  • 源服务类型 — 参照 SD-WAN 服务 — 服务类型的示例是本地(到设备)、虚拟路径、内部网、IPHost 或 Internet。

  • IPHost 选项 -这是防火墙的新服务类型,用于 SD-WAN 应用程序生成的数据包。例如,从 SD-WAN 的 Web UI 运行 ping 会产生来自 SD-WAN 虚拟 IP 地址的数据包。为此 IP 地址创建策略需要用户选择 IPhost 选项。

  • 源服务名称 — 与服务类型关联的服务的名称。例如,如果为源服务类型选择了虚拟路径,则这将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。

  • 源 IP 地址 — 筛选器用于匹配的典型 IP 地址和子网掩码。

  • 源端口 — 特定应用程序将使用的源端口。

  • 目标服务类型 -参照 SD-WAN 服务 — 服务类型的示例是本地(到设备)、虚拟路径、内部网、IPHost 或 Internet。

  • 目标服务名称 -与服务类型关联的服务的名称。这并不总是必需的,取决于所选服务类型。

  • 目标 IP 地址 -筛选器用于匹配的典型 IP 地址和子网掩码。

  • 目标端口 — 特定应用程序将使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。

轨道选项提供了有关流程的更多详细信息。状态表中跟踪的状态信息如下所示。

轨道选项的状态表

只有几个状态是一致的:

  • INIT- 连接已创建,但初始数据包无效。

  • O_DENED-创建连接的 数据包被筛选器策略拒绝。

  • R_DENENED-来自响应程序的 数据包被过滤器策略拒绝。

  • NOT_TRACKED-连接不 会被状态跟踪,否则允许进行连接。

  • 已关闭-协 议已超时或以其他方式关闭连接。

  • 删除- 正在删除连接。DELETED 状态几乎永远不会被看到。

所有其他状态都是特定于协议的,并且需要启用状态跟踪。

TCP 可以报告以下状态:

  • SYN_SENT -看到第一条 TCP SYN 消息。

  • SYN_SENT2 -在两个方向上看到 SYN 消息,没有 SYN+ACK(AKA 同时打开)。

  • 同步 AK_RCVD -已收到同步 + 确认。

  • 已建立-接收 第二个 ACK,连接完全建立。

  • FIN_WAT -看到了第一条 FIN 消息。

  • CLOSE_WAIT -在两个方向上看到的 FIN 消息。

  • TIME_WAIT -在两个方向上看到的最后一次确认。连接现在已关闭,等待重新打开。

所有其他 IP 协议(尤其是 ICMP 和 UDP)都具有以下状态:

  • NEW -在一个方向看到的数据包。

  • ESTABLISHED -在两个方向上看到的数据包。

策略