Citrix SD-WAN

策略

策略提供了允许、拒绝、拒绝或计数和继续特定流量流量的功能。随着 SD-WAN 网络的发展,将难以将这些策略单独应用到每个站点。若要解决此问题,可以使用防火墙策略模板创建防火墙筛选器组。防火墙策略模板可以应用于网络中的所有站点,也可以仅应用于特定站点。这些策略按设备前模板策略或设备后模板策略进行排序。网络范围的前设备和后设备模板策略均在全局级别进行配置。本地策略在 连接 下的站点级别配置,并仅应用于该特定站点。

本地化后的图片

设备前模板策略应用于任何本地站点策略。接下来应用本地站点策略,后面是设备后模板策略。目标是通过允许您应用全局策略,同时保持应用特定于站点的策略的灵活性,从而简化配置过程。

筛选策略评估顺序

  1. 预模板 — 从所有模板 “PRE” 部分编译的策略。

  2. 全球前 — 从全球 “PRE” 部分编译政策。

  3. 本地 — 设备级策略。

  4. 本地自动生成 — 自动本地生成的策略。

  5. 后模板 — 从所有模板 “POST” 部分编译的策略。

  6. 后全局 — 从全局 “POST” 部分编译政策。

政策定义-全局和本地(站点)

您可以在全局级别配置设备前和设备后模板策略。本地策略在设备的站点级别应用。

本地化后的图片

以上屏幕截图显示了将应用于全局 SD-WAN 网络的策略模板。要将模板应用到网络中的所有站点,请导航到 “ 全局 ” > “ 网络设置” > “全局策略模板”, 然后选择特定策略。在站点级别,您可以添加更多策略模板,以及创建特定于站点的策略。

策略的特定可配置属性显示在下面的屏幕截图中,这些属性对于所有策略都是相同的。

本地化后的图片

策略属性

  • 优先级 — 在所有定义策略中应用策略的顺序。优先级较低的策略在优先级较高的策略之前应用。

  • 区域 — 流具有源区域和目标区域。

    • 自区域 — 策略的源区域。
    • 到区域 — 策略的目标区域。
  • 作 — 在匹配的流程上执行的操作。

    • 允许 — 允 许流经防火墙。

    • Drop — 通过删除数据包来拒绝通过防火墙的流。

    • 拒绝 — 拒绝 通过防火墙的流,并发送特定于协议的响应。TCP 将发送重置,ICMP 将发送错误消息。

    • 计数并继续 — 计算此流的数据包和字节数,然后继续下去策略列表。

  • 日志间隔 — 记录与防火墙日志文件或 syslog 服务器匹配的数据包数(如果已配置)之间的时间(以秒为单位)。

    • 日志开始 — 如果选中,则会为新流创建一个日志条目。

    • 日志结束 — 在删除流时记录流的数据。

注意

默认的日志间隔值为 0 表示没有日志记录。

  • Track — 允许防火墙跟踪流的状态,并在 监视 > 防火墙 > 连接 表中显示此信息。如果未跟踪流,状态将显示 NOT_TRACKED。请参阅下表,了解基于协议的状态跟踪。使用 防火墙 > 设置 > **高 级 > 默认跟踪 下的站点级别定义的设置**。

    • 无跟踪 — 未启用流状态。

    • Track — 显示流的当前状态(与此策略匹配)。

  • 匹配类型 — 选择以下匹配类型之一

    • IP 协议 — 如果选择了此匹配类型,请选择筛选器将与之匹配的 IP 协议。选项包括任何,TCP,UDP ICMP 等

    • 应用程序 — 如果选择了此匹配类型,则指定用作此筛选器匹配条件的应用程序。

    • 应用程序系 列 — 如果选择了此匹配类型,请选择用作此筛选器匹配条件的应用程序系列。

    • 应用程序对象 — 如果选择了此匹配类型,则选择用作此筛选器的匹配条件的应用程序系列。

有关应用程序、应用程序系列和应用程序对象的更多信息,请参阅应用分类

  • DSCP — 允许用户在 DSCP 标签设置上进行匹配。

  • 允许片段 — 允许匹配此筛选器策略的 IP 片段。

注意

防火墙不会重新组装碎片框架。

  • 还反 转 — 自动添加此筛选器策略的副本,其中源和目标设置已反转。

  • 匹配已建立 — 匹配允许传出数据包的连接的传入数据包。

  • 源服务类型 — 参考 SD-WAN 服务 — 本地(到设备)、虚拟路径、Intranet、IPhost 或 Internet 是服务类型的示例。

  • IPhost 选项 -这是防火墙的新服务类型,用于 SD-WAN 应用程序生成的数据包。例如,从 SD-WAN 的 Web UI 运行 ping 会产生来自 SD-WAN 虚拟 IP 地址的数据包。为此 IP 地址创建策略需要用户选择 IPhost 选项。

  • 源服务名称 — 与服务类型关联的服务名称。例如,如果为源服务类型选择了虚拟路径,则这将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。

  • 源 IP 地址 — 筛选器将使用的典型 IP 地址和子网掩码进行匹配。

  • 源端口 — 特定应用程序将使用的源端口。

  • 目标服务类型 -参考 SD-WAN 服务-本地(到设备)、虚拟路径、Intranet、IPhost 或 Internet 是服务类型的示例。

  • 目标服务名 称-与服务类型关联的服务名称。这并不总是必需的,取决于所选服务类型。

  • 目标 IP 地址 -筛选器将使用的典型 IP 地址和子网掩码进行匹配。

  • 目标端口 — 特定应用程序将使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。

轨道选项提供了有关流程的更多详细信息。状态表中跟踪的状态信息如下所示。

轨道选项的状态表

只有几个状态是一致的:

  • INIT- 连接创建,但初始数据包无效。

  • O_DENIED- 创建连接的数据包将被筛选器策略拒绝。

  • 来自响应程序的 R_DENIED 数据包被筛选策略拒绝。

  • NOT_TRACKED- 连接没有状态跟踪,但被允许。

  • CLOSED- 连接已超时,否则由协议关闭。

  • DELETED- 正在删除连接。DELETED 状态几乎永远不会被看到。

所有其他状态都是特定于协议的,并且需要启用状态跟踪。

TCP 可以报告以下状态:

  • SYN_SENT - 看到第一个 TCP SYN 消息。

  • SYN_SENT2 - 在两个方向上看到的 SYN 消息,没有 SYN+ACK(AKA 同时打开)。

  • SYN_ACK_RCVD - 已收到 SYN+ACK。

  • 建立- 第二 ACK 接收, 连接完全建立.

  • FIN_WAIT - 看到第一个 FIN 消息。

  • CLOSE_WAIT - 在两个方向上看到的 FIN 消息。

  • TIME_WAIT - 在两个方向上看到的最后一个 ACK。连接现在已关闭,等待重新打开。

所有其他 IP 协议(尤其是 ICMP 和 UDP)都具有以下状态:

  • NEW - 在一个方向上看到的数据包。

  • 建立 -在两个方向上看到的数据包。

策略