前言
安全是永恆的話題,隨著網路在社會各個方面的延伸,接入網路的手段也越來越多。企業對於安全性原則與技術的多樣化、靈活性有著更高的需求。上一期我們提到過,Citrix 與專業的防火牆廠商(Check Point、Palo Alto Networks)合作,可集成到Citrix SD-WAN(11.x版本)以提供更高級別的安全防護,保障資訊安全。然而SD-WAN本身自帶的 Firewall 功能依然很強大並兼顧靈活性。
今天我們就來介紹Citrix SD-WAN的主機防火牆
1. 過濾內容
2. 全域範本
下圖比較容易理解兩者的區別:優先順序 全域下無法定義local policy,在site下可以看到local policy共3種類型,優先順序pre>local>post。所以,當全域策略和本地策略衝突時,pre會覆蓋本地策略,而post優先順序最低會被本地策略覆蓋,這樣可以根據實際場景靈活的定義。
3. 調用方式
- 全域調用 Global下networksettings
- 本地調用 Connections下site/firewall選擇範本
可選擇多個範本配置優先順序
小技巧:不管在全域還是本地調用,都會在site下自動生成策略,在下發配置前可以在polices下查看是否有自動生成策略(範本中的策略在local是不可編輯的)。
- 配置示例新建 Firewall template
- Pre-template: Allow any any 10.10.10.0/24 to192.168.50.180
- Post-template: Drop any any 10.10.10.0/24 to any
- Post-template: Allow any any 10.10.10.0/24 to192.168.50.90
此場景將pre和post寫在同一個範本裡,並且第2與第3條在邏輯上有衝突,我們可以在範本內調整策略的優先順序
亦或者拆分出一個新的範本
在調用範本時調整優先順序
在調用範本的同時還可以根據實際需求添加本地策略,足以應付各種複雜的場景。
4. Troubleshooting
採用複雜策略的同時難免會遇到各種問題,在monitor監控下可以即時查看防火牆流量,精細的篩選條件以及20多種參數類型。
通常firewall deny流量有兩種狀態:
O_DENIED:firewall拒絕創建連接(流量未出站就被deny)
R_DENIED:firewall拒絕回應者資料包(回包時被deny)
可以通過此狀態來定位流量是在哪端的site被阻止。
發表迴響