-
Instalación y actualización de software
-
Actualización del software WAN virtual a 9.3.5 con implementación WAN virtual en funcionamiento
-
Actualizar versión a 11.1 con la configuración de la red WAN virtual en funcionamiento
-
Actualizar versión a 11.1 sin la configuración de la red WAN virtual en funcionamiento
-
Actualización parcial del software mediante la administración de cambios local
-
Guía de configuración para cargas de trabajo de Citrix Virtual Apps and Desktops
-
Configuración local de Citrix SD-WAN Orchestrator en el dispositivo Citrix SD-WAN
-
-
-
Plug-in del cliente de la optimización WAN de Citrix
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Directivas
Las directivas proporcionan la capacidad de permitir, denegar, rechazar o contar y continuar flujos de tráfico específicos. La aplicación de estas directivas de forma individual a cada sitio sería difícil a medida que crecen las redes SD-WAN. Para resolver este problema, se pueden crear grupos de filtros de firewall con una plantilla de directiva de firewall. Una plantilla de directiva de firewall se puede aplicar a todos los sitios de la red o a sitios específicos. Estas directivas se ordenan como directivas de plantilla previa al dispositivo o directivas de plantilla posterior al dispositivo. Las directivas de plantilla anterior y posterior al appliance para toda la red se configuran a nivel global. Las directivas locales se configuran en el nivel de sitio en Conexiones y se aplican únicamente a ese sitio específico.
Las directivas de plantilla previa al dispositivo se aplican antes que las directivas de sitio local. Las directivas de sitio local se aplican a continuación, seguidas de las directivas de plantilla posteriores al dispositivo. El objetivo es simplificar el proceso de configuración al permitirle aplicar directivas globales al tiempo que mantiene la flexibilidad para aplicar directivas específicas del sitio.
Filtrar orden de evaluación de directivas
-
Plantillas previas — directivas compiladas de todas las secciones de plantilla “PRE”.
-
Pre-Global — directivas compiladas de la sección Global “PRE”.
-
Local: Directivas de nivel de dispositivo.
-
Generación automática local: Directivas generadas automáticamente locales.
-
Post-Templates: directivas compiladas de todas las secciones “POST” de plantilla.
-
Post-Global — directivas compiladas de la sección Global “POST”.
Definiciones de directivas - Global y Local (sitio)
Puede configurar directivas de plantilla previa y posterior al dispositivo a nivel global. Las directivas locales se aplican en el nivel de sitio de un dispositivo.
La captura de pantalla anterior muestra la plantilla de directiva que se aplicaría a la red SD-WAN globalmente. Para aplicar una plantilla a todos los sitios de la red, vaya aGlobal > Configuración de red > Plantilla de directiva global y seleccione una directiva específica. En el nivel del sitio, puede agregar más plantillas de directivas, así como crear directivas específicas del sitio.
Los atributos configurables específicos de una directiva se muestran en la captura de pantalla siguiente, estos son los mismos para todas las directivas.
Atributos de directiva
-
Prioridad: Orden en el que se aplicará la directiva dentro de todas las directivas definidas. Las directivas de prioridad inferior se aplican antes que las directivas de prioridad superior.
-
Zona: Los flujos tienen una zona de origen y una zona de destino.
- Desde Zona: Zona de origen para la directiva.
- Zona To: Zona de destino para la directiva.
-
Acción: Acción que se realiza en un flujo coincidente.
-
Permitir: Permite el flujo a través del cortafuegos.
-
Drop: Denegar el flujo a través del firewall mediante la eliminación de los paquetes.
-
Rechazar: Deniega el flujo a través del firewall y envía una respuesta específica del protocolo. TCP enviará un reinicio, ICMP enviará un mensaje de error.
-
Contar y continuar: Cuente el número de paquetes y bytes para este flujo y, a continuación, continúe hacia abajo en la lista de directivas.
-
-
Intervalo de registro: Tiempo en segundos entre el registro del número de paquetes que coinciden con la directiva con el archivo de registro del firewall o con el servidor syslog, si está configurado.
-
Inicio del registro: Si se selecciona, se crea una entrada de registro para el nuevo flujo.
-
Fin de registro: Registra los datos de un flujo cuando se elimina el flujo.
-
Nota
El valor predeterminado del intervalo de registro de 0 significa que no hay registro.
-
Seguimiento: Permite que el firewall realice un seguimiento del estado de un flujo y muestre esta información en la tabla Supervisión > Firewall > Conexiones. Si no se realiza un seguimiento del flujo, el estado mostrará NOT_TRACKED. Consulte la tabla para el seguimiento de estado basado en el protocolo a continuación. Utilice la configuración definida en el nivel del sitio en Firewall > Configuración > Avanzado > Seguimiento predeterminado.
-
No Track: El estado de flujo no está habilitado.
-
Seguimiento: Muestra el estado actual del flujo (que coincide con esta directiva).
-
-
Tipo de coincidencia: Seleccione uno de los siguientes tipos de coincidencia
-
Protocolo IP: Si se selecciona este tipo de coincidencia, seleccione un protocolo IP con el que coincida el filtro. Las opciones incluyen ANY, TCP, UDP ICMP y así
-
Aplicación: Si se selecciona este tipo de coincidencia, especifique la aplicación que se utiliza como criterio de coincidencia para este filtro.
-
Familia de aplicaciones: Si se selecciona este tipo de coincidencia, seleccione una familia de aplicaciones que se utilice como criterio de coincidencia para este filtro.
-
Objeto de aplicación: si se selecciona este tipo de coincidencia, seleccione una familia de aplicaciones que se utilice como criterio de coincidencia para este filtro.
-
Para obtener más información sobre la aplicación, la familia de aplicaciones y el objeto de aplicación, consulte Clasificación de aplicaciones.
-
DSCP: Permite que el usuario coincida con una configuración de etiqueta DSCP.
-
Permitir fragmentos: Permite fragmentos IP que coincidan con esta directiva de filtro.
Nota
El firewall no vuelve a ensamblar tramas fragmentadas.
-
Invertir también: Agregue automáticamente una copia de esta directiva de filtro con la configuración de origen y destino invertida.
-
Coincidencia establecida: Coincide con los paquetes entrantes para una conexión a la que se permitieron los paquetes salientes.
-
Tipo de servicio de origen: En referencia a un servicio SD-WAN, Local (para el dispositivo), Ruta de acceso virtual, Intranet, IPHost o Internet son ejemplos de tipos de servicio.
-
Opción IPHost: Este es un nuevo tipo de servicio para el Firewall y se utiliza para paquetes generados por la aplicación SD-WAN. Por ejemplo, ejecutar un ping desde la interfaz de usuario web de la SD-WAN da como resultado un paquete procedente de una dirección IP virtual SD-WAN. La creación de una directiva para esta dirección IP requeriría que el usuario seleccionara la opción iPHost.
-
Nombre del servicio de origen: Nombre de un servicio vinculado al tipo de servicio. Por ejemplo, si se selecciona la ruta de acceso virtual para el tipo de servicio de origen, éste sería el nombre de la ruta de acceso virtual específica. Esto no siempre es necesario y depende del tipo de servicio seleccionado.
-
Dirección IP de origen: Dirección IP típica y máscara de subred que utilizará el filtro para hacer coincidir.
-
Puerto de origen: Puerto de origen que utilizará la aplicación específica.
-
Tipo de servicio de destino: En referencia a un servicio SD-WAN: Local (para el dispositivo), Ruta de acceso virtual, Intranet, IPHost o Internet son ejemplos de tipos de servicio.
-
Nombre de servicio de destino: Nombre de un servicio vinculado al tipo de servicio. Esto no siempre es necesario y depende del tipo de servicio seleccionado.
-
Dirección IP de destino: Dirección IP típica y máscara de subred que utilizará el filtro para hacer coincidir.
-
Puerto de destino: Puerto de destino que utilizará la aplicación específica (es decir, puerto de destino HTTP 80 para el protocolo TCP).
La opción de pista proporciona mucho más detalles sobre un flujo. La información de estado rastreada en las tablas de estado se incluye a continuación.
Tabla de estado para la opción de pista
Solo hay unos pocos estados que son consistentes:
-
ConexiónINIT creada, pero el paquete inicial no era válido.
-
O_DENIED- paquetes que crearon la conexión son denegados por una directiva de filtro.
-
R_DENIED- Los paquetes del respondedor son denegados por una directiva de filtro.
-
NOT_TRACKED- la conexión no se realiza un seguimiento con estado, pero se permite de otro modo.
-
CERRADA: La conexión ha agotado el tiempo de espera o ha sido cerrada de otro modo por el protocolo.
-
DELETED: La conexión está en proceso de ser eliminada. El estado DELETED casi nunca se verá.
Todos los demás estados son específicos del protocolo y requieren que se habilite el seguimiento con estado.
TCP puede informar de los siguientes estados:
-
SYN_ENENT - primer mensaje TCP SYN visto.
-
SYN_SENT2 - Mensaje SYN visto en ambas direcciones, sin SYN+ACK (también conocido como abierto simultáneo).
-
SYN_ACK_RCVD - SYN+ACK recibido.
-
ESTABLECIDO - segundo ACK recibido, la conexión está completamente establecida.
-
FIN_WAIT - primer mensaje FIN visto.
-
CLOSE_WAIT - Mensaje FIN visto en ambas direcciones.
-
TIME_WAIT - último ACK visto en ambas direcciones. La conexión está cerrada a la espera de que se vuelva a abrir.
Todos los demás protocolos IP (especialmente ICMP y UDP) tienen los siguientes estados:
-
NUEVO: Paquetes vistos en una dirección.
-
ESTABLISHED: Paquetes vistos en ambas direcciones.
Compartir
Compartir
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.