-
Instalación y actualización de software
-
Actualización del software WAN virtual a 9.3.5 con implementación WAN virtual en funcionamiento
-
Actualización a 11.3 con configuración de WAN virtual funcional
-
Actualización a 11.3 sin configuración de WAN virtual en funcionamiento
-
Actualización parcial del software mediante la administración de cambios local
-
Guía de configuración para cargas de trabajo de Citrix Virtual Apps and Desktops
-
Configuración local de Citrix SD-WAN Orchestrator en el dispositivo Citrix SD-WAN
-
-
-
Plug-in del cliente de la optimización WAN de Citrix
-
Supervisión y solución de problemas
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Directivas
Las directivas ofrecen la capacidad de permitir, denegar, rechazar o contar y continuar con flujos de tráfico específicos. La aplicación de estas directivas individualmente en cada sitio sería difícil a medida que las redes SD-WAN crecen. Para resolver este problema, se pueden crear grupos de filtros de firewall con una plantilla de directiva de firewall. Una plantilla de directiva de firewall se puede aplicar a todos los sitios de la red o a sitios específicos. Estas directivas se ordenan como directivas de plantilla de predispositivo o directivas de plantillas posteriores al dispositivo. Las directivas de plantilla previas y posteriores al dispositivo de toda la red se configuran a nivel global. Las directivas locales se configuran en el nivel del sitio en Conexiones y se aplican únicamente a ese sitio específico.
Las directivas de plantillas previas al dispositivo se aplican antes que cualquier directiva de sitio local. A continuación se aplican las directivas del sitio local, seguidas de las directivas de plantilla posteriores al dispositivo. El objetivo es simplificar el proceso de configuración permitiéndole aplicar directivas globales sin dejar de mantener la flexibilidad de aplicar directivas específicas del sitio.
Filtrar orden de evaluación de directivas
-
Plantillas previas: directivas compiladas de todas las secciones “PRE” de la plantilla.
-
Pre-Global: directivas compiladas de la sección Global “PRE”.
-
Local: Directivas de nivel de dispositivo.
-
Generación automática local: Directivas generadas automáticamente locales.
-
Post-plantillas: directivas compiladas de todas las secciones “POST” de la plantilla.
-
Post-Global: directivas compiladas de la sección “POST” global.
Definiciones de directivas - Global y Local (sitio)
Puede configurar directivas de plantillas previas y posteriores al dispositivo a nivel global. Las directivas locales se aplican en el sitio de un dispositivo.
La captura de pantalla anterior muestra la plantilla de directiva que se aplicaría a la red SD-WAN globalmente. Para aplicar una plantilla a todos los sitios de la red, vaya aGlobal > Configuración de red > Plantilla de directiva global y seleccione una directiva específica. En el nivel del sitio, puede agregar más plantillas de directivas, así como crear directivas específicas del sitio.
Los atributos configurables específicos de una directiva se muestran en la siguiente captura de pantalla; son los mismos para todas las directivas.
atributos de directivas
-
Prioridad: Orden en el que se aplicará la directiva dentro de todas las directivas definidas. Las directivas de prioridad inferior se aplican antes que las directivas de prioridad superior.
-
Zona: Los flujos tienen una zona de origen y una zona de destino.
- Zona de origen: zona de origen de la directiva.
- Zona de destino: zona de destino de la directiva.
-
Acción: acción que se va a realizar en un flujo coincidente.
-
Permitir: Permite el flujo a través del firewall.
-
Dejarcaer: Niega el flujo a través del firewall dejando caer los paquetes.
-
Rechazar: Deniega el flujo a través del firewall y envía una respuesta específica del protocolo. TCP enviará un restablecimiento, ICMP enviará un mensaje de error.
-
Contar y continuar: Cuente el número de paquetes y bytes de este flujo y, a continuación, continúe en la lista de directivas.
-
-
Intervalo de registro: Tiempo en segundos entre el registro del número de paquetes que coinciden con la directiva con el archivo de registro del firewall o el servidor syslog, si está configurado.
-
Inicio de registro: Si se selecciona, se crea una entrada de registro para el nuevo flujo.
-
Fin de registro: registra los datos de un flujo cuando se elimina el flujo.
-
Nota
El valor predeterminado del intervalo de registro de 0 significa que no hay registro.
-
Seguimiento: Permite que el firewall realice un seguimiento del estado de un flujo y muestre esta información en la tabla Supervisión > Firewall > Conexiones. Si no se realiza un seguimiento del flujo, el estado mostrará NOT_TRACKED. Consulte la tabla para obtener información sobre el seguimiento del estado basado en el protocolo que aparece a continuación. Utilice la configuración definida a nivel del sitio en Firewall > Configuración > Avanzada > Seguimiento predeterminado.
-
Sin seguimiento: El estado del flujo no está habilitado.
-
Seguimiento: Muestra el estado actual del flujo (que coincide con esta directiva).
-
-
Tipo de coincidencia: Seleccione uno de los siguientes tipos de coincidencia
-
Protocolo IP: Si se selecciona este tipo de coincidencia, seleccione un protocolo IP con el que coincidirá el filtro. Las opciones incluyen ANY, TCP, UDP, ICMP, etc.
-
Aplicación: Si se selecciona este tipo de coincidencia, especifique la aplicación que se utiliza como criterio de coincidencia para este filtro.
-
Familia de aplicaciones: Si se selecciona este tipo de coincidencia, seleccione una familia de aplicaciones que se utilice como criterio de coincidencia para este filtro.
-
Objeto de aplicación: si se selecciona este tipo de coincidencia, seleccione una familia de aplicaciones que se utilice como criterio de coincidencia para este filtro.
-
Para obtener más información sobre la aplicación, la familia de aplicaciones y el objeto de aplicación, consulte Clasificación de aplicaciones.
-
DSCP: Permite al usuario hacer coincidir una configuración de etiqueta DSCP.
-
Permitir fragmentos: Permite fragmentos IP que coincidan con esta directiva de filtro.
Nota
El firewall no vuelve a ensamblar tramas fragmentadas.
-
Invertir también: Agrega automáticamente una copia de esta directiva de filtros con la configuración de origen y destino invertida.
-
Coincidencia establecida: Empareje los paquetes entrantes para una conexión a la que se permitieron los paquetes salientes.
-
Tipo de servicio de origen — en referencia a un servicio SD-WAN — Local (para el dispositivo), Ruta virtual, Intranet, iPhost o Internet son ejemplos de tipos de servicio.
-
Opción iPHost: Se trata de un nuevo tipo de servicio para el firewall y se utiliza para los paquetes generados por la aplicación SD-WAN. Por ejemplo, ejecutar un ping desde la interfaz de usuario web de la SD-WAN da como resultado un paquete procedente de una dirección IP virtual de SD-WAN. La creación de una directiva para esta dirección IP requeriría que el usuario seleccionara la opción iPHost.
-
Nombre del servicio de origen: Nombre de un servicio vinculado al tipo de servicio. Por ejemplo, si se selecciona la ruta virtual para el tipo de servicio de origen, este sería el nombre de la ruta virtual específica. Esto no siempre es necesario y depende del tipo de servicio seleccionado.
-
Dirección IP de origen: dirección IP típica y máscara de subred que utilizará el filtro para hacer coincidir.
-
Puerto de origen: Puerto de origen que utilizará la aplicación específica.
-
Tipo de servicio de destino: En referencia a un servicio SD-WAN: local (para el dispositivo), ruta virtual, intranet, iPhost o Internet son ejemplos de tipos de servicio.
-
Nombre del servicio de destino: Nombre de un servicio vinculado al tipo de servicio. Esto no siempre es necesario y depende del tipo de servicio seleccionado.
-
Dirección IP de destino: dirección IP típica y máscara de subred que el filtro utilizará para coincidir.
-
Puerto dedestino: puerto de destino que utilizará la aplicación específica (es decir, puerto de destino HTTP 80 para el protocolo TCP).
La opción track proporciona mucho más detalles sobre un flujo. A continuación se incluye la información de estado rastreada en las tablas de estado.
Tabla de estados para la opción de pista
Solo hay unos pocos estados que son coherentes:
-
Se ha creado una conexión INIT, pero el paquete inicial no es válido.
-
O_DENIED: los paquetes que crearon la conexión son denegados por una directiva de filtro.
-
R_DENIED: los paquetes del respondedor son denegados por una directiva de filtro.
-
NOT_TRACKED: la conexión no se realiza un seguimiento de estado, pero se permite de otro modo.
-
CERRADO: la conexión ha agotado el tiempo de espera o ha sido cerrada por el protocolo.
-
ELIMINADO: la conexión está en proceso de ser eliminada. El estado DELETED casi nunca se verá.
Todos los demás estados son específicos del protocolo y requieren que el seguimiento con estado esté habilitado.
TCP puede informar de los siguientes estados:
-
SYN_SENT: Primer mensaje TCP SYN visto.
-
SYN_SENT2 - Mensaje SYN visto en ambas direcciones, sin SYN+ACK (también conocido como abierto simultáneamente).
-
SYN_ACK_RCVD - SYN+ACK recibido.
-
ESTABLECIDO: segundo ACK recibido, la conexión está completamente establecida.
-
FIN_WAIT: Primer mensaje FIN visto.
-
CLOSE_WAIT - Mensaje FIN visto en ambas direcciones.
-
TIME_WAIT - último ACK visto en ambas direcciones. La conexión se ha cerrado a la espera de que se vuelva a abrir.
Todos los demás protocolos IP (especialmente ICMP y UDP) tienen los siguientes estados:
-
NUEVO: Paquetes vistos en una dirección.
-
ESTABLECIDO: Paquetes vistos en ambas direcciones.
Compartir
Compartir
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.