-
Installation et mise à niveau du logiciel
-
Mise à niveau du logiciel virtuel WAN vers la version 9.3.5 avec déploiement virtuel WAN
-
Mise à niveau vers la version 11.3 avec une configuration WAN virtuelle fonctionnelle
-
Mise à niveau vers la version 11.3 sans configuration WAN virtuelle fonctionnelle
-
Mise à niveau logicielle partielle à l'aide de la gestion des changements locaux
-
Guide de configuration des charges de travail Citrix Virtual Apps and Desktops
-
Configuration locale de Citrix SD-WAN Orchestrator sur une appliance Citrix SD-WAN
-
-
-
Plug-in client d'optimisation de Citrix WAN
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Stratégies
Les stratégies permettent d’autoriser, de refuser, de rejeter ou de compter et de poursuivre des flux de trafic spécifiques. Il serait difficile d’appliquer ces politiques individuellement à chaque site à mesure que les réseaux SD-WAN se développent. Pour résoudre ce problème, des groupes de filtres de pare-feu peuvent être créés avec un modèle de stratégie de pare-feu. Un modèle de stratégie de pare-feu peut être appliqué à tous les sites du réseau ou uniquement à des sites spécifiques. Ces stratégies sont classées sous la forme de stratégies de modèle d’appliance ou de stratégies de modèle post-appliance. Les stratégies de modèle pré-appliance et post-appliance à l’échelle du réseau sont configurées au niveau global. Les stratégies locales sont configurées au niveau du site sous Connexions et s’appliquent uniquement à ce site spécifique.
Les stratégies de modèle de pré-appliance sont appliquées avant toute stratégie de site locale. Les stratégies de site local sont ensuite appliquées, suivies des stratégies de modèle post-appliance. L’objectif est de simplifier le processus de configuration en vous permettant d’appliquer des stratégies globales tout en conservant la flexibilité nécessaire pour appliquer des stratégies spécifiques au site.
Ordre d’évaluation des stratégies de filtre
-
Pré-modèles — politiques compilées à partir de toutes les sections « PRE » du modèle.
-
Pré-Global — politiques compilées à partir de la section Global « PRE ».
-
Stratégies locales au niveau de l’appareil.
-
Local Auto Generated : stratégies générées automatiquement localement.
-
Post-Templates — politiques compilées à partir de toutes les sections de modèle « POST ».
-
Post-Global — politiques compilées à partir de la section « POST » globale.
Définitions des stratégies - Globale et Locale (site)
Vous pouvez configurer des stratégies de modèle de pré-appliance et post-appliance à un niveau global. Les stratégies locales sont appliquées au niveau du site d’une appliance.
La capture d’écran ci-dessus montre le modèle de stratégie qui s’appliquerait au réseau SD-WAN globalement. Pour appliquer un modèle à tous les sites du réseau, accédez à Global > Paramètres réseau > Modèle de stratégie globale, puis sélectionnez une stratégie spécifique. Au niveau du site, vous pouvez ajouter d’autres modèles de stratégie, ainsi que créer des stratégies spécifiques au site.
Les attributs configurables spécifiques d’une stratégie sont affichés dans la capture d’écran ci-dessous, ils sont les mêmes pour toutes les stratégies.
Attribut de stratégie
-
Priorité : ordre dans lequel la stratégie sera appliquée dans toutes les stratégies définies. Les stratégies de priorité inférieure sont appliquées avant les stratégies de priorité supérieure.
-
Zone : les flux ont une zone source et une zone de destination.
- From Zone : zone source de la stratégie.
- To Zone : zone de destination de la stratégie.
-
Action : action à exécuter sur un flux correspondant.
-
Autoriser : autorise le flux à travers le pare-feu.
-
Drop (Drop ) : refuse le flux à travers le pare-feu en abandonnant les paquets.
-
Rejeter : refuse le flux à travers le pare-feu et envoie une réponse spécifique au protocole. TCP enverra une réinitialisation, ICMP enverra un message d’erreur.
-
Count and Continue : comptez le nombre de paquets et d’octets pour ce flux, puis continuez vers le bas de la liste des stratégies.
-
-
Intervalle de journalisation : délai en secondes entre la consignation du nombre de paquets correspondant à la stratégie dans le fichier journal du pare-feu ou le serveur Syslog, s’il est configuré.
-
Début du journal : si cette option est sélectionnée, une entrée de journal est créée pour le nouveau flux.
-
Log End : consigne les données d’un flux lorsque le flux est supprimé.
-
Remarque
La valeur par défaut de l’intervalle de journalisation est 0 ce qui signifie qu’il n’y a pas de journalisation.
-
Track : permet au pare-feu de suivre l’état d’un flux et d’afficher ces informations dans le tableau Surveillance > Pare-feu > Connexions . Si le flux n’est pas suivi, l’état affiche NOT_TRACKED. Voir le tableau ci-dessous pour le suivi de l’état basé sur le protocole. Utilisez le paramètre défini au niveau du site sous Pare-feu > Paramètres > Avancé > Suivi par défaut.
-
No Track : l’état du flux n’est pas activé.
-
Track : affiche l’état actuel du flux (correspondant à cette stratégie).
-
-
Type de correspondance : sélectionnez l’un des types de correspondance suivants
-
Protocole IP : si ce type de correspondance est sélectionné, sélectionnez un protocole IP auquel le filtre correspondra. Les options incluent ANY, TCP, UDP ICMP et ainsi de suite
-
Application : si ce type de correspondance est sélectionné, spécifiez l’application utilisée comme critère de correspondance pour ce filtre.
-
Famille d’applications : si ce type de correspondance est sélectionné, sélectionnez une famille d’applications utilisée comme critère de correspondance pour ce filtre.
-
Objet Application : si ce type de correspondance est sélectionné, sélectionnez une famille d’applications utilisée comme critère de correspondance pour ce filtre.
-
Pour plus d’informations sur l’application, la famille d’applications et l’objet d’application, consultez la section Classification des applications.
-
DSCP : permet à l’utilisateur de faire correspondre un paramètre de balise DSCP.
-
Autoriser les fragments : autorise les fragments IP qui correspondent à cette stratégie de filtrage.
Remarque
Le pare-feu ne réassemble pas les cadres fragmentés.
-
Inverser aussi : ajoutez automatiquement une copie de cette stratégie de filtre avec les paramètres de source et de destination inversés.
-
Correspondance établie : fait correspondre les paquets entrants pour une connexion à laquelle les paquets sortants ont été autorisés.
-
Type de service source — en référence à un service SD-WAN — Local (à l’appliance), Virtual Path, Intranet, IPHost ou Internet sont des exemples de types de service.
-
Option IPHHost - Il s’agit d’un nouveau type de service pour le pare-feu et est utilisé pour les paquets générés par l’application SD-WAN. Par exemple, l’exécution d’un ping à partir de l’interface utilisateur Web du SD-WAN entraîne un paquet provenant d’une adresse IP virtuelle SD-WAN. Pour créer une stratégie pour cette adresse IP, l’utilisateur doit sélectionner l’option iPHost.
-
Nom du service source : nom d’un service lié au type de service. Par exemple, si le chemin d’accès virtuel est sélectionné pour le type de service source, il s’agit du nom du chemin d’accès virtuel spécifique. Cela n’est pas toujours obligatoire et dépend du type de service sélectionné.
-
Adresse IP source : adresse IP typique et masque de sous-réseau que le filtre utilisera pour correspondre.
-
Port source : port source utilisé par l’application spécifique.
-
Type de service de destination : en référence à un service SD-WAN : Local (vers l’appliance), Chemin virtuel, Intranet, IPHost ou Internet sont des exemples de types de services.
-
Nom du service de destination : nom d’un service lié au type de service. Cela n’est pas toujours obligatoire et dépend du type de service sélectionné.
-
Adresse IP de destination : adresse IP typique et masque de sous-réseau que le filtre utilisera pour correspondre.
-
Port de destination : port de destination utilisé par l’application spécifique (c’est-à-dire le port de destination HTTP 80 pour le protocole TCP).
L’option de piste fournit beaucoup plus de détails sur un flux. Les informations d’état suivies dans les tables d’état sont incluses ci-dessous.
Tableau d’état pour l’option de piste
Il n’y a que quelques états qui sont cohérents :
-
ConnexionINIT- créée, mais le paquet initial n’était pas valide.
-
O_DENIED- Les paquets qui ont créé la connexion sont refusés par une stratégie de filtrage.
-
R_DENIED- Les paquets du répondeur sont refusés par une stratégie de filtrage.
-
NOT_TRACKED- la connexion n’est pas suivie par état, mais elle est autrement autorisée.
-
FERMÉ : la connexion a expiré ou a été fermée par le protocole.
-
DELETED- la connexion est en cours de suppression. L’état DELETED ne sera presque jamais visible.
Tous les autres états sont spécifiques au protocole et nécessitent l’activation du suivi avec état.
TCP peut signaler les états suivants :
-
SYN_SENT - premier message TCP SYN vu.
-
SYN_SENT2 - Message SYN vu dans les deux sens, pas de SYN+ACK (AKA ouvert simultanément).
-
SYN_ACK_RCVD - SYN+ACK reçu.
-
ÉTABLI - deuxième ACK reçu, la connexion est entièrement établie.
-
FIN_WAIT - premier message FIN vu.
-
CLOSE_WAIT - Message FIN vu dans les deux sens.
-
TIME_WAIT - dernier ACK vu dans les deux sens. La connexion est maintenant fermée en attente de réouverture.
Tous les autres protocoles IP (notamment ICMP et UDP) ont les états suivants :
-
NEW - Les paquets sont vus dans une direction.
-
ÉTABLI - paquets vus dans les deux sens.
Partager
Partager
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.