Citrix SD-WAN

Stratégies

Les stratégies permettent d’autoriser, de refuser, de rejeter ou de compter et de poursuivre des flux de trafic spécifiques. Il serait difficile d’appliquer ces politiques individuellement à chaque site à mesure que les réseaux SD-WAN se développent. Pour résoudre ce problème, des groupes de filtres de pare-feu peuvent être créés avec un modèle de stratégie de pare-feu. Un modèle de stratégie de pare-feu peut être appliqué à tous les sites du réseau ou uniquement à des sites spécifiques. Ces stratégies sont classées sous la forme de stratégies de modèle d’appliance ou de stratégies de modèle post-appliance. Les stratégies de modèle pré-appliance et post-appliance à l’échelle du réseau sont configurées au niveau global. Les stratégies locales sont configurées au niveau du site sous Connexions et s’appliquent uniquement à ce site spécifique.

Image localisée

Les stratégies de modèle de pré-appliance sont appliquées avant toute stratégie de site locale. Les stratégies de site local sont ensuite appliquées, suivies des stratégies de modèle post-appliance. L’objectif est de simplifier le processus de configuration en vous permettant d’appliquer des stratégies globales tout en conservant la flexibilité nécessaire pour appliquer des stratégies spécifiques au site.

Ordre d’évaluation des stratégies de filtre

  1. Pré-modèles — politiques compilées à partir de toutes les sections « PRE » du modèle.

  2. Pré-Global — politiques compilées à partir de la section Global « PRE ».

  3. Stratégies locales au niveau de l’appareil.

  4. Local Auto Generated : stratégies générées automatiquement localement.

  5. Post-Templates — politiques compilées à partir de toutes les sections de modèle « POST ».

  6. Post-Global — politiques compilées à partir de la section « POST » globale.

Définitions des stratégies - Globale et Locale (site)

Vous pouvez configurer des stratégies de modèle de pré-appliance et post-appliance à un niveau global. Les stratégies locales sont appliquées au niveau du site d’une appliance.

Image localisée

La capture d’écran ci-dessus montre le modèle de stratégie qui s’appliquerait au réseau SD-WAN globalement. Pour appliquer un modèle à tous les sites du réseau, accédez à Global > Paramètres réseau > Modèle de stratégie globale, puis sélectionnez une stratégie spécifique. Au niveau du site, vous pouvez ajouter d’autres modèles de stratégie, ainsi que créer des stratégies spécifiques au site.

Les attributs configurables spécifiques d’une stratégie sont affichés dans la capture d’écran ci-dessous, ils sont les mêmes pour toutes les stratégies.

Image localisée

Attribut de stratégie

  • Priorité  : ordre dans lequel la stratégie sera appliquée dans toutes les stratégies définies. Les stratégies de priorité inférieure sont appliquées avant les stratégies de priorité supérieure.

  • Zone  : les flux ont une zone source et une zone de destination.

    • From Zone  : zone source de la stratégie.
    • To Zone  : zone de destination de la stratégie.
  • Action  : action à exécuter sur un flux correspondant.

    • Autoriser  : autorise le flux à travers le pare-feu.

    • Drop (Drop ) : refuse le flux à travers le pare-feu en abandonnant les paquets.

    • Rejeter  : refuse le flux à travers le pare-feu et envoie une réponse spécifique au protocole. TCP enverra une réinitialisation, ICMP enverra un message d’erreur.

    • Count and Continue  : comptez le nombre de paquets et d’octets pour ce flux, puis continuez vers le bas de la liste des stratégies.

  • Intervalle de journalisation : délai en secondes entre la consignation du nombre de paquets correspondant à la stratégie dans le fichier journal du pare-feu ou le serveur Syslog, s’il est configuré.

    • Début du journal  : si cette option est sélectionnée, une entrée de journal est créée pour le nouveau flux.

    • Log End  : consigne les données d’un flux lorsque le flux est supprimé.

Remarque

La valeur par défaut de l’intervalle de journalisation est 0 ce qui signifie qu’il n’y a pas de journalisation.

  • Track  : permet au pare-feu de suivre l’état d’un flux et d’afficher ces informations dans le tableau Surveillance > Pare-feu > Connexions . Si le flux n’est pas suivi, l’état affiche NOT_TRACKED. Voir le tableau ci-dessous pour le suivi de l’état basé sur le protocole. Utilisez le paramètre défini au niveau du site sous Pare-feu > Paramètres > Avancé > Suivi par défaut.

    • No Track  : l’état du flux n’est pas activé.

    • Track : affiche l’état actuel du flux (correspondant à cette stratégie).

  • Type de correspondance  : sélectionnez l’un des types de correspondance suivants

    • Protocole IP : si ce type de correspondance est sélectionné, sélectionnez un protocole IP auquel le filtre correspondra. Les options incluent ANY, TCP, UDP ICMP et ainsi de suite

    • Application  : si ce type de correspondance est sélectionné, spécifiez l’application utilisée comme critère de correspondance pour ce filtre.

    • Famille d’applications : si ce type de correspondance est sélectionné, sélectionnez une famille d’applications utilisée comme critère de correspondance pour ce filtre.

    • Objet Application : si ce type de correspondance est sélectionné, sélectionnez une famille d’applications utilisée comme critère de correspondance pour ce filtre.

Pour plus d’informations sur l’application, la famille d’applications et l’objet d’application, consultez la section Classification des applications.

  • DSCP  : permet à l’utilisateur de faire correspondre un paramètre de balise DSCP.

  • Autoriser les fragments  : autorise les fragments IP qui correspondent à cette stratégie de filtrage.

Remarque

Le pare-feu ne réassemble pas les cadres fragmentés.

  • Inverser aussi  : ajoutez automatiquement une copie de cette stratégie de filtre avec les paramètres de source et de destination inversés.

  • Correspondance établie  : fait correspondre les paquets entrants pour une connexion à laquelle les paquets sortants ont été autorisés.

  • Type de service source — en référence à un service SD-WAN — Local (à l’appliance), Virtual Path, Intranet, IPHost ou Internet sont des exemples de types de service.

  • Option IPHHost - Il s’agit d’un nouveau type de service pour le pare-feu et est utilisé pour les paquets générés par l’application SD-WAN. Par exemple, l’exécution d’un ping à partir de l’interface utilisateur Web du SD-WAN entraîne un paquet provenant d’une adresse IP virtuelle SD-WAN. Pour créer une stratégie pour cette adresse IP, l’utilisateur doit sélectionner l’option iPHost.

  • Nom du service source  : nom d’un service lié au type de service. Par exemple, si le chemin d’accès virtuel est sélectionné pour le type de service source, il s’agit du nom du chemin d’accès virtuel spécifique. Cela n’est pas toujours obligatoire et dépend du type de service sélectionné.

  • Adresse IP source : adresse IP typique et masque de sous-réseau que le filtre utilisera pour correspondre.

  • Port source  : port source utilisé par l’application spécifique.

  • Type de service de destination  : en référence à un service SD-WAN : Local (vers l’appliance), Chemin virtuel, Intranet, IPHost ou Internet sont des exemples de types de services.

  • Nom du service de destination  : nom d’un service lié au type de service. Cela n’est pas toujours obligatoire et dépend du type de service sélectionné.

  • Adresse IP de destination  : adresse IP typique et masque de sous-réseau que le filtre utilisera pour correspondre.

  • Port de destination  : port de destination utilisé par l’application spécifique (c’est-à-dire le port de destination HTTP 80 pour le protocole TCP).

L’option de piste fournit beaucoup plus de détails sur un flux. Les informations d’état suivies dans les tables d’état sont incluses ci-dessous.

Tableau d’état pour l’option de piste

Il n’y a que quelques états qui sont cohérents :

  • ConnexionINIT- créée, mais le paquet initial n’était pas valide.

  • O_DENIED- Les paquets qui ont créé la connexion sont refusés par une stratégie de filtrage.

  • R_DENIED- Les paquets du répondeur sont refusés par une stratégie de filtrage.

  • NOT_TRACKED- la connexion n’est pas suivie par état, mais elle est autrement autorisée.

  • FERMÉ : la connexion a expiré ou a été fermée par le protocole.

  • DELETED- la connexion est en cours de suppression. L’état DELETED ne sera presque jamais visible.

Tous les autres états sont spécifiques au protocole et nécessitent l’activation du suivi avec état.

TCP peut signaler les états suivants :

  • SYN_SENT - premier message TCP SYN vu.

  • SYN_SENT2 - Message SYN vu dans les deux sens, pas de SYN+ACK (AKA ouvert simultanément).

  • SYN_ACK_RCVD - SYN+ACK reçu.

  • ÉTABLI - deuxième ACK reçu, la connexion est entièrement établie.

  • FIN_WAIT - premier message FIN vu.

  • CLOSE_WAIT - Message FIN vu dans les deux sens.

  • TIME_WAIT - dernier ACK vu dans les deux sens. La connexion est maintenant fermée en attente de réouverture.

Tous les autres protocoles IP (notamment ICMP et UDP) ont les états suivants :

  • NEW - Les paquets sont vus dans une direction.

  • ÉTABLI - paquets vus dans les deux sens.

Stratégies