产品文档
Citrix SD-WAN Orchestrator
查看 PDF
感谢您提供反馈

这篇文章已经过机器翻译.放弃

  切换到英文

配置防火墙分割

October 21, 2022
投稿者: 
C

虚拟路由转发 (VRF) 防火墙分段 提供了多个路由域通过一个通用接口访问 Internet 的路由域,每个域的流量与其他域的流量隔离。例如,员工和访客可以通过相同的界面访问互联网,而无需访问彼此的流量。

  • 本地访客用户Internet 接入
  • 定义应用程序的员工-用户Internet 访问
  • 员工-用户可以继续将所有其他流量固定到 MCN
  • 允许用户为特定路由域添加特定路由。
  • 启用后,此功能将应用于所有路由域。

您还可以创建多个访问接口,以容纳单独的面向公共的 IP 地址。任一选项都为每个用户组提供所需的安全性。

在路由域上启用互联网接入

您可以通过 Citrix SD-WAN Orchestrator 服务在路由域上启用互联网接入。此选项在相应路由域的所有路由表上自动创建默认路由 (0.0.0.0/0)。您可以为所有路由域启用 Internet 接入,也可以不启用任何路由域。如果需要接入 Internet,则无需在所有路由域之间创建独占静态路由。

访问接口

有关更多信息,请参阅 访问接口

用例

以下是防火墙分段支持的用例:

  • 客户在一个分支站点有多个路由域,而无需包含数据中心 (MCN) 的所有域。他们需要能够以安全的方式隔离不同客户的流量
  • 客户必须能够为多个路由域提供单个可访问的防火墙公有 IP 地址,才能在一个站点访问Internet (超出 VRF lite 版)。
  • 客户需要为支持不同服务的每个路由域提供 Internet 路由。
  • 分支站点上的多个路由域。
  • 不同路由域的Internet 接入。

分支站点上的多个路由域

通过虚拟转发和路由防火墙分段增强功能,您可以:

  • 在分支站点提供支持至少两个用户组(如员工和来宾)的安全连接的基础结构。该基础架构最多可支持 254 个路由域。
  • 隔离每个路由域的流量与任何其他路由域的流量。

  • 为每个路由域提供互联网接入,

    • 一个通用的访问接口是必需的,并且可以接受

    • 具有单独面向公众的 IP 地址的每个组的访问接口

  • 员工的流量可以直接路由到本地Internet (特定应用程序)
  • 员工的流量可以路由或回溯到 MCN 进行广泛筛选(0 路由)
  • 路由域的流量可以直接路由到本地Internet (0 路由)
  • 如有必要,支持每个路由域的特定路由
  • 路由域基于 VLAN 的路由域
  • 删除 RD 必须驻留在 MCN 的要求
  • 现在只能在分支站点配置路由域
  • 允许您将多个 RD 分配给访问接口(一旦启用)
  • 为每个 RD 分配一条 0.0.0.0 路径
  • 允许为 RD 添加特定路由
  • 允许来自不同 RD 的流量使用相同的接入界面退出到Internet
  • 允许您为每个 RD 配置不同的访问接口
  • 必须是唯一的子网(RD 分配给 VLAN)
  • 每个 RD 可以使用相同的 FW 默认区域
  • 通过路由域隔离流量
  • 出站流将 RD 作为流头的组成部分。允许 SD-WAN 将返回流映射到正确的路由域。

配置多个路由域的先决条件:

  • Internet 访问配置并分配给 WAN 链接。
  • 为 NAT 配置的防火墙,并应用了正确的策略。
  • 全局添加第二个路由域。
  • 添加到站点的每个路由域。
  • 有关在路由域上配置 Internet 服务的信息,请参阅 WAN 链接

部署方案

本地化后的图片

本地化后的图片

限制

  • 必须先将 Internet 服务添加到 WAN 链接,然后才能为所有路由域启用 Internet 访问。(在此之前,启用此选项的复选框显示为灰色)。

    为所有路由域启用互联网访问后,自动添加动态 NAT 规则。

  • 访问接口 (AI):每个子网的单个 AI。
  • 多个 AI 需要为每个 AI 单独的 VLAN。

  • 如果一个站点中有两个路由域并有一个 WAN 链接,则两个域使用相同的公有 IP 地址。

  • 如果为所有路由域启用 Internet 访问,则所有站点都可以路由到 Internet。(如果一个路由域不需要 Internet 访问,则可以使用防火墙阻止其流量。)

  • WAN 链接是共享的,以便访问Internet 。
  • 每个路由域没有 QoS;先到先得。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
配置防火墙分割
October 21, 2022
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.