Migrierte SD-WAN-Routen
Diese Routeneinstellungen werden von 17.5 migriert, in der die Routeneinstellungen in den Firewall-Regeln konfiguriert wurden.
Sie müssen jetzt Routing-Richtlinien im SD-WAN-Routing angeben. Firewall-Regeln enthalten keine Routing-Einstellungen mehr. Bei der Migration von einer früheren Version migriert Sophos Firewall die Routing-Einstellungen in Firewall-Regeln wie folgt: Migrierte SD-WAN-Richtlinienrouten. Sie werden in der SD-WAN-Routingtabelle angezeigt. Sie können diese migrierten Routen anhand der Firewall-Regel-ID und des Namens identifizieren.
Um das Routing für systemgenerierten Datenverkehr und Antwortpakete ein- oder auszuschalten, gehen Sie zur Befehlszeilenschnittstelle.
Routenpriorität
Während der Migration behält die Sophos Firewall die Routing-Priorität bei, die Sie in der vorherigen Version festgelegt haben. Die Standard-Routing-Priorität in Version 17.5 und früheren Versionen ist SD-WAN-Routen, VPN-Routen und dann statische Routen.
Warnung
Das Routing ist nicht mehr an Firewall-Regeln gebunden. Migrierte Routen mit Zielnetzwerke auf einen WAN-Host eingestellt oder Beliebig gelten auch für den internen Datenverkehr, wobei dieser Datenverkehr über das WAN-Gateway geleitet wird.
Um zuzulassen, dass interner Datenverkehr interne Ziele direkt erreicht, gehen Sie zur Befehlszeilenschnittstelle und legen Sie die Routing-Priorität mit statischem Routing vor SD-WAN-Routing fest.
Tipp
Um die Vorteile von SD-WAN-Routen zu nutzen, z. B. das Erstellen von Routing-Richtlinien basierend auf Anwendungsobjekten, Benutzern und Gruppen, empfehlen wir das Erstellen von SD-WAN-Routen, um die migrierten Routen zu ersetzen.
Migriertes Routenverhalten
Für migrierte Routen gelten folgende Bedingungen:
- Sophos Firewall stellt dem Routennamen automatisch die Firewall-Regel-ID voran.
- Die Sophos Firewall verwendet die Firewall-Regel-ID, um den Datenverkehr mit migrierten Routen abzugleichen.
- Zonen sind nicht Teil der SD-WAN-Routeneinstellungen. Wenn mehrere Firewall-Regeln dieselben Quell- und Zielnetzwerke, aber unterschiedliche Zonen angeben, werden individuelle Routen erstellt, die den Firewall-Regeln entsprechen.
- Sie können die Reihenfolge der migrierten Routen nicht ändern, da diese der Reihenfolge der Firewall-Regeln entspricht.
- Wenn Sie die Firewall-Regel löschen, wird die migrierte Route gelöscht.
- Sie können nur die Gateways und die Gateway-Überwachungsentscheidung bearbeiten.
Tipp
Stellen Sie sicher, dass Sie eine Sicherungskopie der aktuellen Konfiguration erstellen, bevor Sie die migrierten Routen löschen.
Bearbeiten einer migrierten Route
Sie können den Routennamen, die primären und Backup-Gateways sowie die Gateway-Überwachungsentscheidung ändern.
- Gehe zu Routenplanung > SD-WAN-Routen.
- Unter entweder IPv4 oder IPv6auf Hinzufügen.
- Geben Sie einen Namen ein.
-
Die Firewall-Regel-ID und der Name identifizieren die Regel, von der die Route migriert wurde. Klicken Sie auf den Tooltip, um die Quell-, Ziel-, Dienst- und Aktionseinstellungen der Regel anzuzeigen.
Warnung
Wenn Ihre Routenpriorität SD-WAN-Routen vor statischen Routen vorsieht und Sie Zielnetzwerke Zu Beliebig, Sophos Firewall wendet die Route auf den gesamten (externen und internen) Datenverkehr an und zwingt Ihre internen Quellen, das WAN-Gateway für interne Ziele zu verwenden.
Dies tritt wahrscheinlich auf, wenn Sie von Version 17.5 migriert sind oder die Standard-Routenpriorität geändert haben. Um die Routenpriorität anzuzeigen, rufen Sie die Befehlszeilenschnittstelle auf und verwenden Sie den folgenden Befehl:
console> system route_precedence show
Wenn der interne Datenverkehr (z. B. interne Hosts, die auf interne Geräte und Server zugreifen) das interne Netzwerk direkt erreichen soll, legen Sie die Routing-Priorität mit statischem Routing vor SD-WAN-Routing auf der Befehlszeilenschnittstelle fest.
Beispiel:
console> system route_precedence set static sdwan_policyroute vpn
-
Das in der Firewall-Regel angegebene Gateway wird zum primären Gateway.
Wenn Sie das ausgewählte Gateway löschen, löscht die Sophos Firewall die Route und implementiert einen WAN-Link-Lastenausgleich, um den Datenverkehr weiterzuleiten.
Fällt das primäre Gateway aus, leitet die Sophos Firewall den Datenverkehr über das Backup-Gateway um. Sobald das primäre Gateway wieder verfügbar ist, leitet die Sophos Firewall neue Verbindungen darüber um. Bestehende Verbindungen nutzen weiterhin das Backup-Gateway.
-
Wenn Sie angegeben haben Backup-Gateway in der Firewall-Regel wird hier dieses Gateway verwendet.
Wenn Sie das ausgewählte Gateway löschen, setzt Sophos Firewall das Backup-Gateway auf Keiner.
-
Routen Sie nur über die angegebenen Gateways wird während der Migration ausgewählt, um das Verhalten der Routen in den ursprünglichen Firewall-Regeln zu replizieren.
- Klicken Speichern.
Funktionsweise migrierter SD-WAN-Routen
Funktionalität | Migrierte SD-WAN-Routen |
---|---|
Firewall-Regeln | Als unabhängige Regeln und Richtlinien migriert:
|
Firewall-Regeln mit folgenden Einstellungen:
| Migrierte SD-WAN-Routen werden nicht erstellt. |
Firewall-Regeln mit folgenden Einstellungen:
| Migrierte SD-WAN-Routen werden nicht erstellt. Andere SD-WAN-Routen werden ausgewertet. Wenn keine andere passende Route gefunden wird, wird die Standardroute angewendet (WAN-Link-Load-Balancing). |
Zonen in Firewall-Regeln | Einzelne migrierte SD-WAN-Routen werden erstellt, wenn sich mehrere Firewall-Regeln nur in den Quell- und Zielzonenkriterien unterscheiden. |
Reihenfolge der migrierten SD-WAN-Routen | Sie können die Reihenfolge nicht ändern, da diese Routen der Firewall-Regelreihenfolge entsprechen. |
Einstellungen, die Sie in migrierten SD-WAN-Routen ändern können | Nur Routing-Parameter:
|
Migrierte Firewall-Regel wird gelöscht | Die zugehörige migrierte SD-WAN-Route wird gelöscht. |
Routing-Priorität | Die in der früheren Version angegebene Routing-Priorität wird migriert. Möglicherweise möchten Sie es auf die Standardpriorität für 18.0 und höher einstellen: Statische Route, SD-WAN-Route, VPN-Route. |
Weitere Ressourcen