防火墙是一种网络安全设备,它监控入站和出站网络流量,并根据定义的一组安全规则确定是允许还是阻止特定的流量。SD-WAN Orchestrator 支持为配置文件和 Edge 配置无状态和有状态防火墙。
有状态防火墙监控并跟踪通过该防火墙的每个网络连接的运行状态和特性,并使用该信息确定允许哪些网络数据包通过该防火墙。有状态防火墙生成一个状态表,并使用该表仅允许从状态表中当前列出的连接返回的流量。在从状态表中移除一个连接后,不允许来自该连接的外部设备的流量。
有状态防火墙功能具有以下优点:
- 防止攻击,如拒绝服务 (Denial of Service, DoS) 和欺骗
- 更可靠的日志记录
- 提高了网络安全性
有状态防火墙与无状态防火墙之间的主要区别包括:
- 匹配是双向的。例如,您可以允许 VLAN 1 上的主机启动与 VLAN 2 上的主机之间的 TCP 会话,但拒绝反向会话。无状态防火墙转换为简单的 ACL(访问列表),它不允许这种精细控制。
- 有状态防火墙是会话感知的防火墙。以 TCP 的三向握手为例,有状态防火墙不允许 SYN-ACK 或 ACK 启动新会话。它必须以 SYN 开始,并且 TCP 会话中的所有其他数据包也必须正确遵循该协议,否则,防火墙将丢弃这些数据包。无状态防火墙没有会话概念,而是完全逐个筛选数据包。
- 有状态防火墙强制执行对称路由。例如,在 VMware 网络中经常发生不对称的路由,即,流量通过一个 Hub 进入网络,但通过另一个 Hub 退出。通过利用第三方路由,数据包仍然能够到达其目标。对于有状态防火墙,将丢弃此类流量。
- 在配置发生更改后,将针对现有流量重新检查有状态防火墙规则。因此,如果已接受现有流量,并将有状态防火墙配置为立即丢弃这些数据包,防火墙将根据设置的新规则重新检查该流量,然后丢弃该流量。对于将“允许”更改为“丢弃”或“拒绝”的情况,预先存在的流量将超时,并为会话关闭生成防火墙日志。
使用有状态防火墙的要求包括:
- VMware SD-WAN Edge 必须使用 3.4.0 或更高版本。
- 默认情况下,将在使用 3.4.0 或更高版本的 SD-WAN Orchestrator 上为新客户激活有状态防火墙 (Stateful Firewall) 功能。在 3.x Orchestrator 上创建的客户需要合作伙伴或 VMware SD-WAN 支持人员提供帮助以激活该功能。
- SD-WAN Orchestrator 允许企业用户从相应的防火墙 (Firewall) 页面中在配置文件和 Edge 级别激活或停用有状态防火墙功能。要为企业停用有状态防火墙功能,请与具有超级用户权限的操作员联系。
注: 在启用了有状态防火墙的 Edge 中不支持非对称路由。
要在配置文件和 Edge 级别配置防火墙设置,请参阅:
有状态防火墙日志
在启用有状态防火墙的情况下,可以在防火墙日志中报告更多信息。防火墙日志将包含以下字段:时间 (Time)、分段 (Segment)、Edge、操作 (Action)、接口 (Interface)、协议 (Protocol)、源 IP (Source IP)、源端口 (Source Port)、目标 IP (Destination IP)、目标端口 (Destination Port)、规则 (Rule)、接收/发送的字节数 (Bytes Received/Sent) 以及持续时间 (Duration)。
注: 并非为所有防火墙日志填充所有字段。例如,在关闭会话时,将在日志中包含“原因 (Reason)”、“接收/发送的字节数 (Bytes Received/Sent)”和“持续时间 (Duration)”字段。
在以下情况下,将生成日志:
- 在创建流量时(在接受流量的情况下)
- 在关闭流量时
- 在拒绝新流量时
- 在更新现有的流量时(由于防火墙配置更改)
您可以将源自企业
SD-WAN Edge 的日志发送到一个或多个集中式远程 syslog 收集器(服务器)以查看防火墙日志。默认情况下,将为企业停用
Syslog 转发 (Syslog Forwarding) 功能。要将日志转发到远程 syslog 收集器,您必须:
- 在Syslog 转发 (Syslog Forwarding) 功能。 选项卡下面启用
- 在SD-WAN Orchestrator 中为每个分段配置 syslog 收集器详细信息的步骤,请参阅为配置文件配置 syslog 设置。 下面配置 syslog 收集器。有关如何在