防火墙是一种网络安全设备,它监控入站和出站网络流量,并根据定义的一组安全规则确定是允许还是阻止特定的流量。SASE Orchestrator 支持为配置文件和 Edge 配置无状态、有状态和增强型防火墙服务 (EFS) 规则。

有状态防火墙

有状态防火墙监控并跟踪通过该防火墙的每个网络连接的运行状态和特性,并使用该信息确定允许哪些网络数据包通过该防火墙。有状态防火墙生成一个状态表,并使用该表仅允许从状态表中当前列出的连接返回的流量。在从状态表中移除一个连接后,不允许来自该连接的外部设备的流量。

有状态防火墙功能具有以下优点:
  • 防止攻击,如拒绝服务 (Denial of Service, DoS) 和欺骗
  • 更可靠的日志记录
  • 提高了网络安全性

有状态防火墙与无状态防火墙之间的主要区别包括:

  • 匹配是双向的。例如,您可以允许 VLAN 1 上的主机启动与 VLAN 2 上的主机之间的 TCP 会话,但拒绝反向会话。无状态防火墙转换为简单的 ACL(访问列表),它不允许这种精细控制。
  • 有状态防火墙是会话感知的防火墙。以 TCP 的三向握手为例,有状态防火墙不允许 SYN-ACK 或 ACK 启动新会话。它必须以 SYN 开始,并且 TCP 会话中的所有其他数据包也必须正确遵循该协议,否则,防火墙将丢弃这些数据包。无状态防火墙没有会话概念,而是完全逐个筛选数据包。
  • 有状态防火墙强制执行对称路由。例如,在 VMware 网络中经常发生不对称的路由,即,流量通过一个 Hub 进入网络,但通过另一个 Hub 退出。通过利用第三方路由,数据包仍然能够到达其目标。对于有状态防火墙,将丢弃此类流量。
  • 在配置发生更改后,将针对现有流量重新检查有状态防火墙规则。因此,如果已接受某个现有流量,并将有状态防火墙配置为立即丢弃这些数据包,防火墙将根据设置的新规则重新检查该流量,然后丢弃该流量。对于将“允许”更改为“丢弃”或“拒绝”的情况,预先存在的流量将超时,并为会话关闭生成防火墙日志。
使用有状态防火墙的要求包括:
  • VMware SD-WAN Edge 必须使用 3.4.0 或更高版本。
  • 默认情况下,有状态防火墙 (Stateful Firewall) 功能是在使用 3.4.0 或更高版本的 SASE Orchestrator 上为新客户激活的一项客户功能。在 3.x Orchestrator 上创建的客户需要合作伙伴或 VMware SD-WAN 支持人员提供帮助以激活该功能。
  • SASE Orchestrator 允许企业用户从相应的防火墙 (Firewall) 页面中在配置文件和 Edge 级别激活或停用有状态防火墙功能。要为企业停用有状态防火墙功能,请与具有超级用户权限的操作员联系。
    注: 在激活了有状态防火墙的 Edge 中不支持非对称路由。

增强型防火墙服务

增强型防火墙服务 (EFS) 在 VMware SD-WAN Edge 上提供额外的 EFS 安全功能。由 NSX 安全功能提供支持的 EFS 功能在 VMware SD-WAN Edge 上支持入侵检测系统 (IDS) 服务和入侵防御系统 (IPS) 服务。Edge 增强型防火墙服务 (EFS) 可在分支到分支、分支到 Hub 或分支到 Internet 流量模式中保护 Edge 流量免受入侵。

目前,SD-WAN Edge 防火墙提供有状态检查以及应用程序识别,而无需额外的 EFS 安全功能。虽然有状态防火墙 SD-WAN Edge 可提供安全功能,但这并不足够,并且在提供与 VMware SD-WAN 本机集成的 EFS 安全功能方面造成了缺口。Edge EFS 填补了这些安全缺口,并在 SD-WAN Edge 上与 VMware SD-WAN 一起以本机方式提供增强型威胁防护。

客户可以使用 VMware SASE Orchestrator 中的防火墙功能配置和管理有状态防火墙和 EFS。要在配置文件和 Edge 级别配置防火墙设置,请参阅:

防火墙日志

在激活有状态防火墙和增强型防火墙服务 (EFS) 功能的情况下,可以在防火墙日志中报告更多信息。防火墙日志中将包含以下字段:“时间”(Time)、“分段”(Segment)、“Edge”、“操作”(Action)、“接口”(Interface)、“协议”(Protocol)、“源 IP”(Source IP)、“源端口”(Source Port)、“目标 IP”(Destination IP)、“目标端口”(Destination Port)、“扩展标头”(Extension Headers)、“规则”(Rule)、“原因”(Reason)、“接收的字节数”(Bytes Received)、“发送的字节数”(Bytes Sent)、“持续时间”(Duration)、“应用程序”(Application)、“目标域”(Destination Domain)、“目标名称”(Destination Name)、“会话 ID”(Session ID)、“特征码”(Signature)、“IPS 警示”(IPS Alert)、“IDS 警示”(IDS Alert)、“特征码 ID”(Signature ID)、“类别”(Category)、“攻击源”(Attack Source)、“攻击目标”(Attack Target) 和“严重性”(Severity)。
注: 并非为所有防火墙日志填充所有字段。例如,在关闭会话时,将在日志中包含“原因”(Reason)、“接收/发送的字节数”(Bytes Received/Sent) 和“持续时间”(Duration) 字段。仅为 EFS 警示填充“特征码”(Signature)、“IPS 警示”(IPS Alert)、“IDS 警示”(IDS Alert)、“特征码 ID”(Signature ID)、“类别”(Category)、“攻击源”(Attack Source)、“攻击目标”(Attack Target) 和“严重性”(Severity),而不为防火墙日志填充这些字段。
在以下情况下,将生成防火墙日志:
  • 在创建流量时(在接受流量的情况下)
  • 在关闭流量时
  • 在拒绝新流量时
  • 在更新现有的流量时(由于防火墙配置更改)
您可以使用以下防火墙功能查看防火墙日志:
  • 防火墙日志记录 (Firewall Logging) - 默认情况下,Edge 无法将其防火墙日志发送到 Orchestrator。
    注: 要让 Edge 将防火墙日志发送到 Orchestrator,请确保在“全局设置”(Global Settings) UI 页面下,在客户级别激活 启用 Orchestrator 的防火墙日志记录 (Enable Firewall Logging to Orchestrator) 客户功能。如果希望激活“防火墙日志记录”(Firewall Logging) 功能,客户必须与操作员联系。

    您可以在 Orchestrator 中从监控 (Monitor) > 防火墙日志 (Firewall Logs) 页面查看 Edge 防火墙日志。有关更多信息,请参阅监控防火墙日志

  • Syslog 转发 (Syslog Forwarding) - 允许您通过将来自企业 SD-WAN Edge 的日志发送到一个或多个配置的远程服务器来查看日志。默认情况下,将为企业停用 Syslog 转发 (Syslog Forwarding) 功能。要将日志转发到远程 syslog 收集器,您必须:
    1. 配置 (Configure) > Edge/配置文件 (Edges/Profile) > 防火墙 (Firewall) 选项卡下激活 Syslog 转发 (Syslog Forwarding) 功能。
    2. 配置 (Configure) > Edge/配置文件 (Edges/Profile) > 设备 (Device) > Syslog 设置 (Syslog Settings) 下配置 Syslog 收集器。有关如何在 SASE Orchestrator 中为每个分段配置 syslog 收集器详细信息的步骤,请参阅为配置文件配置 syslog 设置
注: 对于 Edge 版本 5.2.0 及更高版本,防火墙日志记录不依赖于 Syslog 转发配置。