Brána firewall je bezpečnostní zařízení sítě, které sleduje příchozí a odchozí provoz sítě a rozhoduje, zda povolit nebo blokovat konkrétní provoz na základě definované sady pravidel zabezpečení. SD-WAN Orchestrator podporuje konfiguraci bezstavových a stavových bran firewall pro profily a Edge.
Stavová brána firewall sleduje stav a vlastnosti každého síťového připojení, které přichází přes bránu firewall, a používá tyto informace k určení síťových paketů, kterým povolí přechod přes bránu firewall. Stavová brána firewall vytváří stavovou tabulku a používá tuto tabulku k povolení přechodu pouze vracejícímu se provozu z připojení aktuálně uvedených ve stavové tabulce. Po odstranění připojení ze stavové tabulky není povolen žádný provoz z externího zařízení tohoto připojení.
- Zabránění útokům, jako je odmítnutí služby (DoS) a falšování identity
- Robustnější protokolování
- Vylepšené zabezpečení sítě
Hlavní rozdíly mezi stavovou bránou firewall a bezstavovou bránou firewall:
- Porovnávání je směrové. Můžete například povolit hostitelům ve VLAN 1 iniciovat relaci TCP s hostiteli ve VLAN 2, avšak zakázat opačný směr. Bezstavové brány firewall překládají do jednoduchých seznamů ACL (přístupové seznamy), které neumožňují tento druh podrobného řízení.
- Stavová brána firewall si je vědoma relace. Jako příklad se používá 3cestný handshake protokolu TCP, kdy stavová brána firewall nedovoluje SYN-ACK nebo ACK zahájit novou relaci. Ta musí začínat paketem SYN a všechny ostatní pakety v relaci TCP musí také správně odpovídat protokolu, jinak je brána firewall zahodí. Bezstavová brána firewall nemá žádný koncept relace. Namísto toho filtruje pakety individuálním způsobem paket po paketu.
- Stavová brána firewall vynucuje symetrické směrování. Je například běžné, že v síti VMware dojde k asymetrickému směrování, kdy provoz vstupuje do sítě prostřednictvím jednoho hubu, avšak opouští ji jiným hubem. Při využití směrování třetí strany bude paket stále schopen dosáhnout cíle. Při použití stavové brány firewall bude tento provoz zahozen.
- Pravidla stavové brány firewall se po změně konfigurace překontrolují s ohledem na stávající toky. Pokud již byl existující tok přijat a nakonfigurovali jste stavovou bránu firewall, aby tyto pakety nyní zahodila, brána firewall znovu zkontroluje tok s ohledem na nově nastavené pravidlo a poté ho zahodí. U scénářů, ve kterých je parametr „Povolit (Allow)“ změněn na „Zahodit (Drop)“ nebo „Odmítnout (Reject)“, platnost dříve existujících toků vyprší a pro uzavřenou relaci se vygeneruje protokol brány firewall.
- Síť VMware SD-WAN Edge musí používat verzi 3.4.0 nebo novější.
- Ve výchozím nastavení je pro nové zákazníky funkce Stavová brána firewall (Stateful Firewall) povolena v nástroji SD-WAN Orchestrator používajícím verzi 3.4.0 nebo novější. Zákazníci vytvoření v aplikaci 3.x Orchestrator budou potřebovat při povolení této funkce pomoc partnera nebo podpory VMware SD-WAN.
- SD-WAN Orchestrator umožňuje podnikovému uživateli aktivovat nebo deaktivovat funkci stavové brány firewall na úrovni profilů a Edge z příslušné stránky Brána firewall (Firewall). Chcete-li zakázat funkci stavové brány firewall pro podnik, obraťte se na operátora s oprávněními primárního uživatele.
Poznámka: U Edge s povolenou stavovou bránou firewall není podporováno asymetrické směrování.
Protokoly stavové brány firewall
- Při vytvoření toku (za podmínky, kdy je tok přijat)
- Když je tok uzavřen
- Když je nový tok odmítnut
- Když je existující tok aktualizován (kvůli změně konfigurace brány firewall)
- Aktivovat funkci Předávání syslog (Syslog Forwarding) na kartě .
- Nakonfigurovat kolektor syslog v nabídce SD-WAN Orchestrator naleznete v tématu Konfigurace nastavení syslogu pro profily. . Postup konfigurace detailů kolektoru syslog podle segmentů v