Brána firewall je bezpečnostní zařízení sítě, které sleduje příchozí a odchozí provoz sítě a rozhoduje, zda povolit nebo blokovat konkrétní provoz na základě definované sady pravidel zabezpečení. SD-WAN Orchestrator podporuje konfiguraci bezstavových a stavových bran firewall pro profily a Edge.

Stavová brána firewall sleduje stav a vlastnosti každého síťového připojení, které přichází přes bránu firewall, a používá tyto informace k určení síťových paketů, kterým povolí přechod přes bránu firewall. Stavová brána firewall vytváří stavovou tabulku a používá tuto tabulku k povolení přechodu pouze vracejícímu se provozu z připojení aktuálně uvedených ve stavové tabulce. Po odstranění připojení ze stavové tabulky není povolen žádný provoz z externího zařízení tohoto připojení.

Stavová brána firewall nabízí tyto výhody:
  • Zabránění útokům, jako je odmítnutí služby (DoS) a falšování identity
  • Robustnější protokolování
  • Vylepšené zabezpečení sítě

Hlavní rozdíly mezi stavovou bránou firewall a bezstavovou bránou firewall:

  • Porovnávání je směrové. Můžete například povolit hostitelům ve VLAN 1 iniciovat relaci TCP s hostiteli ve VLAN 2, avšak zakázat opačný směr. Bezstavové brány firewall překládají do jednoduchých seznamů ACL (přístupové seznamy), které neumožňují tento druh podrobného řízení.
  • Stavová brána firewall si je vědoma relace. Jako příklad se používá 3cestný handshake protokolu TCP, kdy stavová brána firewall nedovoluje SYN-ACK nebo ACK zahájit novou relaci. Ta musí začínat paketem SYN a všechny ostatní pakety v relaci TCP musí také správně odpovídat protokolu, jinak je brána firewall zahodí. Bezstavová brána firewall nemá žádný koncept relace. Namísto toho filtruje pakety individuálním způsobem paket po paketu.
  • Stavová brána firewall vynucuje symetrické směrování. Je například běžné, že v síti VMware dojde k asymetrickému směrování, kdy provoz vstupuje do sítě prostřednictvím jednoho hubu, avšak opouští ji jiným hubem. Při využití směrování třetí strany bude paket stále schopen dosáhnout cíle. Při použití stavové brány firewall bude tento provoz zahozen.
  • Pravidla stavové brány firewall se po změně konfigurace překontrolují s ohledem na stávající toky. Pokud již byl existující tok přijat a nakonfigurovali jste stavovou bránu firewall, aby tyto pakety nyní zahodila, brána firewall znovu zkontroluje tok s ohledem na nově nastavené pravidlo a poté ho zahodí. U scénářů, ve kterých je parametr „Povolit (Allow)“ změněn na „Zahodit (Drop)“ nebo „Odmítnout (Reject)“, platnost dříve existujících toků vyprší a pro uzavřenou relaci se vygeneruje protokol brány firewall.
Požadavky na použití stavové brány firewall:
  • Síť VMware SD-WAN Edge musí používat verzi 3.4.0 nebo novější.
  • Ve výchozím nastavení je pro nové zákazníky funkce Stavová brána firewall (Stateful Firewall) povolena v nástroji SD-WAN Orchestrator používajícím verzi 3.4.0 nebo novější. Zákazníci vytvoření v aplikaci 3.x Orchestrator budou potřebovat při povolení této funkce pomoc partnera nebo podpory VMware SD-WAN.
  • SD-WAN Orchestrator umožňuje podnikovému uživateli aktivovat nebo deaktivovat funkci stavové brány firewall na úrovni profilů a Edge z příslušné stránky Brána firewall (Firewall). Chcete-li zakázat funkci stavové brány firewall pro podnik, obraťte se na operátora s oprávněními primárního uživatele.
    Poznámka: U Edge s povolenou stavovou bránou firewall není podporováno asymetrické směrování.
Popis konfigurace nastavení brány firewall na úrovni profilu a Edge naleznete zde:

Protokoly stavové brány firewall

Je-li stavová brána firewall povolena, další informace mohou být hlášeny v protokolech brány firewall. Protokoly brány firewall budou obsahovat následující pole: Čas (Time), Segment, Edge, Akce (Action), Rozhraní (Interface), Protokol (Protocol), Zdrojová IP adresa (Source IP), Zdrojový port (Source Port), Cílová IP adresa (Destination IP), Cílový port (Destination Port), Pravidlo (Rule), Přijaté/odeslané bajty (Bytes Received/Sent) a Doba trvání (Duration).
Poznámka: Ne všechna pole budou vyplněna pro všechny protokoly brány firewall. Například pole Důvod (Reason), Přijaté/odeslané bajty (Bytes Received/Sent) a Doba trvání (Duration) jsou zahrnuta do protokolu, je-li relace uzavřena.
Protokoly se generují:
  • Při vytvoření toku (za podmínky, kdy je tok přijat)
  • Když je tok uzavřen
  • Když je nový tok odmítnut
  • Když je existující tok aktualizován (kvůli změně konfigurace brány firewall)
Protokoly brány firewall lze zobrazit odesláním protokolů pocházejících z podnikových SD-WAN Edges na jeden nebo více centralizovaných vzdálených kolektorů (serverů) syslog. Ve výchozím nastavení je funkce Předávání syslog (Syslog Forwarding) pro podnikovou síť vypnutá. Chcete-li protokoly odeslat na vzdálené kolektory syslog, musíte:
  1. Aktivovat funkci Předávání syslog (Syslog Forwarding) na kartě Konfigurovat (Configure) > Edge/Profil (Edge/Profile) > Brána firewall (Firewall).
  2. Nakonfigurovat kolektor syslog v nabídce Konfigurovat (Configure) > Edge > Zařízení (Device) > Nastavení syslogu (Syslog Settings). Postup konfigurace detailů kolektoru syslog podle segmentů v SD-WAN Orchestrator naleznete v tématu Konfigurace nastavení syslogu pro profily.