Brána firewall je bezpečnostní zařízení sítě, které sleduje příchozí a odchozí provoz sítě a rozhoduje, zda povolit nebo blokovat konkrétní provoz na základě definované sady pravidel zabezpečení. SASE Orchestrator podporuje konfiguraci bezstavových pravidel, stavových pravidel a pravidel vylepšené služby brány firewall (EFS) pro profily a zařízení Edge.
Stavová brána firewall
Stavová brána firewall sleduje stav a vlastnosti každého síťového připojení, které přichází přes bránu firewall, a používá tyto informace k určení síťových paketů, kterým povolí přechod přes bránu firewall. Stavová brána firewall vytváří stavovou tabulku a používá tuto tabulku k povolení přechodu pouze vracejícímu se provozu z připojení aktuálně uvedených ve stavové tabulce. Po odstranění připojení ze stavové tabulky není povolen žádný provoz z externího zařízení tohoto připojení.
- Zabránění útokům, jako je odmítnutí služby (DoS) a falšování identity
- Robustnější protokolování
- Vylepšené zabezpečení sítě
Hlavní rozdíly mezi stavovou bránou firewall a bezstavovou bránou firewall:
- Porovnávání je směrové. Můžete například povolit hostitelům ve VLAN 1 iniciovat relaci TCP s hostiteli ve VLAN 2, avšak zakázat opačný směr. Bezstavové brány firewall překládají do jednoduchých seznamů ACL (přístupové seznamy), které neumožňují tento druh podrobného řízení.
- Stavová brána firewall si je vědoma relace. Jako příklad se používá 3cestný handshake protokolu TCP, kdy stavová brána firewall nedovoluje SYN-ACK nebo ACK zahájit novou relaci. Ta musí začínat paketem SYN a všechny ostatní pakety v relaci TCP musí také správně odpovídat protokolu, jinak je brána firewall zahodí. Bezstavová brána firewall nemá žádný koncept relace. Namísto toho filtruje pakety individuálním způsobem paket po paketu.
- Stavová brána firewall vynucuje symetrické směrování. Je například běžné, že v síti VMware dojde k asymetrickému směrování, kdy provoz vstupuje do sítě prostřednictvím jednoho hubu, avšak opouští ji jiným hubem. Při využití směrování třetí strany bude paket stále schopen dosáhnout cíle. Při použití stavové brány firewall bude tento provoz zahozen.
- Pravidla stavové brány firewall se po změně konfigurace překontrolují s ohledem na stávající toky. Pokud již byl existující tok přijat a nakonfigurovali jste stavovou bránu firewall, aby tyto pakety nyní zahodila, brána firewall znovu zkontroluje tok s ohledem na nově nastavené pravidlo a poté ho zahodí. U scénářů, ve kterých je parametr „Povolit (Allow)“ změněn na „Zahodit (Drop)“ nebo „Odmítnout (Reject)“, platnost dříve existujících toků vyprší a pro uzavřenou relaci se vygeneruje protokol brány firewall.
- Síť Zařízení VMware SD-WAN Edge musí používat verzi 3.4.0 nebo novější.
- Ve výchozím nastavení je zákaznická funkce Stavová brána firewall (Stateful Firewall) aktivována pro nové zákazníky v nástroji SASE Orchestrator verze 3.4.0 nebo novější. K aktivaci této funkce budou zákazníci vytvoření v nástroji Orchestrator 3.x potřebovat pomoc partnera nebo podpory VMware SD-WAN.
- Nástroj SASE Orchestrator umožňuje podnikovému uživateli aktivovat nebo deaktivovat funkci stavové brány firewall na úrovni profilu a hrany z příslušné stránky Firewall. Chcete-li deaktivovat funkci Stavové brány firewall pro podnik, obraťte se na operátora s oprávněními superuživatele.
Poznámka: U Edge s aktivovanou stavovou bránou firewall není podporováno asymetrické směrování.
Vylepšené služby firewall
Vylepšené služby brány firewall (EFS) poskytují další bezpečnostní funkce EFS v Zařízení VMware SD-WAN Edge. Funkce EFS využívající NSX Security podporuje služby systému zjišťování neoprávněného vniknutí (IDS) a služby prevence před neoprávněným vniknutím (IPS) v Zařízení VMware SD-WAN Edge. Vylepšené služby brány firewall (EFS) chrání provoz zařízení Edge před vniknutími mezi větvemi, mezi větvemi a hubu nebo ve vzorech provozu mezi větví a internetem.
Brána firewall Zařízení SD-WAN Edge v současnosti poskytuje stavovou kontrolu spolu s identifikací aplikace bez dalších bezpečnostních funkcí EFS. Stavová brána firewall Zařízení SD-WAN Edge poskytuje zabezpečení, ale není adekvátní a vytváří mezeru v poskytování zabezpečení EFS integrovaného nativně produktem VMware SD-WAN. Edge EFS řeší tyto nedostatky v zabezpečení a nativně nabízí vylepšenou ochranu před hrozbami na Zařízení SD-WAN Edge spolu s VMware SD-WAN.
Protokoly brány firewall
- Při vytvoření toku (za podmínky, kdy je tok přijat)
- Když je tok uzavřen
- Když je nový tok odmítnut
- Když je existující tok aktualizován (kvůli změně konfigurace brány firewall)
- Protokolování brány firewall (Firewall Logging) – ve výchozím nastavení nemohou zařízení Edge odesílat své protokoly bran firewall do nástroje Orchestrator.
Poznámka: Aby zařízení Edge mohlo odesílat protokoly brány firewall do nástroje Orchestrator, ujistěte se, že je zákaznická možnost Aktivovat protokolování brány firewall do nástroje Orchestrator (Enable Firewall Logging to Orchestrator) aktivována na úrovni zákazníka na stránce uživatelského rozhraní Globální nastavení (Global Settings). Zákazníci se musí obrátit na svého operátora, pokud si přejete aktivovat funkci protokolování brány firewall.
Protokoly brány firewall Edge lze zobrazit v nástroji Orchestrator na stránce Monitorování (Monitor) > Protokoly brány Firewall (Firewall Logs). Další informace naleznete v tématu Monitorování protokolů brány firewall.
- Předávání syslogu (Syslog Forwarding) – umožňuje zobrazit protokoly odesláním protokolů pocházejících z podnikové Zařízení SD-WAN Edge na jeden nebo více nakonfigurovaných vzdálených serverů. Ve výchozím nastavení je funkce Předávání syslogu (Syslog Forwarding) pro podnik deaktivována. Chcete-li protokoly odeslat na vzdálené kolektory syslog, musíte:
- Aktivujte funkci Předávání syslogu (Syslog Forwarding) na kartě .
- Nakonfigurujte kolektor syslog v nabídce . Postup konfigurace detailů kolektoru syslog podle segmentů v SASE Orchestrator naleznete v tématu Konfigurace nastavení syslogu pro profily.
