Brána firewall je bezpečnostní zařízení sítě, které sleduje příchozí a odchozí provoz sítě a rozhoduje, zda povolit nebo blokovat konkrétní provoz na základě definované sady pravidel zabezpečení. SASE Orchestrator podporuje konfiguraci bezstavových pravidel, stavových pravidel a pravidel vylepšené služby brány firewall (EFS) pro profily a zařízení Edge.
Stavová brána firewall
Stavová brána firewall sleduje stav a vlastnosti každého síťového připojení, které přichází přes bránu firewall, a používá tyto informace k určení síťových paketů, kterým povolí přechod přes bránu firewall. Stavová brána firewall vytváří stavovou tabulku a používá tuto tabulku k povolení přechodu pouze vracejícímu se provozu z připojení aktuálně uvedených ve stavové tabulce. Po odstranění připojení ze stavové tabulky není povolen žádný provoz z externího zařízení tohoto připojení.
- Zabránění útokům, jako je odmítnutí služby (DoS) a falšování identity
- Robustnější protokolování
- Vylepšené zabezpečení sítě
Hlavní rozdíly mezi stavovou bránou firewall a bezstavovou bránou firewall:
- Porovnávání je směrové. Můžete například povolit hostitelům ve VLAN 1 iniciovat relaci TCP s hostiteli ve VLAN 2, avšak zakázat opačný směr. Bezstavové brány firewall překládají do jednoduchých seznamů ACL (přístupové seznamy), které neumožňují tento druh podrobného řízení.
- Stavová brána firewall si je vědoma relace. Jako příklad se používá 3cestný handshake protokolu TCP, kdy stavová brána firewall nedovoluje SYN-ACK nebo ACK zahájit novou relaci. Ta musí začínat paketem SYN a všechny ostatní pakety v relaci TCP musí také správně odpovídat protokolu, jinak je brána firewall zahodí. Bezstavová brána firewall nemá žádný koncept relace. Namísto toho filtruje pakety individuálním způsobem paket po paketu.
- Stavová brána firewall vynucuje symetrické směrování. Je například běžné, že v síti VMware dojde k asymetrickému směrování, kdy provoz vstupuje do sítě prostřednictvím jednoho hubu, avšak opouští ji jiným hubem. Při využití směrování třetí strany bude paket stále schopen dosáhnout cíle. Při použití stavové brány firewall bude tento provoz zahozen.
- Pravidla stavové brány firewall se po změně konfigurace překontrolují s ohledem na stávající toky. Pokud již byl existující tok přijat a nakonfigurovali jste stavovou bránu firewall, aby tyto pakety nyní zahodila, brána firewall znovu zkontroluje tok s ohledem na nově nastavené pravidlo a poté ho zahodí. U scénářů, ve kterých je parametr „Povolit (Allow)“ změněn na „Zahodit (Drop)“ nebo „Odmítnout (Reject)“, platnost dříve existujících toků vyprší a pro uzavřenou relaci se vygeneruje protokol brány firewall.
- Síť Zařízení VMware SD-WAN Edge musí používat verzi 3.4.0 nebo novější.
- Ve výchozím nastavení je zákaznická funkce Stavová brána firewall (Stateful Firewall) aktivována pro nové zákazníky v nástroji SASE Orchestrator verze 3.4.0 nebo novější. K aktivaci této funkce budou zákazníci vytvoření v nástroji Orchestrator 3.x potřebovat pomoc partnera nebo podpory VMware SD-WAN.
- Nástroj SASE Orchestrator umožňuje podnikovému uživateli aktivovat nebo deaktivovat funkci stavové brány firewall na úrovni profilu a hrany z příslušné stránky Firewall. Chcete-li deaktivovat funkci Stavové brány firewall pro podnik, obraťte se na operátora s oprávněními superuživatele.
Poznámka: U Edge s aktivovanou stavovou bránou firewall není podporováno asymetrické směrování.
Vylepšené služby firewall
Vylepšené služby brány firewall (EFS) poskytují další bezpečnostní funkce EFS v Zařízení VMware SD-WAN Edge. Funkce služby EFS založená na NSX Security podporuje filtrování kategorií adres URL, filtrování reputace adres URL, filtrování škodlivých IP adres, systém zjišťování neoprávněného vniknutí (IDS) a služby systému prevence před neoprávněným vniknutím (IPS) v Zařízení VMware SD-WAN Edge. Vylepšené služby firewall (Enhanced Firewall Services) chrání provoz zařízení Edge před vniknutím napříč propojením mezi větvemi, větvemi a centry Hub nebo se vzory provozu mezi větvemi do internetu.
Brána firewall Zařízení SD-WAN Edge v současnosti poskytuje stavovou kontrolu spolu s identifikací aplikace bez dalších funkcí EFS. Stavová brána firewall Zařízení SD-WAN Edge poskytuje zabezpečení, ale není adekvátní a vytváří mezeru v poskytování zabezpečení EFS integrovaného nativně produktem VMware SD-WAN. Edge EFS řeší tyto nedostatky v zabezpečení a nativně nabízí vylepšenou ochranu před hrozbami na Zařízení SD-WAN Edge spolu s VMware SD-WAN.
Protokoly brány firewall
- Při vytvoření toku (za podmínky, kdy je tok přijat)
- Když je tok uzavřen
- Když je nový tok odmítnut
- Když je existující tok aktualizován (kvůli změně konfigurace brány firewall)
- Protokolování hostované brány firewall (Hosted Firewall Logging) – Umožňuje zapnout nebo vypnout protokolování brány firewall na úrovni podnikového zařízení Edge, chcete-li odesílat protokoly brány firewall do systému Orchestrator.
Poznámka: Od verze 5.4.0 se u hostovaných systémů Orchestrator ve výchozím nastavení aktivuje schopnost Aktivovat protokolování brány firewall do systému Orchestrator (Enable Firewall Logging to Orchestrator) pro nové i existující podniky. Aby bylo možné odesílat protokoly brány firewall ze zařízení Edge do systému Orchestrator, zákazníci musí na úrovni Edge aktivovat Protokolování hostované brány firewall (Hosted Firewall Logging)l. V případě místního nasazení systému Orchestrator musí zákazníci kontaktovat své operátory kvůli aktivaci funkce Aktivovat protokolování brány firewall do systému Orchestrator (Enable Firewall Logging to Orchestrator).
Protokoly brány firewall Edge lze zobrazit v nástroji Orchestrator na stránce Monitorování (Monitor) > Protokoly brány Firewall (Firewall Logs). Další informace naleznete v tématu Monitorování protokolů brány firewall.
- Předávání syslogu (Syslog Forwarding) – Umožňuje zobrazit protokoly odesláním protokolů pocházejících z podnikového Zařízení SD-WAN Edge na jeden nebo více nakonfigurovaných vzdálených serverů. Ve výchozím nastavení je funkce Předávání syslogu (Syslog Forwarding) pro podnik deaktivována. Chcete-li protokoly odeslat na vzdálené kolektory syslog, musíte:
- Aktivujte funkci Předávání syslogu (Syslog Forwarding) na kartě .
- Nakonfigurujte kolektor syslog v nabídce SASE Orchestrator naleznete v tématu Konfigurace nastavení syslogu pro profily. . Postup konfigurace detailů kolektoru syslog podle segmentů v