Brána firewall je bezpečnostní zařízení sítě, které sleduje příchozí a odchozí provoz sítě a rozhoduje, zda povolit nebo blokovat konkrétní provoz na základě definované sady pravidel zabezpečení. SASE Orchestrator podporuje konfiguraci bezstavových pravidel, stavových pravidel a pravidel vylepšené služby brány firewall (EFS) pro profily a zařízení Edge.

Stavová brána firewall

Stavová brána firewall sleduje stav a vlastnosti každého síťového připojení, které přichází přes bránu firewall, a používá tyto informace k určení síťových paketů, kterým povolí přechod přes bránu firewall. Stavová brána firewall vytváří stavovou tabulku a používá tuto tabulku k povolení přechodu pouze vracejícímu se provozu z připojení aktuálně uvedených ve stavové tabulce. Po odstranění připojení ze stavové tabulky není povolen žádný provoz z externího zařízení tohoto připojení.

Stavová brána firewall nabízí tyto výhody:
  • Zabránění útokům, jako je odmítnutí služby (DoS) a falšování identity
  • Robustnější protokolování
  • Vylepšené zabezpečení sítě

Hlavní rozdíly mezi stavovou bránou firewall a bezstavovou bránou firewall:

  • Porovnávání je směrové. Můžete například povolit hostitelům ve VLAN 1 iniciovat relaci TCP s hostiteli ve VLAN 2, avšak zakázat opačný směr. Bezstavové brány firewall překládají do jednoduchých seznamů ACL (přístupové seznamy), které neumožňují tento druh podrobného řízení.
  • Stavová brána firewall si je vědoma relace. Jako příklad se používá 3cestný handshake protokolu TCP, kdy stavová brána firewall nedovoluje SYN-ACK nebo ACK zahájit novou relaci. Ta musí začínat paketem SYN a všechny ostatní pakety v relaci TCP musí také správně odpovídat protokolu, jinak je brána firewall zahodí. Bezstavová brána firewall nemá žádný koncept relace. Namísto toho filtruje pakety individuálním způsobem paket po paketu.
  • Stavová brána firewall vynucuje symetrické směrování. Je například běžné, že v síti VMware dojde k asymetrickému směrování, kdy provoz vstupuje do sítě prostřednictvím jednoho hubu, avšak opouští ji jiným hubem. Při využití směrování třetí strany bude paket stále schopen dosáhnout cíle. Při použití stavové brány firewall bude tento provoz zahozen.
  • Pravidla stavové brány firewall se po změně konfigurace překontrolují s ohledem na stávající toky. Pokud již byl existující tok přijat a nakonfigurovali jste stavovou bránu firewall, aby tyto pakety nyní zahodila, brána firewall znovu zkontroluje tok s ohledem na nově nastavené pravidlo a poté ho zahodí. U scénářů, ve kterých je parametr „Povolit (Allow)“ změněn na „Zahodit (Drop)“ nebo „Odmítnout (Reject)“, platnost dříve existujících toků vyprší a pro uzavřenou relaci se vygeneruje protokol brány firewall.
Požadavky na použití stavové brány firewall:
  • Síť Zařízení VMware SD-WAN Edge musí používat verzi 3.4.0 nebo novější.
  • Ve výchozím nastavení je zákaznická funkce Stavová brána firewall (Stateful Firewall) aktivována pro nové zákazníky v nástroji SASE Orchestrator verze 3.4.0 nebo novější. K aktivaci této funkce budou zákazníci vytvoření v nástroji Orchestrator 3.x potřebovat pomoc partnera nebo podpory VMware SD-WAN.
  • Nástroj SASE Orchestrator umožňuje podnikovému uživateli aktivovat nebo deaktivovat funkci stavové brány firewall na úrovni profilu a hrany z příslušné stránky Firewall. Chcete-li deaktivovat funkci Stavové brány firewall pro podnik, obraťte se na operátora s oprávněními superuživatele.
    Poznámka: U Edge s aktivovanou stavovou bránou firewall není podporováno asymetrické směrování.

Vylepšené služby firewall

Vylepšené služby brány firewall (EFS) poskytují další bezpečnostní funkce EFS v Zařízení VMware SD-WAN Edge. Funkce služby EFS založená na NSX Security podporuje filtrování kategorií adres URL, filtrování reputace adres URL, filtrování škodlivých IP adres, systém zjišťování neoprávněného vniknutí (IDS) a služby systému prevence před neoprávněným vniknutím (IPS) v Zařízení VMware SD-WAN Edge. Vylepšené služby firewall (Enhanced Firewall Services) chrání provoz zařízení Edge před vniknutím napříč propojením mezi větvemi, větvemi a centry Hub nebo se vzory provozu mezi větvemi do internetu.

Brána firewall Zařízení SD-WAN Edge v současnosti poskytuje stavovou kontrolu spolu s identifikací aplikace bez dalších funkcí EFS. Stavová brána firewall Zařízení SD-WAN Edge poskytuje zabezpečení, ale není adekvátní a vytváří mezeru v poskytování zabezpečení EFS integrovaného nativně produktem VMware SD-WAN. Edge EFS řeší tyto nedostatky v zabezpečení a nativně nabízí vylepšenou ochranu před hrozbami na Zařízení SD-WAN Edge spolu s VMware SD-WAN.

Zákazníci mohou konfigurovat a spravovat Stavovou bránu firewall a EFS pomocí funkce brány firewall (Firewall) v nástroji VMware SASE Orchestrator. Zákazníci mohou konfigurovat pravidla brány firewall tak, aby blokovala webový provoz na základě párování podpisu IDS/IPS, kategorie a/nebo reputace adresy URL nebo IP adresy. Popis konfigurace nastavení brány firewall na úrovni profilu a Edge naleznete zde:

Protokoly brány firewall

Protokoly brány firewall jsou vygenerovány:
  • Při vytvoření toku (za podmínky, kdy je tok přijat)
  • Když je tok uzavřen
  • Když je nový tok odmítnut
  • Když je existující tok aktualizován (kvůli změně konfigurace brány firewall)
S aktivovanými funkcemi Stavová brána firewall a Vylepšené služby brány firewall (EFS) lze v protokolech brány firewall reportovat více informací. Protokoly brány firewall budou obsahovat následující pole: Čas (Time), Segment (Segment), Zařízení Edge (Edge), Akce (Action), Rozhraní (Interface), Protokol (Protocol), Zdrojová IP adresa (Source IP), Zdrojový port (Source Port), Cílová IP adresa (Destination IP), Cílový port (Destination Port), Záhlaví přípon (Extension Headers), Pravidlo (Rule), Důvod (Reason), Odeslané bajty (Bytes Sent), Přijaté bajty (Bytes Received), Doba trvání (Duration), Aplikace (Application), Cílová doména (Destination Domain), Název cíle (Destination Name), ID relace (Session ID), ID podpisu (Signature ID), Podpis (Signature), Zdroj útoku (Attack Source), Cíl útoku (Attack Target), Závažnost (Severity), Výstraha IDS (IDS Alert), Výstrahy IPS (IPS Alert), Adresa URL (URL), Typy jádra (Engine types), Kategorie adres URL (URL Categories), Akce filtru pro kategorie adres URL (URL Category Filter Action), Reputace adresy URL (URL Reputation), Akce reputace adresy URL (URL Reputation Action), Kategorie IP adres (IP Categories) a Akce škodlivé IP adresy (Malicious IP Action).
Poznámka: Ne všechna pole budou vyplněna pro všechny protokoly brány firewall. Například pole Důvod (Reason), Přijaté/odeslané bajty (Bytes Received/Sent) a Doba trvání (Duration) jsou zahrnuta do protokolu, je-li relace uzavřena. ID podpisu (Signature ID), Podpis (Signature), Zdroj útoku (Attack Source), Cíl útoku (Attack Target), Závažnost (Severity), Výstraha IDS (IDS Alert), Výstrahy IPS (IPS Alert), Adresa URL (URL), Typy jádra (Engine types), Kategorie adres URL (URL Categories), Akce filtru pro kategorie adres URL (URL Category Filter Action), Reputace adresy URL (URL Reputation), Akce reputace adresy URL (URL Reputation Action), Kategorie IP adres (IP Categories) a Akce škodlivé IP adresy (Malicious IP Action) jsou vyplněny pouze pro výstrahy EFS, nikoli pro protokoly brány firewall.
Protokoly brány firewall lze zobrazit pomocí následujících funkcí brány firewall:
  • Protokolování hostované brány firewall (Hosted Firewall Logging) – Umožňuje zapnout nebo vypnout protokolování brány firewall na úrovni podnikového zařízení Edge, chcete-li odesílat protokoly brány firewall do systému Orchestrator.
    Poznámka: Od verze 5.4.0 se u hostovaných systémů Orchestrator ve výchozím nastavení aktivuje schopnost Aktivovat protokolování brány firewall do systému Orchestrator (Enable Firewall Logging to Orchestrator) pro nové i existující podniky. Aby bylo možné odesílat protokoly brány firewall ze zařízení Edge do systému Orchestrator, zákazníci musí na úrovni Edge aktivovat Protokolování hostované brány firewall (Hosted Firewall Logging)l. V případě místního nasazení systému Orchestrator musí zákazníci kontaktovat své operátory kvůli aktivaci funkce Aktivovat protokolování brány firewall do systému Orchestrator (Enable Firewall Logging to Orchestrator).

    Protokoly brány firewall Edge lze zobrazit v nástroji Orchestrator na stránce Monitorování (Monitor) > Protokoly brány Firewall (Firewall Logs). Další informace naleznete v tématu Monitorování protokolů brány firewall.

  • Předávání syslogu (Syslog Forwarding) – Umožňuje zobrazit protokoly odesláním protokolů pocházejících z podnikového Zařízení SD-WAN Edge na jeden nebo více nakonfigurovaných vzdálených serverů. Ve výchozím nastavení je funkce Předávání syslogu (Syslog Forwarding) pro podnik deaktivována. Chcete-li protokoly odeslat na vzdálené kolektory syslog, musíte:
    1. Aktivujte funkci Předávání syslogu (Syslog Forwarding) na kartě Konfigurovat (Configure) > Zařízení Edge / Profil (Edges/Profile) > Brána firewall (Firewall).
    2. Nakonfigurujte kolektor syslog v nabídce Konfigurovat (Configure) > Zařízení Edge / Profil (Edges/Profile) > Zařízení (Device) > Nastavení syslogu (Syslog Settings). Postup konfigurace detailů kolektoru syslog podle segmentů v SASE Orchestrator naleznete v tématu Konfigurace nastavení syslogu pro profily.
Poznámka: U zařízení Edge verze 5.2.0 a vyšších není protokolování hostované brány firewall závislé na konfiguraci předávání syslogu.