Eine Firewall ist ein Netzwerksicherheitsgerät, das den eingehenden und ausgehenden Netzwerkdatenverkehr überwacht und festlegt, ob bestimmter Datenverkehr basierend auf einem definierten Satz von Sicherheitsregeln zugelassen oder blockiert werden soll. SD-WAN Orchestrator unterstützt die Konfiguration von statusfreien und statusbehafteten Firewalls für Profile und Edges.
Eine statusbehaftete Firewall überwacht und verfolgt den Betriebszustand und die Merkmale aller Netzwerkverbindungen, die über die Firewall kommen, und verwendet diese Informationen, um zu ermitteln, welche Netzwerkpakete die Firewall passieren sollen. Die statusbehafteten Firewalls erstellen eine Statustabelle und verwenden diese Tabelle, um nur den Datenverkehr von den aktuell in der Statustabelle aufgeführten Verbindungen zuzulassen. Nachdem eine Verbindung aus der Statustabelle entfernt wurde, ist kein Datenverkehr vom externen Gerät dieser Verbindung zulässig.
- Verhinderung von Angriffen wie Denial of Service (DoS) und Spoofing
- Stabilere Protokollierung
- Verbesserte Netzwerksicherheit
Nachfolgend sind die Hauptunterschiede zwischen einer statusbehafteten Firewall und einer Stateless Firewall aufgeführt:
- Der Abgleich erfolgt gerichtet. Beispielsweise können Sie es den Hosts in VLAN 1 gestatten, eine TCP-Sitzung mit den Hosts in VLAN 2 zu initiieren, die umgekehrte Vorgehensweise aber verweigern. Stateless Firewalls werden in einfache ACLs (Zugriffslisten) übersetzt, die diese Art der granularen Steuerung nicht zulassen.
- Eine statusbehaftete Firewall ist sitzungsorientiert. Wenn Sie beispielsweise den 3-Wege-Handshake von TCP verwenden, gestattet die statusbehaftete Firewall SYN-ACK oder ACK keine Initiierung einer neuen Sitzung. Sie muss mit einem SYN beginnen, und alle anderen Pakete in der TCP-Sitzung müssen das Protokoll auch ordnungsgemäß befolgen. Andernfalls werden sie von der Firewall gelöscht. Eine Stateless Firewall hat kein Sitzungskonzept und filtert stattdessen Pakete rein auf paketweiser, individueller Basis heraus.
- Eine statusbehaftete Firewall erzwingt ein symmetrisches Routing. Es kommt beispielsweise sehr oft vor, dass in einem VMware-Netzwerk asymmetrisches Routing stattfindet. Dabei gelangt Datenverkehr über einen Hub in ein Netzwerk, verlässt es jedoch über einen anderen Hub wieder. Durch die Nutzung von Drittanbieter-Routing ist das Paket immer noch in der Lage, sein Ziel zu erreichen. Bei einer statusbehafteten Firewall wird derartiger Datenverkehr gelöscht.
- Regeln statusbehafteter Firewalls werden nach einer Konfigurationsänderung erneut anhand bestehender Flows überprüft. Wenn also ein vorhandener Flow bereits akzeptiert wurde und Sie die statusbehaftete Firewall so konfigurieren, dass diese Pakete jetzt gelöscht werden, überprüft die Firewall den Flow erneut anhand des neues Regelsatzes und löscht ihn. Bei den Szenarien, in denen „Zulassen“ in „Löschen“ oder „Ablehnen“ geändert wird, tritt bei den bereits vorhandenen Flows eine Zeitüberschreitung auf, und es wird ein Firewallprotokoll für den Sitzungsabschluss generiert.
- Die VMware SD-WAN Edge-Version 3.4.0 oder höher muss verwendet werden.
- Standardmäßig ist die Funktion Statusbehaftete Firewall (Stateful Firewall) für neue Kunden in einem SD-WAN Orchestrator, Version 3.4.0 oder höher aktiviert. In einem 3.x-Orchestrator erstellte Kunden benötigen bei der Aktivierung dieser Funktion Unterstützung von einem Partner oder dem VMware SD-WAN-Support.
- Der SD-WAN Orchestrator ermöglicht dem Unternehmensbenutzer die Aktivierung oder Deaktivierung der Funktion „Statusbehaftete Firewall (Stateful Firewall)“ auf Profil- und Edge-Ebene auf der jeweiligen Seite Firewall. Um die statusbehaftete Firewallfunktion für ein Unternehmen zu deaktivieren, wenden Sie sich an einen Operator mit der Superuser-Berechtigung.
Hinweis: Asymmetrisches Routing wird für Edges mit aktivierter statusbehafteter Firewall nicht unterstützt.
Protokolle der statusbehafteten Firewall
- Wenn ein Flow erstellt wird (unter der Bedingung, dass der Flow akzeptiert wird)
- Wenn der Flow geschlossen wird
- Wenn ein neuer Flow abgelehnt wird
- Wenn ein vorhandener Flow aktualisiert wird (aufgrund einer Änderung der Firewallkonfiguration)
- Aktivieren Sie die Funktion Syslog-Weiterleitung (Syslog Forwarding) unter Registerkarte .
- Konfigurieren Sie einen Syslog-Collector unter SD-WAN Orchestrator-Instanz finden Sie unter Konfigurieren von Syslog-Einstellungen für Profile. . Weitere Informationen zum Konfigurieren von Syslog Collector-Details pro Segment in der