Eine Firewall ist ein Netzwerksicherheitsgerät, das den eingehenden und ausgehenden Netzwerkdatenverkehr überwacht und festlegt, ob bestimmter Datenverkehr basierend auf einem definierten Satz von Sicherheitsregeln zugelassen oder blockiert werden soll. SD-WAN Orchestrator unterstützt die Konfiguration von statusfreien und statusbehafteten Firewalls für Profile und Edges.
Eine statusbehaftete Firewall überwacht und verfolgt den Betriebszustand und die Merkmale aller Netzwerkverbindungen, die über die Firewall kommen, und verwendet diese Informationen, um zu ermitteln, welche Netzwerkpakete die Firewall passieren sollen. Die statusbehafteten Firewalls erstellen eine Statustabelle und verwenden diese Tabelle, um nur den Datenverkehr von den aktuell in der Statustabelle aufgeführten Verbindungen zuzulassen. Nachdem eine Verbindung aus der Statustabelle entfernt wurde, ist kein Datenverkehr vom externen Gerät dieser Verbindung zulässig.
Die statusbehaftete Firewallfunktion bietet die folgenden Vorteile:
- Verhinderung von Angriffen wie Denial of Service (DoS) und Spoofing
- Stabilere Protokollierung
- Verbesserte Netzwerksicherheit
Nachfolgend sind die Hauptunterschiede zwischen einer statusbehafteten Firewall und einer Stateless Firewall aufgeführt:
- Der Abgleich erfolgt gerichtet. Beispielsweise können Sie es den Hosts in VLAN 1 gestatten, eine TCP-Sitzung mit den Hosts in VLAN 2 zu initiieren, die umgekehrte Vorgehensweise aber verweigern. Stateless Firewalls werden in einfache ACLs (Zugriffslisten) übersetzt, die diese Art der granularen Steuerung nicht zulassen.
- Eine statusbehaftete Firewall ist sitzungsorientiert. Wenn Sie beispielsweise den 3-Wege-Handshake von TCP verwenden, gestattet die statusbehaftete Firewall SYN-ACK oder ACK keine Initiierung einer neuen Sitzung. Sie muss mit einem SYN beginnen, und alle anderen Pakete in der TCP-Sitzung müssen das Protokoll auch ordnungsgemäß befolgen. Andernfalls werden sie von der Firewall gelöscht. Eine Stateless Firewall hat kein Sitzungskonzept und filtert stattdessen Pakete rein auf paketweiser, individueller Basis heraus.
- Eine statusbehaftete Firewall erzwingt ein symmetrisches Routing. Es kommt beispielsweise sehr oft vor, dass in einem VMware-Netzwerk asymmetrisches Routing stattfindet. Dabei gelangt Datenverkehr über einen Hub in ein Netzwerk, verlässt es jedoch über einen anderen Hub wieder. Durch die Nutzung von Drittanbieter-Routing ist das Paket immer noch in der Lage, sein Ziel zu erreichen. Bei einer statusbehafteten Firewall wird derartiger Datenverkehr gelöscht.
- Regeln statusbehafteter Firewalls werden nach einer Konfigurationsänderung erneut anhand bestehender Flows überprüft. Wenn also ein vorhandener Flow bereits akzeptiert wurde und Sie die statusbehaftete Firewall so konfigurieren, dass diese Pakete jetzt gelöscht werden, überprüft die Firewall den Flow erneut anhand des neuen Regelsatzes und löscht ihn. Bei den Szenarien, in denen „Zulassen“ in „Löschen“ oder „Ablehnen“ geändert wird, tritt bei den bereits vorhandenen Flows eine Zeitüberschreitung auf, und es wird ein Firewallprotokoll für den Sitzungsabschluss generiert.
Für die Verwendung der statusbehafteten Firewall gelten folgende Voraussetzungen:
- Die VMware SD-WAN Edge-Version 3.4.0 oder höher muss verwendet werden.
- Standardmäßig ist die Funktion Statusbehaftete Firewall (Stateful Firewall) für neue Kunden in einem SD-WAN Orchestrator, Version 3.4.0 oder höher aktiviert. In einem 3.x-Orchestrator erstellte Kunden benötigen bei der Aktivierung dieser Funktion Unterstützung von einem Partner oder dem VMware SD-WAN-Support.
- Mit dem SD-WAN Orchestrator können Enterprise-Benutzer die Funktion „Statusbehaftete Firewall (Stateful Firewall)“ auf Profil- und Edge-Ebene auf der jeweiligen Seite Firewall aktivieren oder deaktivieren. Um die statusbehaftete Firewall-Funktion für ein Unternehmen zu deaktivieren, wenden Sie sich an einen Operator mit Superuser-Berechtigung.
Hinweis: Asymmetrisches Routing wird für aktivierte Edges mit statusbehafteter Firewall nicht unterstützt.
Informationen zum Konfigurieren von Firewalleinstellungen auf Profil- und Edge-Ebene finden Sie unter:
Protokolle der statusbehafteten Firewall
Wenn die statusbehaftete Firewall aktiviert ist, können in den Firewallprotokollen weitere Informationen gemeldet werden. Die Firewallprotokolle enthalten die folgenden Felder: „Zeit (Time)“, „Segment“, „Edge“, „Aktion (Action)“, „Schnittstelle (Interface)“, „Protokoll (Protocol)“, „Quell-IP (Source IP)“, „Quell-Port (Source Port)“, „Ziel-IP (Destination IP), „Zielport (Destination Port)“, „Regel (Rule)“, „Empfangene/gesendete Byte (Bytes Received/Sent)“ und „Dauer (Duration)“.
Hinweis: Es werden nicht alle Felder für alle Firewallprotokolle mit Daten gefüllt. Beispielsweise sind die Felder „Grund (Reason)“, „Empfangene/Gesendete Byte“ (Bytes Received/Sent) und „Dauer (Duration)“ in Protokollen enthalten, wenn Sitzungen geschlossen sind.
Protokolle werden generiert:
- Wenn ein Flow erstellt wird (unter der Bedingung, dass der Flow akzeptiert wird)
- Wenn der Flow geschlossen wird
- Wenn ein neuer Flow abgelehnt wird
- Wenn ein vorhandener Flow aktualisiert wird (aufgrund einer Änderung der Firewallkonfiguration)
Sie können die Firewallprotokolle anzeigen, indem Sie die Protokolle, die vom Enterprise-
SD-WAN Edge stammen, an einen oder mehr zentralisierte Syslog-Collectors (Server) senden. Standardmäßig ist die Funktion
Syslog-Weiterleitung (Syslog Forwarding) für ein Unternehmen deaktiviert. Zur Weiterleitung der Protokolle an Remote-Syslog-Collectors müssen Sie wie folgt vorgehen:
- Aktivieren Sie die Funktion Syslog-Weiterleitung (Syslog Forwarding) unter der Registerkarte .
- Konfigurieren Sie einen Syslog-Collector unter . Weitere Informationen zum Konfigurieren von Syslog Collector-Details pro Segment in der SD-WAN Orchestrator-Instanz finden Sie unter Konfigurieren von Syslog-Einstellungen für Profile mit der neuen Orchestrator-Benutzeroberfläche.
Hinweis: Die Firewallprotokollierung wird sowohl von Edge als auch von Orchestrator nicht unterstützt.
