Eine Firewall ist ein Netzwerksicherheitsgerät, das den eingehenden und ausgehenden Netzwerkdatenverkehr überwacht und festlegt, ob bestimmter Datenverkehr basierend auf einem definierten Satz von Sicherheitsregeln zugelassen oder blockiert werden soll. SASE Orchestrator unterstützt die Konfiguration von statusfreien, statusbehafteten und EFS-Regeln (Enhanced Firewall Services) für Profile und Edges.

Statusbehaftete Firewall

Eine statusbehaftete Firewall überwacht und verfolgt den Betriebszustand und die Merkmale aller Netzwerkverbindungen, die über die Firewall kommen, und verwendet diese Informationen, um zu ermitteln, welche Netzwerkpakete die Firewall passieren sollen. Die statusbehafteten Firewalls erstellen eine Statustabelle und verwenden diese Tabelle, um nur den Datenverkehr von den aktuell in der Statustabelle aufgeführten Verbindungen zuzulassen. Nachdem eine Verbindung aus der Statustabelle entfernt wurde, ist kein Datenverkehr vom externen Gerät dieser Verbindung zulässig.

Die statusbehaftete Firewallfunktion bietet die folgenden Vorteile:
  • Verhinderung von Angriffen wie Denial of Service (DoS) und Spoofing
  • Stabilere Protokollierung
  • Verbesserte Netzwerksicherheit

Nachfolgend sind die Hauptunterschiede zwischen einer statusbehafteten Firewall und einer Stateless Firewall aufgeführt:

  • Der Abgleich erfolgt gerichtet. Beispielsweise können Sie es den Hosts in VLAN 1 gestatten, eine TCP-Sitzung mit den Hosts in VLAN 2 zu initiieren, die umgekehrte Vorgehensweise aber verweigern. Stateless Firewalls werden in einfache ACLs (Zugriffslisten) übersetzt, die diese Art der granularen Steuerung nicht zulassen.
  • Eine statusbehaftete Firewall ist sitzungsorientiert. Wenn Sie beispielsweise den 3-Wege-Handshake von TCP verwenden, gestattet die statusbehaftete Firewall SYN-ACK oder ACK keine Initiierung einer neuen Sitzung. Sie muss mit einem SYN beginnen, und alle anderen Pakete in der TCP-Sitzung müssen das Protokoll auch ordnungsgemäß befolgen. Andernfalls werden sie von der Firewall gelöscht. Eine Stateless Firewall hat kein Sitzungskonzept und filtert stattdessen Pakete rein auf paketweiser, individueller Basis heraus.
  • Eine statusbehaftete Firewall erzwingt ein symmetrisches Routing. Es kommt beispielsweise sehr oft vor, dass in einem VMware-Netzwerk asymmetrisches Routing stattfindet. Dabei gelangt Datenverkehr über einen Hub in ein Netzwerk, verlässt es jedoch über einen anderen Hub wieder. Durch die Nutzung von Drittanbieter-Routing ist das Paket immer noch in der Lage, sein Ziel zu erreichen. Bei einer statusbehafteten Firewall wird derartiger Datenverkehr gelöscht.
  • Regeln statusbehafteter Firewalls werden nach einer Konfigurationsänderung erneut anhand bestehender Flows überprüft. Wenn also ein vorhandener Flow bereits akzeptiert wurde und Sie die statusbehaftete Firewall so konfigurieren, dass diese Pakete jetzt gelöscht werden, überprüft die Firewall den Flow erneut anhand des neuen Regelsatzes und löscht ihn. Bei den Szenarien, in denen „Zulassen“ in „Löschen“ oder „Ablehnen“ geändert wird, tritt bei den bereits vorhandenen Flows eine Zeitüberschreitung auf, und es wird ein Firewallprotokoll für den Sitzungsabschluss generiert.
Für die Verwendung der statusbehafteten Firewall gelten folgende Voraussetzungen:
  • Die VMware SD-WAN Edge-Version 3.4.0 oder höher muss verwendet werden.
  • Standardmäßig handelt es sich bei der Funktion Statusbehaftete Firewall (Stateful Firewall) um eine Kundenfunktion, die für neue Kunden in einem SASE Orchestrator unter Version 3.4.0 oder höher aktiviert ist. In einem 3.x-Orchestrator erstellte Kunden benötigen bei der Aktivierung dieser Funktion Unterstützung von einem Partner oder dem VMware SD-WAN-Support.
  • Mit dem SASE Orchestrator können Enterprise-Benutzer die Funktion „Statusbehaftete Firewall (Stateful Firewall)“ auf Profil- und Edge-Ebene auf der jeweiligen Seite Firewall aktivieren oder deaktivieren. Zum Deaktivieren der Funktion „Statusbehaftete Firewall“ (Stateful Firewall) für ein Unternehmen wenden Sie sich an einen Operator mit der Berechtigung „Superuser“.
    Hinweis: Asymmetrisches Routing wird für aktivierte Edges mit statusbehafteter Firewall nicht unterstützt.

Erweiterte Firewalldienste

EFS (Enhanced Firewall Services) bietet zusätzliche EFS-Sicherheitsfunktionen auf VMware SD-WAN Edges. Die von NSX Security unterstützte EFS-Funktion bietet Unterstützung für das System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS) und das System zur Abwehr von Eindringversuchen (Intrusion Prevention System, IPS)VMware SD-WAN Edges. Der EFS-Dienst (Enhanced Firewall Services) des Edge schützt den Edge-Datenverkehr vor Eindringversuchen für Datenverkehrsmuster vom Typ „Zweigstelle-zu-Zweigstelle“, „Zweigstelle-zu-Hub“ oder „Zweigstelle-zu-Internet“.

Derzeit bietet die SD-WAN Edge-Firewall eine statusbehaftete Überprüfung sowie Anwendungsidentifikation ohne zusätzliche EFS-Sicherheitsfunktionen. Der SD-WAN Edge der statusbehafteten Firewall bietet zwar Sicherheit, diese ist aber nicht ausreichend. Es entsteht eine Sicherheitslücke bei der Bereitstellung von EFS-Sicherheit, die nativ in VMware SD-WAN integriert ist. Der EFS-Dienst des Edge schließt diese Sicherheitslücken und stellt erweiterten Bedrohungsschutz nativ auf dem SD-WAN Edge in Verbindung mit VMware SD-WAN bereit.

Der Kunde kann die statusbehaftete Firewall und EFS mithilfe der Firewall-Funktion in VMware SASE Orchestrator konfigurieren und verwalten. Informationen zum Konfigurieren von Firewalleinstellungen auf Profil- und Edge-Ebene finden Sie unter:

Firewallprotokolle

Wenn die statusbehaftete Firewall und EFS-Funktionen (Enhanced Firewall Services) aktiviert sind, können in den Firewallprotokollen weitere Informationen gemeldet werden. Die Firewallprotokolle enthalten die folgenden Felder: Zeit (Time), Segment, Edge, Aktion (Action), Schnittstelle (Interface), Protokoll (Protocol), Quell-IP (Source IP), Quellport (Source Port), Ziel-IP (Destination IP), Zielport (Destination Port), Erweiterungsheader (Extension Headers), Regel (Rule), Grund (Reason), Empfangene Byte (Bytes Received), Gesendete Byte (Bytes Sent), Dauer (Duration), Anwendung (Application), Zieldomäne (Destination Domain), Zielname (Destination Name), Sitzungs-ID (Session ID), Signatur (Signature), IPS-Warnung (IPS Alert), IDS-Warnung (IDS Alert), Signatur-ID (Signature ID), Kategorie (Category), Angriffsquelle (Attack Source), Angriffsziel (Attack Target) und Schweregrad (Severity).
Hinweis: Es werden nicht alle Felder für alle Firewallprotokolle mit Daten gefüllt. Beispielsweise sind die Felder „Grund (Reason)“, „Empfangene/Gesendete Byte“ (Bytes Received/Sent) und „Dauer (Duration)“ in Protokollen enthalten, wenn Sitzungen geschlossen sind. Die Felder „Signatur (Signature)“, „IPS-Warnung (IPS Alert)“, „IDS-Warnung (IDS Alert)“, „Signatur-ID (Signature ID)“, „Kategorie (Category)“, „Angriffsquelle (Attack Source)“, „Angriffsziel (Attack Target)“ und „Schweregrad (Severity)“ werden nur für EFS-Warnungen und nicht für Firewallprotokolle befüllt.
Firewallprotokolle werden generiert:
  • Wenn ein Flow erstellt wird (unter der Bedingung, dass der Flow akzeptiert wird)
  • Wenn der Flow geschlossen wird
  • Wenn ein neuer Flow abgelehnt wird
  • Wenn ein vorhandener Flow aktualisiert wird (aufgrund einer Änderung der Firewallkonfiguration)
Sie können die Firewallprotokolle mithilfe der folgenden Firewallfunktionen anzeigen:
  • Firewallprotokollierung (Firewall Logging) – Standardmäßig können Edges ihre Firewallprotokolle nicht an Orchestrator senden.
    Hinweis: Damit ein Edge die Firewallprotokolle an Orchestrator sendet, stellen Sie sicher, dass die Kundenfunktion „ Firewallprotokollierung für Orchestrator aktivieren (Enable Firewall Logging to Orchestrator)“ auf Kundenebene auf der Seite „Globale Einstellungen (Global Settings)“ der Benutzeroberfläche aktiviert ist. Kunden müssen sich an Ihren Operator wenden, wenn Sie möchten, dass die Firewallprotokollierungsfunktion aktiviert wird.

    Sie können die Edge-Firewallprotokolle in Orchestrator auf der Seite Überwachen (Monitor) > Firewallprotokolle (Firewall Logs) anzeigen. Weitere Informationen finden Sie unter Überwachen von Firewallprotokollen.

  • Syslog-Weiterleitung (Syslog Forwarding) – Ermöglicht Ihnen die Anzeige der Protokolle, indem die vom SD-WAN Edge des Unternehmens stammenden Protokolle an mindestens einen konfigurierten Remoteserver gesendet werden. Standardmäßig ist die Funktion Syslog-Weiterleitung (Syslog Forwarding) für ein Unternehmen deaktiviert. Zur Weiterleitung der Protokolle an Remote-Syslog-Collectors müssen Sie wie folgt vorgehen:
    1. Aktivieren Sie die Funktion Syslog-Weiterleitung (Syslog Forwarding) unter der Registerkarte Konfigurieren (Configure) > Edges/Profil (Edges/Profile) > Firewall.
    2. Konfigurieren Sie einen Syslog-Collector unter Konfigurieren (Configure) > Edges/Profil (Edges/Profile) > Gerät (Device) > Syslog-Einstellungen (Syslog Settings). Weitere Informationen zum Konfigurieren von Syslog Collector-Details pro Segment in der SASE Orchestrator-Instanz finden Sie unter Konfigurieren von Syslog-Einstellungen für Profile.
Hinweis: Für Edges der Versionen 5.2.0 und höher ist die Firewallprotokollierung nicht von der Konfiguration der Syslog-Weiterleitung abhängig.