Eine Firewall ist ein Netzwerksicherheitsgerät, das den eingehenden und ausgehenden Netzwerkdatenverkehr überwacht und festlegt, ob bestimmter Datenverkehr basierend auf einem definierten Satz von Sicherheitsregeln zugelassen oder blockiert werden soll. SASE Orchestrator unterstützt die Konfiguration von statusfreien, statusbehafteten und EFS-Regeln (Enhanced Firewall Services) für Profile und Edges.

Statusbehaftete Firewall

Eine statusbehaftete Firewall überwacht und verfolgt den Betriebszustand und die Merkmale aller Netzwerkverbindungen, die über die Firewall kommen, und verwendet diese Informationen, um zu ermitteln, welche Netzwerkpakete die Firewall passieren sollen. Die statusbehafteten Firewalls erstellen eine Statustabelle und verwenden diese Tabelle, um nur den Datenverkehr von den aktuell in der Statustabelle aufgeführten Verbindungen zuzulassen. Nachdem eine Verbindung aus der Statustabelle entfernt wurde, ist kein Datenverkehr vom externen Gerät dieser Verbindung zulässig.

Die statusbehaftete Firewallfunktion bietet die folgenden Vorteile:
  • Verhinderung von Angriffen wie Denial of Service (DoS) und Spoofing
  • Stabilere Protokollierung
  • Verbesserte Netzwerksicherheit

Nachfolgend sind die Hauptunterschiede zwischen einer statusbehafteten Firewall und einer Stateless Firewall aufgeführt:

  • Der Abgleich erfolgt gerichtet. Beispielsweise können Sie es den Hosts in VLAN 1 gestatten, eine TCP-Sitzung mit den Hosts in VLAN 2 zu initiieren, die umgekehrte Vorgehensweise aber verweigern. Stateless Firewalls werden in einfache ACLs (Zugriffslisten) übersetzt, die diese Art der granularen Steuerung nicht zulassen.
  • Eine statusbehaftete Firewall ist sitzungsorientiert. Wenn Sie beispielsweise den 3-Wege-Handshake von TCP verwenden, gestattet die statusbehaftete Firewall SYN-ACK oder ACK keine Initiierung einer neuen Sitzung. Sie muss mit einem SYN beginnen, und alle anderen Pakete in der TCP-Sitzung müssen das Protokoll auch ordnungsgemäß befolgen. Andernfalls werden sie von der Firewall gelöscht. Eine Stateless Firewall hat kein Sitzungskonzept und filtert stattdessen Pakete rein auf paketweiser, individueller Basis heraus.
  • Eine statusbehaftete Firewall erzwingt ein symmetrisches Routing. Es kommt beispielsweise häufig vor, dass in einem VMware-Netzwerk asymmetrisches Routing stattfindet. Dabei gelangt Datenverkehr über einen Hub in ein Netzwerk, verlässt es jedoch über einen anderen Hub wieder. Durch die Nutzung von Drittanbieter-Routing ist das Paket immer noch in der Lage, sein Ziel zu erreichen. Bei einer statusbehafteten Firewall wird derartiger Datenverkehr gelöscht.
  • Regeln statusbehafteter Firewalls werden nach einer Konfigurationsänderung erneut anhand bestehender Flows überprüft. Wenn also ein vorhandener Flow bereits akzeptiert wurde und Sie die statusbehaftete Firewall so konfigurieren, dass diese Pakete jetzt gelöscht werden, überprüft die Firewall den Flow erneut anhand des neuen Regelsatzes und löscht ihn. Bei den Szenarien, in denen „Zulassen“ in „Löschen“ oder „Ablehnen“ geändert wird, tritt bei den bereits vorhandenen Flows eine Zeitüberschreitung auf, und es wird ein Firewallprotokoll für den Sitzungsabschluss generiert.
Für die Verwendung der statusbehafteten Firewall gelten folgende Voraussetzungen:
  • Die VMware SD-WAN Edge-Version 3.4.0 oder höher muss verwendet werden.
  • Standardmäßig handelt es sich bei der Funktion Statusbehaftete Firewall (Stateful Firewall) um eine Kundenfunktion, die für neue Kunden in einem SASE Orchestrator unter Version 3.4.0 oder höher aktiviert ist. In einem 3.x-Orchestrator erstellte Kunden benötigen bei der Aktivierung dieser Funktion Unterstützung von einem Partner oder dem VMware SD-WAN-Support.
  • Mit dem SASE Orchestrator können Enterprise-Benutzer die Funktion „Statusbehaftete Firewall (Stateful Firewall)“ auf Profil- und Edge-Ebene auf der jeweiligen Seite Firewall aktivieren oder deaktivieren. Zum Deaktivieren der Funktion „Statusbehaftete Firewall“ (Stateful Firewall) für ein Unternehmen wenden Sie sich an einen Operator mit der Berechtigung „Superuser“.
    Hinweis: Asymmetrisches Routing wird für aktivierte Edges mit statusbehafteter Firewall nicht unterstützt.

Erweiterte Firewalldienste

EFS (Enhanced Firewall Services) bietet zusätzliche EFS-Sicherheitsfunktionen auf VMware SD-WAN Edges. Die von NSX Security gestützte EFS-Funktion unterstützt neben URL-Kategoriefilterung, URL-Reputationsfilterung, und böswilliger IP-Filterung auch das System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS) und das System zur Abwehr von Eindringversuchen (Intrusion Prevention System, IPS) auf VMware SD-WAN Edges. Die erweiterten Firewalldienste (Enhanced Firewall Services, EFS) schützen den Edge-Datenverkehr vor Eindringversuchen für Datenverkehrsmuster vom Typ „Zweigstelle-zu-Zweigstelle“, „Zweigstelle-zu-Hub“ oder „Zweigstelle-zu-Internet“.

Derzeit bietet die SD-WAN Edge-Firewall eine statusbehaftete Überprüfung sowie Anwendungsidentifikation ohne zusätzliche erweiterte Firewalldienste. Der SD-WAN Edge der statusbehafteten Firewall bietet zwar Sicherheit, diese ist aber nicht ausreichend. Es entsteht eine Sicherheitslücke bei der Bereitstellung von EFS-Sicherheit, die nativ in VMware SD-WAN integriert ist. Der EFS-Dienst des Edge schließt diese Sicherheitslücken und stellt erweiterten Bedrohungsschutz nativ auf dem SD-WAN Edge gemeinsam mit VMware SD-WAN bereit.

Kunden können die statusbehaftete Firewall und EFS mithilfe der Funktion „Firewall“ in VMware SASE Orchestrator konfigurieren und verwalten. Kunden können Firewallregeln konfigurieren, um Webdatenverkehr basierend auf dem Abgleich der IDS/IPS-Signatur, der Kategorie und/oder der Reputation der URL oder IP zu blockieren. Informationen zum Konfigurieren von Firewalleinstellungen auf Profil- und Edge-Ebene finden Sie unter:

Firewallprotokolle

Firewallprotokolle werden generiert:
  • Wenn ein Flow erstellt wird (unter der Bedingung, dass der Flow akzeptiert wird)
  • Wenn der Flow geschlossen wird
  • Wenn ein neuer Flow abgelehnt wird
  • Wenn ein vorhandener Flow aktualisiert wird (aufgrund einer Änderung der Firewallkonfiguration)
Wenn die statusbehaftete Firewall und EFS-Funktionen (Enhanced Firewall Services) aktiviert sind, können in den Firewallprotokollen weitere Informationen gemeldet werden. Die Firewallprotokolle enthalten die folgenden Felder: Zeit (Time), Segment, Edge, Aktion (Action), Schnittstelle (Interface), Protokoll (Protocol), Quell-IP (Source IP), Quellport (Source Port), Ziel-IP (Destination IP), Zielport (Destination Port), Erweiterungsheader (Extension Headers), Regel (Rule), Grund (Reason), Gesendete Byte (Bytes Sent), Empfangene Byte (Bytes Received), Dauer (Duration), Anwendung (Application), Zieldomäne (Destination Domain), Zielname (Destination Name), Sitzungs-ID (Session ID), Signatur-ID (Signature ID), Signatur (Signature), Angriffsquelle (Attack Source), Angriffsziel (Attack Target), Schweregrad (Severity), Kategorie (Kategorie), IDS-Warnung (IDS Alert), IPS-Warnung (IPS Alert), URL, Enginetypen (Engine Types), URL-Kategorien (URL Categories), Filteraktion für URL-Kategorien (URL Category Filter Action), URL-Reputation (URL Reputation), Aktion „URL-Reputation“ (URL Reputation Action), IP-Kategorien (IP Categories) und Böswillige IP-Aktion (Malicious IP Action).
Hinweis: Es werden nicht alle Felder für alle Firewallprotokolle mit Daten gefüllt. Beispielsweise sind die Felder „Grund (Reason)“, „Empfangene/Gesendete Byte“ (Bytes Received/Sent) und „Dauer (Duration)“ in Protokollen enthalten, wenn Sitzungen geschlossen sind. Signatur-ID (Signature ID), Signatur (Signature), Angriffsquelle (Attack Source), Angriffsziel (Attack Target), Schweregrad (Severity), Kategorie (Category), IDS-Warnung (IDS Alert), IPS-Warnung (IPS Alert), URL, Enginetypen (Engine Types), URL-Kategorien (URL Categories), Filteraktion für URL-Kategorien (URL Category Filter Action), URL-Reputation (URL Reputation), Aktion „URL-Reputation“ (URL Reputation Action), IP-Kategorien (IP Categories), und Böswillige IP-Aktion (Malicious IP Action) werden nur für EFS-Warnungen und nicht für Firewallprotokolle befüllt.
Sie können die Firewallprotokolle mithilfe der folgenden Firewallfunktionen anzeigen:
  • Protokollierung der gehosteten Firewall (Hosted Firewall Logging) – Ermöglicht Ihnen, die Funktion „Firewallprotokollierung (Firewall Logging)“ auf Enterprise Edge-Ebene ein- oder auszuschalten, um Firewallprotokolle an den Orchestrator zu senden.
    Hinweis: Ab Version 5.4.0 ist bei gehosteten Orchestrator-Instanzen die Funktion Firewallprotokollierung für Orchestrator aktivieren (Enable Firewall Logging to Orchestrator) standardmäßig für neue und vorhandene Unternehmen aktiviert. Auf der Edge-Ebene müssen Kunden die Option Protokollierung der gehosteten Firewall (Hosted Firewall Logging) aktivieren, um Firewallprotokolle vom Edge an den Orchestrator zu senden. Bei lokalen Orchestrator-Instanzen müssen sich Kunden an ihre Operatoren wenden, um die Funktion Firewallprotokollierung für Orchestrator aktivieren (Enable Firewall Logging to Orchestrator) zu aktivieren.

    Sie können die Edge-Firewallprotokolle in Orchestrator auf der Seite Überwachen (Monitor) > Firewallprotokolle (Firewall Logs) anzeigen. Weitere Informationen finden Sie unter Überwachen von Firewallprotokollen.

  • Syslog-Weiterleitung (Syslog Forwarding) – Ermöglicht Ihnen die Anzeige der Protokolle, indem die vom SD-WAN Edge des Unternehmens stammenden Protokolle an mindestens einen konfigurierten Remoteserver gesendet werden. Standardmäßig ist die Funktion Syslog-Weiterleitung (Syslog Forwarding) für ein Unternehmen deaktiviert. Zur Weiterleitung der Protokolle an Remote-Syslog-Collectors müssen Sie wie folgt vorgehen:
    1. Aktivieren Sie die Funktion Syslog-Weiterleitung (Syslog Forwarding) unter der Registerkarte Konfigurieren (Configure) > Edges/Profil (Edges/Profile) > Firewall.
    2. Konfigurieren Sie einen Syslog-Collector unter Konfigurieren (Configure) > Edges/Profil (Edges/Profile) > Gerät (Device) > Syslog-Einstellungen (Syslog Settings). Weitere Informationen zum Konfigurieren von Syslog Collector-Details pro Segment in der SASE Orchestrator-Instanz finden Sie unter Konfigurieren von Syslog-Einstellungen für Profile.
Hinweis: Bei Edges der Versionen 5.2.0 und höher ist die Protokollierung der gehosteten Firewall nicht von der Konfiguration der Syslog-Weiterleitung abhängig.