Un firewall es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente, y decide si se permite o se bloquea un tráfico específico en función de un conjunto definido de reglas de seguridad. SD-WAN Orchestrator es compatible con la configuración de los firewalls con y sin estado para los perfiles y las instancias de Edge.

Un firewall con estado supervisa y realiza un seguimiento de las características y del estado operativo de todas las conexiones de red que atraviesan el firewall, y utiliza esta información para determinar qué paquetes de red pueden pasar por el firewall. Los firewalls con estado compilan una tabla de estado que utilizan para permitir únicamente el tráfico devuelto de las conexiones que se enumeran en la tabla de estado. Después de eliminar una conexión de la tabla de estado, no se permite el tráfico procedente del dispositivo externo de esta conexión.

La función Firewall con estado (Stateful Firewall) proporciona las siguientes ventajas:
  • Prevención de ataques como denegación de servicio (Denial of Service, DoS) y suplantación
  • Registro más robusto
  • Seguridad de red mejorada

Las principales diferencias entre un firewall con estado y un firewall sin estado son las siguientes:

  • La coincidencia es direccional. Por ejemplo, es posible permitir que los hosts de la VLAN 1 inicien una sesión TCP con hosts en la VLAN 2, pero denegar la situación inversa. Los firewalls sin estado se traducen en ACL (listas de acceso) simples que no permiten este tipo de control detallado.
  • Un firewall con estado reconoce las sesiones. Si se utiliza el protocolo de enlace de tres vías de TCP como ejemplo, un firewall con estado no permitirá que un SYN-ACK o un ACK inicien una nueva sesión. Debe comenzar con un SYN, y todos los demás paquetes de la sesión TCP deben seguir el protocolo correctamente; en caso contrario, el firewall los descartará. Un firewall sin estado no tiene ningún concepto de sesión y, en su lugar, filtra los paquetes basándose únicamente en un análisis individual, paquete por paquete.
  • Un firewall con estado aplica el enrutamiento simétrico. Por ejemplo, es muy común que se use el enrutamiento asimétrico en una red VMware en la que el tráfico ingresa a través de un hub, pero sale a través de otro. Si se utiliza el enrutamiento de terceros, el paquete de todos modos podrá llegar a su destino. Con un firewall con estado, se descartará dicho tráfico.
  • Cuando se modifica la configuración, se vuelven a verificar las reglas de firewall con estado en los flujos existentes. Por lo tanto, si ya se aceptó un flujo existente y, luego, se configura el firewall con estado para descartar esos paquetes, el firewall volverá a verificar el flujo en el nuevo conjunto de reglas y, a continuación, lo descartará. En aquellos casos en los que se cambie "permitir" (allow) por "descartar" (drop) o "rechazar" (reject), se agotará el tiempo de espera de los flujos preexistentes y se generará un registro de firewall para el cierre de sesión.
Los requisitos para usar el firewall con estado son los siguientes:
  • VMware SD-WAN Edge debe contar con la versión 3.4.0 o una versión posterior.
  • De forma predeterminada, la función Firewall con estado (Stateful Firewall) está activada para clientes nuevos en una instancia de SD-WAN Orchestrator en la versión 3.4.0 o versiones posteriores. Los clientes creados en la versión 3.x de Orchestrator necesitarán la asistencia de un socio o del soporte técnico de VMware SD-WAN para habilitar esta función.
  • SD-WAN Orchestrator permite que el usuario empresarial active o desactive la función Firewall con estado (Stateful Firewall) en el nivel de perfil y de Edge desde la página de Firewall correspondiente. Para desactivar la función Firewall con estado (Stateful Firewall) en una empresa, comuníquese con un operador con el permiso de superusuario.
    Nota: El enrutamiento asimétrico no es compatible con las instancias de Edge activadas para firewall con estado.

Registros de firewall con estado

Cuando el firewall con estado está activado, es posible proporcionar más información en los registros de firewall. Los registros de firewall incluirán campos con los siguientes datos: Tiempo (Time), Segmento (Segment), Instancia de Edge (Edge), Acción (Action), Interfaz (Interface), Protocolo (Protocol), IP de origen (Source IP), Puerto de origen (Source Port), IP de destino (Destination IP), Puerto de destino (Destination Port), Regla (Rule), Bytes recibidos/enviados (Bytes Received/Sent) y Duración (Duration).
Nota: No todos los campos se completan para todos los registros de firewall. Por ejemplo, los campos de Motivo (Reason), Bytes recibidos/enviados (Bytes Received/Sent) y Duración (Duration) se incluyen en los registros cuando se cierran las sesiones.
Los registros se generan:
  • Cuando se crea un flujo (con la condición de que se acepte el flujo);
  • Cuando se cierra el flujo;
  • Cuando se deniega un nuevo flujo;
  • Cuando se actualiza un flujo existente (debido a un cambio en la configuración del firewall).
Es posible ver los registros de firewall si se envían los registros que provienen de una instancia de SD-WAN Edge empresarial a uno o varios recopiladores de Syslog centralizados (servidores) remotos. De forma predeterminada, la función Enrutamiento de Syslog (Syslog Forwarding) está desactivada para empresas. Para reenviar los registros a recopiladores de Syslog remotos:
  1. Active la función Enrutamiento de Syslog (Syslog Forwarding) en Configurar (Configure) > Edge/perfil (Edge/Profile) > Firewall.
  2. Configure un recopilador de Syslog en Configurar (Configure) > Instancias de Edge (Edges) > Dispositivo (Device) > Configuración de Syslog (Syslog Settings). Si desea conocer los pasos para configurar los detalles del recopilador Syslog por segmento en SD-WAN Orchestrator, consulte Configurar ajustes de Syslog para perfiles con la nueva interfaz de usuario de Orchestrator.