Un firewall es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente, y decide si se permite o se bloquea un tráfico específico en función de un conjunto definido de reglas de seguridad. SASE Orchestrator admite la configuración de reglas de Servicios de firewall mejorados (Enhanced Firewall Services, EFS) con y sin estado para perfiles e instancias de Edge.

Firewall con estado

Un firewall con estado supervisa y realiza un seguimiento de las características y del estado operativo de todas las conexiones de red que atraviesan el firewall, y utiliza esta información para determinar qué paquetes de red pueden pasar por el firewall. Los firewalls con estado compilan una tabla de estado que utilizan para permitir únicamente el tráfico devuelto de las conexiones que se enumeran en la tabla de estado. Después de eliminar una conexión de la tabla de estado, no se permite el tráfico procedente del dispositivo externo de esta conexión.

La función Firewall con estado (Stateful Firewall) proporciona las siguientes ventajas:
  • Prevención de ataques como denegación de servicio (Denial of Service, DoS) y suplantación
  • Registro más robusto
  • Seguridad de red mejorada

Las principales diferencias entre un firewall con estado y un firewall sin estado son las siguientes:

  • La coincidencia es direccional. Por ejemplo, es posible permitir que los hosts de la VLAN 1 inicien una sesión TCP con hosts en la VLAN 2, pero denegar la situación inversa. Los firewalls sin estado se traducen en ACL (listas de acceso) simples que no permiten este tipo de control detallado.
  • Un firewall con estado reconoce las sesiones. Si se utiliza el protocolo de enlace de tres vías de TCP como ejemplo, un firewall con estado no permitirá que un SYN-ACK o un ACK inicien una nueva sesión. Debe comenzar con un SYN, y todos los demás paquetes de la sesión TCP deben seguir el protocolo correctamente; en caso contrario, el firewall los descartará. Un firewall sin estado no tiene ningún concepto de sesión y, en su lugar, filtra los paquetes basándose únicamente en un análisis individual, paquete por paquete.
  • Un firewall con estado aplica el enrutamiento simétrico. Por ejemplo, es muy común que se use el enrutamiento asimétrico en una red VMware en la que el tráfico ingresa a través de un hub, pero sale a través de otro. Si se utiliza el enrutamiento de terceros, el paquete de todos modos podrá llegar a su destino. Con un firewall con estado, se descartará dicho tráfico.
  • Cuando se modifica la configuración, se vuelven a verificar las reglas de firewall con estado en los flujos existentes. Por lo tanto, si ya se aceptó un flujo existente y, luego, se configura el firewall con estado para descartar esos paquetes, el firewall volverá a verificar el flujo en el nuevo conjunto de reglas y, a continuación, lo descartará. En aquellos casos en los que se cambie "permitir" (allow) por "descartar" (drop) o "rechazar" (reject), se agotará el tiempo de espera de los flujos preexistentes y se generará un registro de firewall para el cierre de sesión.
Los requisitos para usar el firewall con estado son los siguientes:
  • VMware SD-WAN Edge debe contar con la versión 3.4.0 o una versión posterior.
  • De forma predeterminada, la función Firewall con estado (Stateful Firewall) es una capacidad del cliente activada para clientes nuevos en una instancia de SASE Orchestrator en la versión 3.4.0 o versiones posteriores. Los clientes creados en la versión 3.x de Orchestrator necesitarán la asistencia de un socio o del soporte técnico de VMware SD-WAN para habilitar esta función.
  • SASE Orchestrator permite que el usuario empresarial active o desactive la función Firewall con estado (Stateful Firewall) en el nivel de perfil y de Edge desde la página de Firewall correspondiente. Para desactivar la función Firewall con estado (Stateful Firewall) en una empresa, póngase en contacto con un operador que tenga permiso de superusuario.
    Nota: El enrutamiento asimétrico no es compatible con las instancias de Edge activadas para firewall con estado.

Servicios de firewall mejorados

Los EFS proporcionan funcionalidades de seguridad adicionales en Instancias de VMware SD-WAN Edge. La funcionalidad EFS con tecnología de NSX Security es compatible con los servicios del Sistema de detección de intrusiones (Intrusion Detection System, IDS) y el Sistema de prevención de intrusiones (Intrusion Prevention System, IPS) en Instancias de VMware SD-WAN Edge. Los EFS de Edge protegen el tráfico de Edge contra intrusiones en los patrones de tráfico de sucursal a sucursal, sucursal a hub o sucursal a Internet.

En este momento, el firewall de SD-WAN Edge proporciona una inspección con estado junto con la identificación de aplicaciones sin funciones de seguridad adicionales de EFS. Si bien el firewall con estado de SD-WAN Edge proporciona seguridad, no es adecuado y genera una brecha al proporcionar seguridad de EFS integrada de forma nativa con VMware SD-WAN. EFS de Edge soluciona estas brechas de seguridad y ofrece protección contra amenazas mejorada de forma nativa en SD-WAN Edge junto con VMware SD-WAN.

El cliente puede configurar y administrar el firewall con estado y EFS mediante la funcionalidad de firewall de VMware SASE Orchestrator. Para configurar los ajustes de firewall en el nivel de perfil y de Edge, consulte:

Registros de firewall

Cuando las funciones del firewall con estado y de EFS se encuentran activadas, es posible proporcionar más información en los registros de firewall. Los registros de firewall contendrán los siguientes campos: Hora (Time), Segmento (Segment), Edge, Acción (Action), Interfaz (Interface), Protocolo (Protocol), IP de origen (Source IP), Puerto de origen (Source Port), IP de destino (Destination IP), Puerto de destino (Destination Port), Encabezados de extensión (Extension Headers), Regla (Rule), Motivo (Reason), Bytes recibidos (Bytes Received), Bytes enviados (Bytes Sent), Duración (Duration), Aplicación (Application), Dominio de destino (Destination Domain), Nombre de destino (Destination Name), ID de sesión (Session ID), Firma (Signature), Alerta de IPS (IPS Alert), Alerta de IDS (IDS Alert), Identificador de firma (Signature ID), Categoría (Category), Origen de ataque (Attack Source), Destino de ataque (Attack Target) y Gravedad (Severity).
Nota: No todos los campos se completan para todos los registros de firewall. Por ejemplo, los campos de Motivo (Reason), Bytes recibidos/enviados (Bytes Received/Sent) y Duración (Duration) se incluyen en los registros cuando se cierran las sesiones. Los campos Firma (Signature), Alerta de IPS (IPS Alert), Alerta de IDS (IDS Alert), Identificador de firma (Signature ID), Categoría (Category), Origen de ataque (Attack Source), Destino de ataque (Attack Target) y Gravedad (Severity) se propagan solo para las alertas de EFS, no para los registros de firewall.
Se generan registros de firewall:
  • Cuando se crea un flujo (con la condición de que se acepte el flujo);
  • Cuando se cierra el flujo;
  • Cuando se deniega un nuevo flujo;
  • Cuando se actualiza un flujo existente (debido a un cambio en la configuración del firewall).
Puede ver los registros del firewall mediante las siguientes funciones de firewall:
  • Registros de firewall (Firewall Logging): de forma predeterminada, las instancias de Edge no pueden enviar sus registros de firewall a Orchestrator.
    Nota: Para que una instancia de Edge envíe los registros de firewall a Orchestrator, asegúrese de que la función del cliente Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator) esté activada a nivel del cliente en la página de la interfaz de usuario “Configuración global” (Global Settings). Si desea que se active la función de registro de firewall, los clientes deben ponerse en contacto con el operador.

    Puede ver los registros del firewall de Edge en Orchestrator en la página Monitor > Registros de firewall (Firewall Logs). Para obtener más información, consulte Supervisar registros de firewall.

  • Enrutamiento de Syslog (Syslog Forwarding): permite ver los registros al enviar los registros que se originan en una instancia de SD-WAN Edge empresarial a uno o varios servidores remotos configurados. De forma predeterminada, la función Enrutamiento de Syslog (Syslog Forwarding) está desactivada para empresas. Para reenviar los registros a recopiladores de Syslog remotos:
    1. Active la función Enrutamiento de Syslog (Syslog Forwarding) en la pestaña Configurar (Configure) > Edge/Perfil (Edge/Profile) > Firewall.
    2. Configure un recopilador de Syslog en Configurar (Configure) > Instancias de Edge/Perfil (Edges/Profile) > Dispositivo (Device) > Configuración de Syslog (Syslog Settings). Si desea conocer los pasos para configurar los detalles del recopilador Syslog por segmento en SASE Orchestrator, consulte Configurar ajustes de Syslog para perfiles.
Nota: Para las versiones de Edge 5.2.0 y posteriores, el registro de firewall no depende de la configuración de enrutamiento de Syslog.