Un firewall es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente, y decide si se permite o se bloquea un tráfico específico en función de un conjunto definido de reglas de seguridad. SASE Orchestrator admite la configuración de reglas de Servicios de firewall mejorados (Enhanced Firewall Services, EFS) con y sin estado para perfiles e instancias de Edge.
Firewall con estado
Un firewall con estado supervisa y realiza un seguimiento de las características y del estado operativo de todas las conexiones de red que atraviesan el firewall, y utiliza esta información para determinar qué paquetes de red pueden pasar por el firewall. Los firewalls con estado compilan una tabla de estado que utilizan para permitir únicamente el tráfico devuelto de las conexiones que se enumeran en la tabla de estado. Después de eliminar una conexión de la tabla de estado, no se permite el tráfico procedente del dispositivo externo de esta conexión.
- Prevención de ataques como denegación de servicio (Denial of Service, DoS) y suplantación
- Registro más robusto
- Seguridad de red mejorada
Las principales diferencias entre un firewall con estado y un firewall sin estado son las siguientes:
- La coincidencia es direccional. Por ejemplo, es posible permitir que los hosts de la VLAN 1 inicien una sesión TCP con hosts en la VLAN 2, pero denegar la situación inversa. Los firewalls sin estado se traducen en ACL (listas de acceso) simples que no permiten este tipo de control detallado.
- Un firewall con estado reconoce las sesiones. Si se utiliza el protocolo de enlace de tres vías de TCP como ejemplo, un firewall con estado no permitirá que un SYN-ACK o un ACK inicien una nueva sesión. Debe comenzar con un SYN, y todos los demás paquetes de la sesión TCP deben seguir el protocolo correctamente; en caso contrario, el firewall los descartará. Un firewall sin estado no tiene ningún concepto de sesión y, en su lugar, filtra los paquetes basándose únicamente en un análisis individual, paquete por paquete.
- Un firewall con estado aplica el enrutamiento simétrico. Por ejemplo, es bastante común que se use el enrutamiento asimétrico en una red de VMware en la que el tráfico ingresa a través de un hub, pero sale a través de otro. Si se utiliza el enrutamiento de terceros, el paquete de todos modos podrá llegar a su destino. Con un firewall con estado, se descartará dicho tráfico.
- Cuando se modifica la configuración, se vuelven a verificar las reglas de firewall con estado en los flujos existentes. Por lo tanto, si ya se aceptó un flujo existente y, luego, se configura el firewall con estado para descartar esos paquetes, el firewall volverá a verificar el flujo en el nuevo conjunto de reglas y, a continuación, lo descartará. En aquellos casos en los que se cambie "permitir" (allow) por "descartar" (drop) o "rechazar" (reject), se agotará el tiempo de espera de los flujos preexistentes y se generará un registro de firewall para el cierre de sesión.
- VMware SD-WAN Edge debe contar con la versión 3.4.0 o una versión posterior.
- De forma predeterminada, la función Firewall con estado (Stateful Firewall) es una capacidad del cliente activada para clientes nuevos en una instancia de SASE Orchestrator en la versión 3.4.0 o versiones posteriores. Los clientes creados en la versión 3.x de Orchestrator necesitarán la asistencia de un socio o del soporte técnico de VMware SD-WAN para habilitar esta función.
- SASE Orchestrator permite que el usuario empresarial active o desactive la función Firewall con estado (Stateful Firewall) en el nivel de perfil y de Edge desde la página de Firewall correspondiente. Para desactivar la función Firewall con estado (Stateful Firewall) en una empresa, póngase en contacto con un operador que tenga permiso de superusuario.
Nota: El enrutamiento asimétrico no es compatible con las instancias de Edge activadas para firewall con estado.
Servicios de firewall mejorados
Los EFS proporcionan funcionalidades de seguridad adicionales en Instancias de VMware SD-WAN Edge. La funcionalidad de EFS basada en seguridad de NSX admite servicios de filtrado de categorías de URL, filtrado de reputación de URL, filtrado de direcciones IP malintencionadas, sistema de detección de intrusiones (IDS) y sistema de prevención de intrusiones (IPS) en Instancias de VMware SD-WAN Edge. Los servicios de firewall mejorados (EFS) protegen el tráfico de Edge de intrusiones en los patrones de tráfico de sucursal a sucursal, sucursal a hub o sucursal a Internet.
En este momento, el firewall de SD-WAN Edge proporciona una inspección con estado junto con la identificación de aplicaciones sin EFS adicional. Si bien el firewall con estado de SD-WAN Edge proporciona seguridad, no es adecuado y genera una brecha al proporcionar seguridad de EFS integrada de forma nativa con VMware SD-WAN. EFS de Edge soluciona estas brechas de seguridad y ofrece protección contra amenazas mejorada de forma nativa en SD-WAN Edge junto con VMware SD-WAN.
Registros de firewall
- Cuando se crea un flujo (con la condición de que se acepte el flujo);
- Cuando se cierra el flujo;
- Cuando se deniega un nuevo flujo;
- Cuando se actualiza un flujo existente (debido a un cambio en la configuración del firewall).
- Registro de firewall alojado (Hosted Firewall Logging): permite activar o desactivar la función de registro de firewall en el nivel de Edge empresarial para enviar registros de firewall a Orchestrator.
Nota: A partir de la versión 5.4.0, en las instancias de Orchestrator alojadas la capacidad Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator) está activada de forma predeterminada para empresas nuevas y existentes. En el nivel de Edge, los clientes deben activar Registro de firewall alojado (Hosted Firewall Logging) para enviar registros de firewall de Edge a Orchestrator. En el caso de las instancias de Orchestrator locales, los clientes deben ponerse en contacto con sus operadores para activar la capacidad Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator).
Puede ver los registros del firewall de Edge en Orchestrator en la página Monitor > Registros de firewall (Firewall Logs). Para obtener más información, consulte Supervisar registros de firewall.
- Enrutamiento de Syslog (Syslog Forwarding): permite ver los registros al enviar los registros que se originan en una instancia de SD-WAN Edge empresarial a uno o varios servidores remotos configurados. De forma predeterminada, la función Enrutamiento de Syslog (Syslog Forwarding) está desactivada para una empresa. Para reenviar los registros a recopiladores de Syslog remotos:
- Active la función Enrutamiento de Syslog (Syslog Forwarding) en la pestaña (Configure > Edge/Profile > Firewall).
- Configure un recopilador de Syslog en SASE Orchestrator, consulte Configurar ajustes de Syslog para perfiles. . Si desea conocer los pasos para configurar los detalles del recopilador Syslog por segmento en