Un firewall es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente, y decide si se permite o se bloquea un tráfico específico en función de un conjunto definido de reglas de seguridad. SASE Orchestrator admite la configuración de reglas de Servicios de firewall mejorados (Enhanced Firewall Services, EFS) con y sin estado para perfiles e instancias de Edge.

Firewall con estado

Un firewall con estado supervisa y realiza un seguimiento de las características y del estado operativo de todas las conexiones de red que atraviesan el firewall, y utiliza esta información para determinar qué paquetes de red pueden pasar por el firewall. Los firewalls con estado compilan una tabla de estado que utilizan para permitir únicamente el tráfico devuelto de las conexiones que se enumeran en la tabla de estado. Después de eliminar una conexión de la tabla de estado, no se permite el tráfico procedente del dispositivo externo de esta conexión.

La función Firewall con estado (Stateful Firewall) proporciona las siguientes ventajas:
  • Prevención de ataques como denegación de servicio (Denial of Service, DoS) y suplantación
  • Registro más robusto
  • Seguridad de red mejorada

Las principales diferencias entre un firewall con estado y un firewall sin estado son las siguientes:

  • La coincidencia es direccional. Por ejemplo, es posible permitir que los hosts de la VLAN 1 inicien una sesión TCP con hosts en la VLAN 2, pero denegar la situación inversa. Los firewalls sin estado se traducen en ACL (listas de acceso) simples que no permiten este tipo de control detallado.
  • Un firewall con estado reconoce las sesiones. Si se utiliza el protocolo de enlace de tres vías de TCP como ejemplo, un firewall con estado no permitirá que un SYN-ACK o un ACK inicien una nueva sesión. Debe comenzar con un SYN, y todos los demás paquetes de la sesión TCP deben seguir el protocolo correctamente; en caso contrario, el firewall los descartará. Un firewall sin estado no tiene ningún concepto de sesión y, en su lugar, filtra los paquetes basándose únicamente en un análisis individual, paquete por paquete.
  • Un firewall con estado aplica el enrutamiento simétrico. Por ejemplo, es bastante común que se use el enrutamiento asimétrico en una red de VMware en la que el tráfico ingresa a través de un hub, pero sale a través de otro. Si se utiliza el enrutamiento de terceros, el paquete de todos modos podrá llegar a su destino. Con un firewall con estado, se descartará dicho tráfico.
  • Cuando se modifica la configuración, se vuelven a verificar las reglas de firewall con estado en los flujos existentes. Por lo tanto, si ya se aceptó un flujo existente y, luego, se configura el firewall con estado para descartar esos paquetes, el firewall volverá a verificar el flujo en el nuevo conjunto de reglas y, a continuación, lo descartará. En aquellos casos en los que se cambie "permitir" (allow) por "descartar" (drop) o "rechazar" (reject), se agotará el tiempo de espera de los flujos preexistentes y se generará un registro de firewall para el cierre de sesión.
Los requisitos para usar el firewall con estado son los siguientes:
  • VMware SD-WAN Edge debe contar con la versión 3.4.0 o una versión posterior.
  • De forma predeterminada, la función Firewall con estado (Stateful Firewall) es una capacidad del cliente activada para clientes nuevos en una instancia de SASE Orchestrator en la versión 3.4.0 o versiones posteriores. Los clientes creados en la versión 3.x de Orchestrator necesitarán la asistencia de un socio o del soporte técnico de VMware SD-WAN para habilitar esta función.
  • SASE Orchestrator permite que el usuario empresarial active o desactive la función Firewall con estado (Stateful Firewall) en el nivel de perfil y de Edge desde la página de Firewall correspondiente. Para desactivar la función Firewall con estado (Stateful Firewall) en una empresa, póngase en contacto con un operador que tenga permiso de superusuario.
    Nota: El enrutamiento asimétrico no es compatible con las instancias de Edge activadas para firewall con estado.

Servicios de firewall mejorados

Los EFS proporcionan funcionalidades de seguridad adicionales en Instancias de VMware SD-WAN Edge. La funcionalidad de EFS basada en seguridad de NSX admite servicios de filtrado de categorías de URL, filtrado de reputación de URL, filtrado de direcciones IP malintencionadas, sistema de detección de intrusiones (IDS) y sistema de prevención de intrusiones (IPS) en Instancias de VMware SD-WAN Edge. Los servicios de firewall mejorados (EFS) protegen el tráfico de Edge de intrusiones en los patrones de tráfico de sucursal a sucursal, sucursal a hub o sucursal a Internet.

En este momento, el firewall de SD-WAN Edge proporciona una inspección con estado junto con la identificación de aplicaciones sin EFS adicional. Si bien el firewall con estado de SD-WAN Edge proporciona seguridad, no es adecuado y genera una brecha al proporcionar seguridad de EFS integrada de forma nativa con VMware SD-WAN. EFS de Edge soluciona estas brechas de seguridad y ofrece protección contra amenazas mejorada de forma nativa en SD-WAN Edge junto con VMware SD-WAN.

Los clientes pueden configurar y administrar el firewall con estado y EFS mediante la funcionalidad de firewall de VMware SASE Orchestrator. Los clientes pueden configurar reglas de firewall para bloquear el tráfico web según si se halla una coincidencia de firma de IDS/IPS, de categoría o reputación de la URL o la IP. Para configurar los ajustes de firewall en el nivel de perfil y de Edge, consulte:

Registros de firewall

Se generan registros de firewall:
  • Cuando se crea un flujo (con la condición de que se acepte el flujo);
  • Cuando se cierra el flujo;
  • Cuando se deniega un nuevo flujo;
  • Cuando se actualiza un flujo existente (debido a un cambio en la configuración del firewall).
Cuando las funciones del firewall con estado y de EFS se encuentran activadas, es posible proporcionar más información en los registros de firewall. Los registros de firewall contienen los siguientes campos: Hora (Time), Segmento (Segment), Edge, Acción (Action), Interfaz (Interface), Protocolo (Protocol), IP de origen (Source IP), Puerto de origen (Source Port), IP de destino (Destination IP), Puerto de destino (Destination Port), Encabezados de extensión (Extension Headers), Regla (Rule), Motivo (Reason), Bytes enviados (Bytes Sent), Bytes recibidos (Bytes Received), Duración (Duration), Aplicación (Application), Dominio de destino (Destination Domain), Nombre de destino (Destination Name), ID de sesión (Session ID), ID de firma (Signature ID), Firma (Signature), Origen de ataque (Attack Source), Destino de ataque (Attack Target), Gravedad (Severity), Categoría (Category), Alerta de IDS (IDS Alert), Alerta de IPS (IPS Alert), URL, Tipos de motor (Engine Types), Categorías de URL (URL Categories), Acción de filtro de categorías de URL (URL Category Filter Action), Reputación de URL (URL Reputation), Acción de reputación de URL (URL Reputation Action), Categorías de IP (IP Categories) y Acción de IP malintencionada (Malicious IP Action).
Nota: No todos los campos se completan para todos los registros de firewall. Por ejemplo, los campos de Motivo (Reason), Bytes recibidos/enviados (Bytes Received/Sent) y Duración (Duration) se incluyen en los registros cuando se cierran las sesiones. Los campos Identificador de firma (Signature ID), Firma (Signature), Origen de ataque (Attack Source), Destino de ataque (Attack Target), Gravedad (Severity), Categoría (Category), Alerta de IDS (IDS Alert), Alerta IPS (IPS Alert), URL, Tipos de motor (Engine Types), Categorías de URL (URL Categories), Acción de filtro de categoría de URL (URL Category Filter Action), Reputación de URL (URL Reputation), Acción de reputación de URL (URL Reputation Action), Categorías de IP (IP Categories) y Acción de IP malintencionada (Malicious IP Action) se rellenan solo para las alertas de EFS, no para los registros de firewall.
Puede ver los registros del firewall mediante las siguientes funciones de firewall:
  • Registro de firewall alojado (Hosted Firewall Logging): permite activar o desactivar la función de registro de firewall en el nivel de Edge empresarial para enviar registros de firewall a Orchestrator.
    Nota: A partir de la versión 5.4.0, en las instancias de Orchestrator alojadas la capacidad Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator) está activada de forma predeterminada para empresas nuevas y existentes. En el nivel de Edge, los clientes deben activar Registro de firewall alojado (Hosted Firewall Logging) para enviar registros de firewall de Edge a Orchestrator. En el caso de las instancias de Orchestrator locales, los clientes deben ponerse en contacto con sus operadores para activar la capacidad Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator).

    Puede ver los registros del firewall de Edge en Orchestrator en la página Monitor > Registros de firewall (Firewall Logs). Para obtener más información, consulte Supervisar registros de firewall.

  • Enrutamiento de Syslog (Syslog Forwarding): permite ver los registros al enviar los registros que se originan en una instancia de SD-WAN Edge empresarial a uno o varios servidores remotos configurados. De forma predeterminada, la función Enrutamiento de Syslog (Syslog Forwarding) está desactivada para una empresa. Para reenviar los registros a recopiladores de Syslog remotos:
    1. Active la función Enrutamiento de Syslog (Syslog Forwarding) en la pestaña Configurar > Edge/Perfil > Firewall(Configure > Edge/Profile > Firewall).
    2. Configure un recopilador de Syslog en Configurar (Configure) > Instancias de Edge/Perfil (Edges/Profile) > Dispositivo (Device) > Configuración de Syslog (Syslog Settings). Si desea conocer los pasos para configurar los detalles del recopilador Syslog por segmento en SASE Orchestrator, consulte Configurar ajustes de Syslog para perfiles.
Nota: En las versiones de Edge 5.2.0 y posteriores, el registro de firewall alojado no depende de la configuración de enrutamiento de Syslog.