Un pare-feu est un périphérique de sécurité réseau qui surveille le trafic réseau entrant et sortant et décide s'il faut autoriser ou bloquer un trafic spécifique en fonction d'un ensemble défini de règles de sécurité. SD-WAN Orchestrator prend en charge la configuration des pare-feu sans état et avec état pour les profils et les dispositifs Edge.

Un pare-feu avec état surveille et effectue le suivi de l'état opérationnel et des caractéristiques de chaque connexion réseau qui passe par lui. Il utilise ensuite ces informations pour déterminer les paquets réseau autorisés à passer. Les pare-feu avec état créent une table des états et l'utilisent pour autoriser uniquement le trafic provenant de connexions qui y sont actuellement répertoriées. Une fois qu'une connexion a été supprimée de la table des états, aucun trafic provenant du périphérique externe de cette connexion n'est autorisé.

La fonctionnalité de pare-feu avec état offre les avantages suivants :
  • Prévention d'attaques telles que le déni de service (DoS) et l'usurpation d'identité.
  • Journalisation plus robuste
  • Amélioration de la sécurité du réseau

Les principales différences entre un pare-feu avec état et un pare-feu sans état sont les suivantes :

  • La correspondance est directionnelle. Par exemple, vous pouvez autoriser les hôtes présents sur le VLAN 1 à lancer une session TCP avec les hôtes présents sur le VLAN 2, mais refuser l'inverse. Les pare-feu sans état traduisent en listes d'accès (ACL, Access Lists) simples qui n'autorisent pas ce type de contrôle granulaire.
  • Un pare-feu avec état est sensible à la session. Dans l'exemple d'un établissement de liaison TCP à 3 voies, un pare-feu avec état n'autorise pas un SYN-ACK ou un ACK à lancer une nouvelle session. Il doit commencer par un SYN, et tous les autres paquets de la session TCP doivent également suivre le protocole correctement, sans quoi le pare-feu les abandonnera. Un pare-feu sans état n'a aucun concept de session et filtre les paquets exclusivement sur une base paquet par paquet, individuellement.
  • Un pare-feu avec état applique le routage symétrique. Par exemple, il est très courant que le routage asymétrique se produise dans un réseau VMware, où le trafic entre dans le réseau via un hub, mais en ressort par un autre. En tirant parti du routage tiers, le paquet est toujours en mesure d'atteindre sa destination. Dans le cas d'un pare-feu avec état, ce trafic serait abandonné.
  • En cas de modification de la configuration, les flux existants sont revérifiés par rapport aux règles du pare-feu avec état. Ainsi, si un flux existant a déjà été accepté et que vous configurez le pare-feu avec état pour qu'il abandonne désormais les paquets de ce type, le pare-feu revérifie le flux par rapport au nouvel ensemble de règles, puis l'abandonne. Pour les scénarios dans lesquels un paramètre « autoriser » (allow) est modifié et défini sur « abandonner » (drop) ou « rejeter » (reject), les flux préexistants expirent et un journal de pare-feu est généré pour la fermeture de session.
Les exigences pour utiliser un pare-feu avec état sont les suivantes :
  • VMware SD-WAN Edge doit utiliser la version 3.4.0 ou une version ultérieure.
  • Par défaut, la fonctionnalité de Pare-feu avec état (Stateful Firewall) est activée pour les nouveaux clients sur SD-WAN Orchestrator utilisant la version 3.4.0 ou une version ultérieure. Les clients créés sur un Orchestrator 3.x auront besoin de l'aide d'un partenaire ou du support VMware SD-WAN pour activer cette fonctionnalité.
  • SD-WAN Orchestrator permet à l'utilisateur d'entreprise d'activer ou de désactiver la fonctionnalité de pare-feu avec état au niveau du profil et du dispositif Edge sur leur page Pare-feu (Firewall) respective. Pour désactiver la fonctionnalité de pare-feu avec état pour une entreprise, contactez un opérateur disposant d'une autorisation de super utilisateur.
    Note : Le routage asymétrique n'est pas pris en charge pour les dispositifs Edge sur lesquels la fonctionnalité de pare-feu avec état est activée.
Pour configurer les paramètres de pare-feu au niveau du profil et du dispositif Edge, reportez-vous aux sections :

Journaux de pare-feu avec état

Lorsque le pare-feu avec état est activé, des informations supplémentaires peuvent être consignées dans les journaux de pare-feu. Les journaux de pare-feu contiennent les champs suivants : Heure (Time), Segment, Dispositif Edge (Edge), Action, Interface, Protocole (Protocol), Adresse IP source (Source IP), Port source (Source Port), Adresse IP de destination (Destination IP), Port de destination (Destination Port), Règle (Rule), Octets reçus/envoyés (Bytes Received/Sent) et Durée (Duration).
Note : Tous les champs ne seront pas renseignés pour tous les journaux de pare-feu. Par exemple, les champs Raison (Reason), Octets reçus/envoyés (Bytes Received/Sent) et Durée (Duration) sont inclus dans les journaux lorsque des sessions sont fermées.
Les journaux sont générés :
  • Lors de la création d'un flux (à condition que ce flux soit accepté)
  • Lorsque le flux est fermé
  • Lorsqu'un nouveau flux est refusé
  • Lorsqu'un flux existant est mis à jour (en raison d'une modification de la configuration du pare-feu)
Vous pouvez afficher les journaux de pare-feu en envoyant les journaux provenant de SD-WAN Edges de l'entreprise à un ou plusieurs collecteurs Syslog (serveurs) distants centralisés. Par défaut, la fonctionnalité Transfert Syslog (Syslog Forwarding) est désactivée pour une entreprise. Pour transférer les journaux à des collecteurs Syslog distants, vous devez :
  1. Activer la fonctionnalité Transfert Syslog (Syslog Forwarding) sous Configurer (Configure) > Dispositif Edge/Profil (Edge/Profile) > onglet Pare-feu (Firewall).
  2. Configurez un collecteur Syslog sous Configurer (Configure) > Dispositifs Edge (Edges) > Périphérique (Device) > Paramètres Syslog (Syslog Settings). Pour connaître les étapes de configuration détaillées des collecteurs Syslog par segment dans SD-WAN Orchestrator, reportez-vous à la section Configurer les paramètres Syslog pour les profils.