Un pare-feu est un périphérique de sécurité réseau qui surveille le trafic réseau entrant et sortant et décide s'il faut autoriser ou bloquer un trafic spécifique en fonction d'un ensemble défini de règles de sécurité. SD-WAN Orchestrator prend en charge la configuration des pare-feu sans état et avec état pour les profils et les dispositifs Edge.
Un pare-feu avec état surveille et effectue le suivi de l'état opérationnel et des caractéristiques de chaque connexion réseau qui passe par lui. Il utilise ensuite ces informations pour déterminer les paquets réseau autorisés à passer. Les pare-feu avec état créent une table des états et l'utilisent pour autoriser uniquement le trafic provenant de connexions qui y sont actuellement répertoriées. Une fois qu'une connexion a été supprimée de la table des états, aucun trafic provenant du périphérique externe de cette connexion n'est autorisé.
- Prévention d'attaques telles que le déni de service (DoS) et l'usurpation d'identité.
- Journalisation plus robuste
- Amélioration de la sécurité du réseau
Les principales différences entre un pare-feu avec état et un pare-feu sans état sont les suivantes :
- La correspondance est directionnelle. Par exemple, vous pouvez autoriser les hôtes présents sur le VLAN 1 à lancer une session TCP avec les hôtes présents sur le VLAN 2, mais refuser l'inverse. Les pare-feu sans état traduisent en listes d'accès (ACL, Access Lists) simples qui n'autorisent pas ce type de contrôle granulaire.
- Un pare-feu avec état est sensible à la session. Dans l'exemple d'un établissement de liaison TCP à 3 voies, un pare-feu avec état n'autorise pas un SYN-ACK ou un ACK à lancer une nouvelle session. Il doit commencer par un SYN, et tous les autres paquets de la session TCP doivent également suivre le protocole correctement, sans quoi le pare-feu les abandonnera. Un pare-feu sans état n'a aucun concept de session et filtre les paquets exclusivement sur une base paquet par paquet, individuellement.
- Un pare-feu avec état applique le routage symétrique. Par exemple, il est très courant que le routage asymétrique se produise dans un réseau VMware, où le trafic entre dans le réseau via un hub, mais en ressort par un autre. En tirant parti du routage tiers, le paquet est toujours en mesure d'atteindre sa destination. Dans le cas d'un pare-feu avec état, ce trafic serait abandonné.
- En cas de modification de la configuration, les flux existants sont revérifiés par rapport aux règles du pare-feu avec état. Ainsi, si un flux existant a déjà été accepté et que vous configurez le pare-feu avec état pour qu'il abandonne désormais les paquets de ce type, le pare-feu revérifie le flux par rapport au nouvel ensemble de règles, puis l'abandonne. Pour les scénarios dans lesquels un paramètre « autoriser » (allow) est modifié et défini sur « abandonner » (drop) ou « rejeter » (reject), les flux préexistants expirent et un journal de pare-feu est généré pour la fermeture de session.
- VMware SD-WAN Edge doit utiliser la version 3.4.0 ou une version ultérieure.
- Par défaut, la fonctionnalité de Pare-feu avec état (Stateful Firewall) est activée pour les nouveaux clients sur SD-WAN Orchestrator utilisant la version 3.4.0 ou une version ultérieure. Les clients créés sur un dispositif Orchestrator 3.x auront besoin de l'aide d'un partenaire ou du support VMware SD-WAN pour activer cette fonctionnalité.
- SD-WAN Orchestrator permet à l'utilisateur d'entreprise d'activer ou de désactiver la fonctionnalité de pare-feu avec état au niveau du profil et du dispositif Edge sur leur page Pare-feu (Firewall) correspondante. Pour désactiver la fonctionnalité de pare-feu avec état pour une entreprise, contactez un opérateur disposant d'une autorisation de super utilisateur.
Note : Le routage asymétrique n'est pas pris en charge pour les dispositifs Edge sur lesquels la fonctionnalité de pare-feu avec état est activée.
Journaux de pare-feu avec état
- Lors de la création d'un flux (à condition que ce flux soit accepté)
- Lorsque le flux est fermé
- Lorsqu'un nouveau flux est refusé
- Lorsqu'un flux existant est mis à jour (en raison d'une modification de la configuration du pare-feu)
- Activer la fonctionnalité Transfert Syslog (Syslog Forwarding) sous .
- Configurez un collecteur Syslog sous SD-WAN Orchestrator, reportez-vous à la section Configurer les paramètres Syslog pour les profils. . Pour connaître les étapes de configuration détaillées des collecteurs Syslog par segment dans