Un pare-feu est un périphérique de sécurité réseau qui surveille le trafic réseau entrant et sortant et décide s'il faut autoriser ou bloquer un trafic spécifique en fonction d'un ensemble défini de règles de sécurité. SASE Orchestrator prend en charge la configuration des règles de pare-feu avec et sans état, ainsi que des services de pare-feu améliorés pour les profils et les dispositifs Edge.

Pare-feu avec état

Un pare-feu avec état surveille et effectue le suivi de l'état opérationnel et des caractéristiques de chaque connexion réseau qui passe par lui. Il utilise ensuite ces informations pour déterminer les paquets réseau autorisés à passer. Les pare-feu avec état créent une table des états et l'utilisent pour autoriser uniquement le trafic provenant de connexions qui y sont actuellement répertoriées. Une fois qu'une connexion a été supprimée de la table des états, aucun trafic provenant du périphérique externe de cette connexion n'est autorisé.

La fonctionnalité de pare-feu avec état offre les avantages suivants :
  • Prévention d'attaques telles que le déni de service (DoS) et l'usurpation d'identité.
  • Journalisation plus robuste
  • Amélioration de la sécurité du réseau

Les principales différences entre un pare-feu avec état et un pare-feu sans état sont les suivantes :

  • La correspondance est directionnelle. Par exemple, vous pouvez autoriser les hôtes présents sur le VLAN 1 à lancer une session TCP avec les hôtes présents sur le VLAN 2, mais refuser l'inverse. Les pare-feu sans état traduisent en listes d'accès (ACL, Access Lists) simples qui n'autorisent pas ce type de contrôle granulaire.
  • Un pare-feu avec état est sensible à la session. Dans l'exemple d'un établissement de liaison TCP à 3 voies, un pare-feu avec état n'autorise pas un SYN-ACK ou un ACK à lancer une nouvelle session. Il doit commencer par un SYN, et tous les autres paquets de la session TCP doivent également suivre le protocole correctement, sans quoi le pare-feu les abandonnera. Un pare-feu sans état n'a aucun concept de session et filtre les paquets exclusivement sur une base paquet par paquet, individuellement.
  • Un pare-feu avec état applique le routage symétrique. Par exemple, il est très courant que le routage asymétrique se produise dans un réseau VMware, où le trafic entre dans le réseau via un Hub, mais en ressort par un autre. En tirant parti du routage tiers, le paquet est toujours en mesure d'atteindre sa destination. Dans le cas d'un pare-feu avec état, ce trafic serait abandonné.
  • En cas de modification de la configuration, les flux existants sont revérifiés par rapport aux règles du pare-feu avec état. Ainsi, si un flux existant a déjà été accepté et que vous configurez le pare-feu avec état pour qu'il abandonne désormais les paquets de ce type, le pare-feu revérifie le flux par rapport au nouvel ensemble de règles, puis l'abandonne. Pour les scénarios dans lesquels un paramètre « autoriser » (allow) est modifié et défini sur « abandonner » (drop) ou « rejeter » (reject), les flux préexistants expirent et un journal de pare-feu est généré pour la fermeture de session.
Les exigences pour utiliser un pare-feu avec état sont les suivantes :
  • VMware SD-WAN Edge doit utiliser la version 3.4.0 ou une version ultérieure.
  • Par défaut, la fonctionnalité de Pare-feu avec état (Stateful Firewall) est activée pour les nouveaux clients sur SASE Orchestrator à l'aide de la version 3.4.0 ou d'une version ultérieure. Les clients créés sur un dispositif Orchestrator 3.x auront besoin de l'aide d'un partenaire ou du support VMware SD-WAN pour activer cette fonctionnalité.
  • SASE Orchestrator permet à l'utilisateur d'entreprise d'activer ou de désactiver la fonctionnalité de pare-feu avec état au niveau du profil et du dispositif Edge sur leur page Pare-feu (Firewall) correspondante. Pour désactiver la fonctionnalité de pare-feu avec état pour une entreprise, contactez un opérateur disposant d'une autorisation de super utilisateur.
    Note : Le routage asymétrique n'est pas pris en charge pour les dispositifs Edge activés par la fonctionnalité de pare-feu avec état.

Services de pare-feu améliorés

Les services de pare-feu amélioré (EFS) fournissent des fonctionnalités de sécurité supplémentaires sur Dispositifs VMware SD-WAN Edge. La fonctionnalité EFS reposant sur NSX Security prend en charge les services Système de détection des intrusions (IDS, Intrusion Detection System) et Système de prévention d'intrusion (IPS, Intrusion Prevention System) sur Dispositifs VMware SD-WAN Edge. Les services de pare-feu améliorés (EFS) du dispositif Edge protègent le trafic du dispositif Edge contre les intrusions sur les trafics de type site distant vers site distant, site distant vers Hub ou site distant vers Internet.

Actuellement, le pare-feu SD-WAN Edge fournit une inspection avec état, ainsi que l'identification des applications sans fonctionnalités de sécurité EFS supplémentaires. Bien que le pare-feu avec état SD-WAN Edge fournisse une sécurité suffisante, il n'est pas adéquat et crée une lacune dans la fourniture d'une sécurité EFS intégrée en mode natif avec VMware SD-WAN. Le dispositif Edge EFS corrige ces failles de sécurité et offre une protection améliorée contre les menaces en mode natif sur SD-WAN Edge conjointement avec VMware SD-WAN.

Le client peut configurer et gérer le pare-feu avec état et EFS à l'aide de la fonctionnalité de pare-feu dans VMware SASE Orchestrator. Pour configurer les paramètres de pare-feu au niveau du profil et du dispositif Edge, reportez-vous aux sections :

Journaux de pare-feu

Lorsque les fonctionnalités de pare-feu avec état et de services pare-feu améliorés (EFS) sont activées, des informations supplémentaires peuvent être consignées dans les journaux de pare-feu. Les journaux de pare-feu contiennent les champs suivants : Heure (Time), Segment, Dispositif Edge (Edge), Action, Interface, Protocole (Protocol), Adresse IP source (Source IP), Port source (Source Port), Adresse IP de destination (Destination IP), Port de destination (Destination Port), En-têtes d'extension (Extension Headers), Règle (Rule), Motif (Reason), Octets reçus (Bytes Received), Octets envoyés (Bytes Sent), Durée (Duration), Application, Domaine de destination (Destination Domain), Nom de destination (Destination Name), ID de session (Session ID), Signature, Alerte IPS (IPS Alert), Alerte IDS (IDS Alert), ID de signature (Signature ID), Catégorie (Category), Source de l'attaque (Attack Source), Cible de l'attaque (Attack Target) et Gravité (Severity).
Note : Tous les champs ne seront pas renseignés pour tous les journaux de pare-feu. Par exemple, les champs Motif (Reason), Octets reçus/envoyés (Bytes Received/Sent) et Durée (Duration) sont inclus dans les journaux lorsque les sessions sont fermées. Les champs Signature, Alerte IPS (IPS Alert), Alerte IDS (IDS Alert), ID de signature (Signature ID), Catégorie (Category), Source de l'attaque (Attack Source), Cible de l'attaque (Attack Target) et Gravité (Severity) sont renseignés uniquement pour les alertes EFS, et non pour les journaux de pare-feu.
Les journaux de pare-feu sont générés :
  • Lors de la création d'un flux (à condition que ce flux soit accepté)
  • Lorsque le flux est fermé
  • Lorsqu'un nouveau flux est refusé
  • Lorsqu'un flux existant est mis à jour (en raison d'une modification de la configuration du pare-feu)
Vous pouvez afficher les journaux de pare-feu en utilisant les fonctionnalités de pare-feu suivantes :
  • Journalisation de pare-feu (Firewall Logging) : par défaut, les dispositifs Edge ne peuvent pas envoyer leurs journaux de pare-feu à Orchestrator.
    Note : Pour qu'un dispositif Edge envoie les journaux de pare-feu à Orchestrator, assurez-vous que la capacité client «  Activer la journalisation du pare-feu dans Orchestrator (Enable Firewall Logging to Orchestrator) » est activée au niveau du client sur la page de l'interface utilisateur « Paramètres globaux (Global Settings) ». Les clients doivent contacter votre opérateur si vous souhaitez activer la fonctionnalité de journalisation du pare-feu (Firewall Logging).

    Vous pouvez afficher les journaux du pare-feu Edge dans Orchestrator à partir de la page Surveiller (Monitor) > Journaux de pare-feu (Firewall Logs). Pour plus d'informations, reportez-vous à la section Surveiller les journaux de pare-feu.

  • Transfert Syslog (Syslog Forwarding) : permet d'afficher les journaux en envoyant les journaux provenant du dispositif SD-WAN Edge de l'entreprise à un ou plusieurs serveurs distants définis. Par défaut, la fonctionnalité Transfert Syslog (Syslog Forwarding) est désactivée pour une entreprise. Pour transférer les journaux à des collecteurs Syslog distants, vous devez :
    1. Activez la fonctionnalité Transfert Syslog (Syslog Forwarding) dans l'onglet Configurer (Configure) > Dispositif Edge/Profil (Edge/Profile) > Pare-feu (Firewall).
    2. Configurez un collecteur Syslog sous Configurer (Configure) > Dispositif Edge/Profil (Edge/Profile) > Périphérique (Device) > Paramètres Syslog (Syslog Settings). Pour connaître les étapes de configuration détaillées des collecteurs Syslog par segment dans SASE Orchestrator, reportez-vous à la section Configurer les paramètres Syslog pour les profils.
Note : Pour Edge versions 5.2.0 et ultérieures, la journalisation de pare-feu ne dépend pas de la configuration du transfert Syslog.