Un pare-feu est un périphérique de sécurité réseau qui surveille le trafic réseau entrant et sortant et décide s'il faut autoriser ou bloquer un trafic spécifique en fonction d'un ensemble défini de règles de sécurité. SASE Orchestrator prend en charge la configuration des règles de pare-feu avec et sans état, ainsi que des services de pare-feu améliorés pour les profils et les dispositifs Edge.

Pare-feu avec état

Un pare-feu avec état surveille et effectue le suivi de l'état opérationnel et des caractéristiques de chaque connexion réseau qui passe par lui. Il utilise ensuite ces informations pour déterminer les paquets réseau autorisés à passer. Les pare-feu avec état créent une table des états et l'utilisent pour autoriser uniquement le trafic provenant de connexions qui y sont actuellement répertoriées. Une fois qu'une connexion a été supprimée de la table des états, aucun trafic provenant du périphérique externe de cette connexion n'est autorisé.

La fonctionnalité de pare-feu avec état offre les avantages suivants :
  • Prévention d'attaques telles que le déni de service (DoS) et l'usurpation d'identité.
  • Journalisation plus robuste
  • Amélioration de la sécurité du réseau

Les principales différences entre un pare-feu avec état et un pare-feu sans état sont les suivantes :

  • La correspondance est directionnelle. Par exemple, vous pouvez autoriser les hôtes présents sur le VLAN 1 à lancer une session TCP avec les hôtes présents sur le VLAN 2, mais refuser l'inverse. Les pare-feu sans état traduisent en listes d'accès (ACL, Access Lists) simples qui n'autorisent pas ce type de contrôle granulaire.
  • Un pare-feu avec état est sensible à la session. Dans l'exemple d'un établissement de liaison TCP à 3 voies, un pare-feu avec état n'autorise pas un SYN-ACK ou un ACK à lancer une nouvelle session. Il doit commencer par un SYN, et tous les autres paquets de la session TCP doivent également suivre le protocole correctement, sans quoi le pare-feu les abandonnera. Un pare-feu sans état n'a pas de concept de session et filtre plutôt les paquets en fonction purement paquet par paquet, individuellement.
  • Un pare-feu avec état applique le routage symétrique. Par exemple, il est assez courant que le routage asymétrique se produise dans un réseau VMware, où le trafic entre dans le réseau via un Hub, mais en ressort par un autre. En tirant parti du routage tiers, le paquet est toujours en mesure d'atteindre sa destination. Dans le cas d'un pare-feu avec état, ce trafic serait abandonné.
  • En cas de modification de la configuration, les flux existants sont revérifiés par rapport aux règles du pare-feu avec état. Ainsi, si un flux existant a déjà été accepté et que vous configurez le pare-feu avec état pour qu'il abandonne désormais les paquets de ce type, le pare-feu revérifie le flux par rapport au nouvel ensemble de règles, puis l'abandonne. Pour les scénarios dans lesquels un paramètre « autoriser » (allow) est modifié et défini sur « abandonner » (drop) ou « rejeter » (reject), les flux préexistants expirent et un journal de pare-feu est généré pour la fermeture de session.
Les exigences pour utiliser un pare-feu avec état sont les suivantes :
  • VMware SD-WAN Edge doit utiliser la version 3.4.0 ou une version ultérieure.
  • Par défaut, la fonctionnalité de Pare-feu avec état (Stateful Firewall) est activée pour les nouveaux clients sur SASE Orchestrator à l'aide de la version 3.4.0 ou d'une version ultérieure. Les clients créés sur un dispositif Orchestrator 3.x auront besoin de l'aide d'un partenaire ou du support VMware SD-WAN pour activer cette fonctionnalité.
  • SASE Orchestrator permet à l'utilisateur d'entreprise d'activer ou de désactiver la fonctionnalité de pare-feu avec état au niveau du profil et du dispositif Edge sur leur page Pare-feu (Firewall) correspondante. Pour désactiver la fonctionnalité de pare-feu avec état pour une entreprise, contactez un opérateur disposant d'une autorisation de super utilisateur.
    Note : Le routage asymétrique n'est pas pris en charge pour les dispositifs Edge activés par la fonctionnalité de pare-feu avec état.

Services de pare-feu améliorés

Les services de pare-feu amélioré (EFS) fournissent des fonctionnalités de sécurité supplémentaires sur Dispositifs VMware SD-WAN Edge. La fonctionnalité EFS reposant sur la sécurité NSX prend en charge les services de filtrage de catégorie d'URL, de filtrage de réputation d'URL, de filtrage d'adresses IP malveillantes ainsi que le système de détection des intrusions (IDS, Intrusion Detection System) et le système de prévention des intrusions (IPS, Intrusion Prevention System) sur Dispositifs VMware SD-WAN Edge. Les services de pare-feu amélioré (EFS) protègent le trafic du dispositif Edge contre les intrusions sur les modèles de trafic site distant à site distant, site distant vers Hub ou site distant vers Internet.

Actuellement, le pare-feu SD-WAN Edge fournit une inspection avec état, ainsi que l'identification des applications sans EFS supplémentaires. Bien que le pare-feu avec état SD-WAN Edge fournisse une sécurité suffisante, il n'est pas adéquat et crée une lacune dans la fourniture d'une sécurité EFS intégrée en mode natif avec VMware SD-WAN. Le dispositif Edge EFS corrige ces failles de sécurité et offre une protection améliorée contre les menaces en mode natif sur SD-WAN Edge conjointement avec VMware SD-WAN.

Les clients peuvent configurer et gérer le pare-feu avec état et EFS à l'aide de la fonctionnalité de pare-feu dans VMware SASE Orchestrator. Les clients peuvent configurer des règles de pare-feu pour bloquer le trafic Web en fonction de la correspondance de signature IDS/IPS, de la catégorie et/ou de la réputation de l'URL ou de l'adresse IP. Pour configurer les paramètres de pare-feu au niveau du profil et du dispositif Edge, reportez-vous aux sections :

Journaux de pare-feu

Les journaux de pare-feu sont générés :
  • Lors de la création d'un flux (à condition que ce flux soit accepté)
  • Lorsque le flux est fermé
  • Lorsqu'un nouveau flux est refusé
  • Lorsqu'un flux existant est mis à jour (en raison d'une modification de la configuration du pare-feu)
Lorsque les fonctionnalités de pare-feu avec état et de services pare-feu améliorés (EFS) sont activées, des informations supplémentaires peuvent être consignées dans les journaux de pare-feu. Les journaux de pare-feu contiennent les champs suivants : Heure (Time), Segment, Dispositif Edge (Edge), Action, Interface, Protocole (Protocol), Adresse IP source (Source IP), Port source (Source Port), Adresse IP de destination (Destination IP), Port de destination (Destination Port), En-têtes d'extension (Extension Headers), Règle (Rule), Motif (Reason), Octets envoyés (Bytes Sent), Octets reçus (Bytes Received), Durée (Duration), Application, Domaine de destination (Destination Domain), Nom de destination (Destination Name), ID de session (Session ID), ID de signature (Signature ID), Signature, Source de l'attaque (Attack Source), Cible de l'attaque (Attack Target), Gravité (Severity), Catégorie (Category), Alerte IDS (IDS Alert), Alerte IPS (IPS Alert), Alerte IDS (IDS Alert), URL, Types de moteurs (Engine Types), Catégories d'URL (URL Categories), Action de filtre de catégorie d'URL (URL Category Filter Action), Réputation d'URL (URL Reputation), Action de réputation d'URL (URL Reputation Action), Catégories d'adresses IP (IP Categories) et Action d'adresse IP malveillante (Malicious IP Action).
Note : Tous les champs ne seront pas renseignés pour tous les journaux de pare-feu. Par exemple, les champs Motif (Reason), Octets reçus/envoyés (Bytes Received/Sent) et Durée (Duration) sont inclus dans les journaux lorsque des sessions sont fermées. Les champs ID de signature (Signature ID), Signature, Source de l'attaque (Attack Source), Cible de l'attaque (Attack Target), Gravité (Severity), Catégorie (Category), Alerte IDS (IDS Alert), Alerte IPS (IPS Alert), URL, Types de moteurs (Engine Types), Catégories d'URL (URL Categories), Action de filtre de catégorie d'URL (URL Category Filter Action), Réputation d'URL (URL Reputation), Action de réputation d'URL (URL Reputation Action), Catégories d'adresses IP (IP Categories) et Action d'adresse IP malveillante (Malicious IP Action) sont renseignés uniquement pour les alertes EFS, pas pour les journaux de pare-feu.
Vous pouvez afficher les journaux de pare-feu en utilisant les fonctionnalités de pare-feu suivantes :
  • Journalisation du pare-feu hébergé (Hosted Firewall Logging) : permet d'activer ou de désactiver la fonctionnalité Journalisation de pare-feu (Firewall Logging) au niveau du dispositif Edge d'entreprise pour envoyer des journaux de pare-feu à Orchestrator.
    Note : À partir de la version 5.4.0, pour les instances d'Orchestrator hébergées, la fonctionnalité Activer la journalisation du pare-feu dans Orchestrator (Enable Firewall Logging to Orchestrator) est activée par défaut pour les entreprises nouvelles et existantes. Au niveau du dispositif Edge, les clients doivent activer Journalisation du pare-feu hébergé (Hosted Firewall Logging) pour envoyer les journaux de pare-feu du dispositif Edge à l'instance d'Orchestrator. Pour les instances d'Orchestrator sur site, les clients doivent contacter leurs opérateurs pour activer la fonctionnalité Activer la journalisation du pare-feu dans Orchestrator (Enable Firewall logging to Orchestrator).

    Vous pouvez afficher les journaux du pare-feu Edge dans Orchestrator à partir de la page Surveiller (Monitor) > Journaux de pare-feu (Firewall Logs). Pour plus d'informations, reportez-vous à la section Surveiller les journaux de pare-feu.

  • Transfert Syslog (Syslog Forwarding) : permet d'afficher les journaux en envoyant les journaux provenant du dispositif SD-WAN Edge d'entreprise à un ou plusieurs serveurs distants définis. Par défaut, la fonctionnalité Transfert Syslog (Syslog Forwarding) est désactivée pour une entreprise. Pour transférer les journaux à des collecteurs Syslog distants, vous devez :
    1. Activez la fonctionnalité Transfert Syslog (Syslog Forwarding) dans l'onglet Configurer (Configure) > Dispositif Edge/Profil (Edge/Profile) > Pare-feu (Firewall).
    2. Configurez un collecteur Syslog sous Configurer (Configure) > Dispositif Edge/Profil (Edge/Profile) > Périphérique (Device) > Paramètres Syslog (Syslog Settings). Pour connaître les étapes de configuration détaillées des collecteurs Syslog par segment dans SASE Orchestrator, reportez-vous à la section Configurer les paramètres Syslog pour les profils.
Note : Pour Edge versions 5.2.0 et ultérieures, la journalisation du pare-feu hébergé ne dépend pas de la configuration du transfert Syslog.