Un pare-feu est un périphérique de sécurité réseau qui surveille le trafic réseau entrant et sortant et décide s'il faut autoriser ou bloquer un trafic spécifique en fonction d'un ensemble défini de règles de sécurité. SASE Orchestrator prend en charge la configuration des règles de pare-feu avec et sans état, ainsi que des services de pare-feu améliorés pour les profils et les dispositifs Edge.
Pare-feu avec état
Un pare-feu avec état surveille et effectue le suivi de l'état opérationnel et des caractéristiques de chaque connexion réseau qui passe par lui. Il utilise ensuite ces informations pour déterminer les paquets réseau autorisés à passer. Les pare-feu avec état créent une table des états et l'utilisent pour autoriser uniquement le trafic provenant de connexions qui y sont actuellement répertoriées. Une fois qu'une connexion a été supprimée de la table des états, aucun trafic provenant du périphérique externe de cette connexion n'est autorisé.
- Prévention d'attaques telles que le déni de service (DoS) et l'usurpation d'identité.
- Journalisation plus robuste
- Amélioration de la sécurité du réseau
Les principales différences entre un pare-feu avec état et un pare-feu sans état sont les suivantes :
- La correspondance est directionnelle. Par exemple, vous pouvez autoriser les hôtes présents sur le VLAN 1 à lancer une session TCP avec les hôtes présents sur le VLAN 2, mais refuser l'inverse. Les pare-feu sans état traduisent en listes d'accès (ACL, Access Lists) simples qui n'autorisent pas ce type de contrôle granulaire.
- Un pare-feu avec état est sensible à la session. Dans l'exemple d'un établissement de liaison TCP à 3 voies, un pare-feu avec état n'autorise pas un SYN-ACK ou un ACK à lancer une nouvelle session. Il doit commencer par un SYN, et tous les autres paquets de la session TCP doivent également suivre le protocole correctement, sans quoi le pare-feu les abandonnera. Un pare-feu sans état n'a pas de concept de session et filtre plutôt les paquets en fonction purement paquet par paquet, individuellement.
- Un pare-feu avec état applique le routage symétrique. Par exemple, il est assez courant que le routage asymétrique se produise dans un réseau VMware, où le trafic entre dans le réseau via un Hub, mais en ressort par un autre. En tirant parti du routage tiers, le paquet est toujours en mesure d'atteindre sa destination. Dans le cas d'un pare-feu avec état, ce trafic serait abandonné.
- En cas de modification de la configuration, les flux existants sont revérifiés par rapport aux règles du pare-feu avec état. Ainsi, si un flux existant a déjà été accepté et que vous configurez le pare-feu avec état pour qu'il abandonne désormais les paquets de ce type, le pare-feu revérifie le flux par rapport au nouvel ensemble de règles, puis l'abandonne. Pour les scénarios dans lesquels un paramètre « autoriser » (allow) est modifié et défini sur « abandonner » (drop) ou « rejeter » (reject), les flux préexistants expirent et un journal de pare-feu est généré pour la fermeture de session.
- VMware SD-WAN Edge doit utiliser la version 3.4.0 ou une version ultérieure.
- Par défaut, la fonctionnalité de Pare-feu avec état (Stateful Firewall) est activée pour les nouveaux clients sur SASE Orchestrator à l'aide de la version 3.4.0 ou d'une version ultérieure. Les clients créés sur un dispositif Orchestrator 3.x auront besoin de l'aide d'un partenaire ou du support VMware SD-WAN pour activer cette fonctionnalité.
- SASE Orchestrator permet à l'utilisateur d'entreprise d'activer ou de désactiver la fonctionnalité de pare-feu avec état au niveau du profil et du dispositif Edge sur leur page Pare-feu (Firewall) correspondante. Pour désactiver la fonctionnalité de pare-feu avec état pour une entreprise, contactez un opérateur disposant d'une autorisation de super utilisateur.
Note : Le routage asymétrique n'est pas pris en charge pour les dispositifs Edge activés par la fonctionnalité de pare-feu avec état.
Services de pare-feu améliorés
Les services de pare-feu amélioré (EFS) fournissent des fonctionnalités de sécurité supplémentaires sur Dispositifs VMware SD-WAN Edge. La fonctionnalité EFS reposant sur la sécurité NSX prend en charge les services de filtrage de catégorie d'URL, de filtrage de réputation d'URL, de filtrage d'adresses IP malveillantes ainsi que le système de détection des intrusions (IDS, Intrusion Detection System) et le système de prévention des intrusions (IPS, Intrusion Prevention System) sur Dispositifs VMware SD-WAN Edge. Les services de pare-feu amélioré (EFS) protègent le trafic du dispositif Edge contre les intrusions sur les modèles de trafic site distant à site distant, site distant vers Hub ou site distant vers Internet.
Actuellement, le pare-feu SD-WAN Edge fournit une inspection avec état, ainsi que l'identification des applications sans EFS supplémentaires. Bien que le pare-feu avec état SD-WAN Edge fournisse une sécurité suffisante, il n'est pas adéquat et crée une lacune dans la fourniture d'une sécurité EFS intégrée en mode natif avec VMware SD-WAN. Le dispositif Edge EFS corrige ces failles de sécurité et offre une protection améliorée contre les menaces en mode natif sur SD-WAN Edge conjointement avec VMware SD-WAN.
Journaux de pare-feu
- Lors de la création d'un flux (à condition que ce flux soit accepté)
- Lorsque le flux est fermé
- Lorsqu'un nouveau flux est refusé
- Lorsqu'un flux existant est mis à jour (en raison d'une modification de la configuration du pare-feu)
- Journalisation du pare-feu hébergé (Hosted Firewall Logging) : permet d'activer ou de désactiver la fonctionnalité Journalisation de pare-feu (Firewall Logging) au niveau du dispositif Edge d'entreprise pour envoyer des journaux de pare-feu à Orchestrator.
Note : À partir de la version 5.4.0, pour les instances d'Orchestrator hébergées, la fonctionnalité Activer la journalisation du pare-feu dans Orchestrator (Enable Firewall Logging to Orchestrator) est activée par défaut pour les entreprises nouvelles et existantes. Au niveau du dispositif Edge, les clients doivent activer Journalisation du pare-feu hébergé (Hosted Firewall Logging) pour envoyer les journaux de pare-feu du dispositif Edge à l'instance d'Orchestrator. Pour les instances d'Orchestrator sur site, les clients doivent contacter leurs opérateurs pour activer la fonctionnalité Activer la journalisation du pare-feu dans Orchestrator (Enable Firewall logging to Orchestrator).
Vous pouvez afficher les journaux du pare-feu Edge dans Orchestrator à partir de la page Surveiller (Monitor) > Journaux de pare-feu (Firewall Logs). Pour plus d'informations, reportez-vous à la section Surveiller les journaux de pare-feu.
- Transfert Syslog (Syslog Forwarding) : permet d'afficher les journaux en envoyant les journaux provenant du dispositif SD-WAN Edge d'entreprise à un ou plusieurs serveurs distants définis. Par défaut, la fonctionnalité Transfert Syslog (Syslog Forwarding) est désactivée pour une entreprise. Pour transférer les journaux à des collecteurs Syslog distants, vous devez :
- Activez la fonctionnalité Transfert Syslog (Syslog Forwarding) dans l'onglet .
- Configurez un collecteur Syslog sous SASE Orchestrator, reportez-vous à la section Configurer les paramètres Syslog pour les profils. . Pour connaître les étapes de configuration détaillées des collecteurs Syslog par segment dans