Ένα τείχος προστασίας είναι μια συσκευή ασφαλείας δικτύου που παρακολουθεί την εισερχόμενη και εξερχόμενη κυκλοφορία δικτύου και αποφασίζει αν θα επιτρέψει ή θα αποκλείσει συγκεκριμένη κυκλοφορία με βάση ένα καθορισμένο σύνολο κανόνων ασφαλείας. Το SD-WAN Orchestrator υποστηρίζει τη ρύθμιση παραμέτρων των τειχών προστασίας με και χωρίς επίβλεψη κατάστασης για προφίλ και Edge.

Ένα τείχος προστασίας με επίβλεψη κατάστασης παρακολουθεί και ελέγχει την κατάσταση λειτουργίας και τα χαρακτηριστικά κάθε σύνδεσης δικτύου που περνάει από το τείχος προστασίας και χρησιμοποιεί αυτές τις πληροφορίες για να καθορίσει ποια πακέτα δικτύου θα επιτραπούν μέσω του τείχους προστασίας. Τα τείχη προστασίας με επίβλεψη κατάστασης δημιουργούν έναν πίνακα κατάστασης και χρησιμοποιούν αυτόν τον πίνακα για να επιτρέπουν μόνο την κυκλοφορία που επιστρέφει από συνδέσεις που αναφέρονται αυτή τη στιγμή στον πίνακα κατάστασης. Μετά την κατάργηση μιας σύνδεσης από τον πίνακα κατάστασης, δεν επιτρέπεται η κυκλοφορία από την εξωτερική συσκευή αυτής της σύνδεσης.

Η δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης παρέχει τα ακόλουθα πλεονεκτήματα:
  • Αποτρέπει επιθέσεις όπως άρνηση υπηρεσίας (DoS) και πλαστογράφηση
  • Πιο ισχυρή καταγραφή
  • Βελτιωμένη ασφάλεια δικτύου

Οι κύριες διαφορές μεταξύ ενός τείχους προστασίας με επίβλεψη κατάστασης και ενός τείχους προστασίας χωρίς επίβλεψη κατάστασης είναι:

  • Η αντιστοίχιση είναι κατευθυντική. Για παράδειγμα, μπορείτε να επιτρέψετε στους κεντρικούς υπολογιστές στο VLAN 1 να ξεκινήσουν μια περίοδο λειτουργίας TCP με κεντρικούς υπολογιστές στο VLAN 2, αλλά να απορρίψετε το αντίστροφο. Τα τείχη προστασίας χωρίς επίβλεψη κατάστασης μεταφράζονται σε απλές ACL (λίστες πρόσβασης) που δεν επιτρέπουν αυτό το είδος λεπτομερούς ελέγχου.
  • Ένα τείχος προστασίας με επίβλεψη κατάστασης γνωρίζει την περίοδο λειτουργίας. Χρησιμοποιώντας τη χειραψία 3 κατευθύνσεων του TCP ως παράδειγμα, ένα τείχος προστασίας με επίβλεψη κατάστασης δεν θα επιτρέψει σε SYN-ACK ή ACK να ξεκινήσει μια νέα περίοδο λειτουργίας. Πρέπει να ξεκινήσει με SYN και όλα τα άλλα πακέτα στην περίοδο λειτουργίας TCP πρέπει επίσης να ακολουθήσουν σωστά το πρωτόκολλο, διαφορετικά το τείχος προστασίας θα τα αποθέσει. Ένα τείχος προστασίας χωρίς επίβλεψη κατάστασης δεν αντιλαμβάνεται την περίοδο λειτουργίας και αντ' αυτού φιλτράρει πακέτα αποκλειστικά σε ατομική βάση.
  • Ένα τείχος προστασίας με επίβλεψη κατάστασης επιβάλλει συμμετρική δρομολόγηση. Για παράδειγμα, είναι πολύ συνηθισμένο η ασύμμετρη δρομολόγηση να συμβαίνει σε ένα δίκτυο VMware όπου η κυκλοφορία εισέρχεται στο δίκτυο μέσω ενός διανομέα, αλλά εξέρχεται μέσω ενός άλλου. Αξιοποιώντας τη δρομολόγηση τρίτων, το πακέτο εξακολουθεί να είναι σε θέση να φτάσει στον προορισμό του. Με ένα τείχος προστασίας με επίβλεψη κατάστασης, μια τέτοια κυκλοφορία θα απορριφθεί.
  • Οι κανόνες τείχους προστασίας με επίβλεψη κατάστασης ελέγχονται εκ νέου έναντι των υπαρχουσών ροών μετά από μια αλλαγή στη διαμόρφωση. Έτσι, εάν μια υπάρχουσα ροή έχει ήδη γίνει αποδεκτή και ρυθμίσετε τις παραμέτρους του τείχους προστασίας με επίβλεψη κατάστασης για να αποθέσετε τώρα αυτά τα πακέτα, το τείχος προστασίας θα ελέγξει ξανά τη ροή σύμφωνα με το νέο σύνολο κανόνων και, στη συνέχεια, θα την αποθέσει. Για εκείνα τα σενάρια όπου ένα «να επιτρέπεται» αλλάζει σε «απόθεση» ή «απόρριψη», οι προϋπάρχουσες ροές θα λήξουν και θα δημιουργηθεί ένα αρχείο καταγραφής τείχους προστασίας για το κλείσιμο της περιόδου λειτουργίας.
Οι απαιτήσεις για τη χρήση του τείχους προστασίας με επίβλεψη κατάστασης είναι:
  • Η VMware SD-WAN Edge πρέπει να χρησιμοποιεί την έκδοση 3.4.0 ή νεότερη.
  • Από προεπιλογή, η δυνατότητα Τείχος προστασίας με επίβλεψη κατάστασης (Stateful Firewall) ενεργοποιείται για νέους πελάτες σε ένα SD-WAN Orchestrator που χρησιμοποιεί έκδοση 3.4.0 ή νεότερη. Οι πελάτες που δημιουργούνται σε ένα 3.x Orchestrator θα χρειαστούν βοήθεια από έναν συνεργάτη ή υποστήριξη VMware SD-WAN για να ενεργοποιήσουν αυτή τη δυνατότητα.
  • Το SD-WAN Orchestrator επιτρέπει στον εταιρικό χρήστη να ενεργοποιήσει ή να απενεργοποιήσει τη δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης σε επίπεδο προφίλ και Edge από την αντίστοιχη σελίδα Τείχος προστασίας (Firewall). Για να απενεργοποιήσετε τη δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης για μια εταιρεία, επικοινωνήστε με έναν χειριστή με δικαιώματα υπερχρήστη.
    Σημείωση: Η ασύμμετρη δρομολόγηση δεν υποστηρίζεται στα Edge με δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης.
Για να ρυθμίσετε τις παραμέτρους του τείχους προστασίας σε επίπεδο προφίλ και Edge, ανατρέξτε στο θέμα:

Προβολή αρχείων καταγραφής τείχους προστασίας με επίβλεψη κατάστασης

Με ενεργοποιημένο το τείχος προστασίας με επίβλεψη κατάστασης, περισσότερες πληροφορίες μπορούν να αναφερθούν στα αρχεία καταγραφής του τείχους προστασίας. Τα αρχεία καταγραφής τείχους προστασίας θα περιέχουν τα ακόλουθα πεδία: χρόνος, τμήμα, Edge, ενέργεια, διασύνδεση, πρωτόκολλο, IP προέλευσης, θύρα προέλευσης, IP προορισμού, θύρα προορισμού, κανόνας, byte που λαμβάνονται/αποστέλλονται και διάρκεια.
Σημείωση: Δεν θα συμπληρωθούν όλα τα πεδία για όλα τα αρχεία καταγραφής τείχους προστασίας. Για παράδειγμα, τα Αιτία, «Byte που λαμβάνονται/αποστέλλονται» και «Διάρκεια» είναι πεδία που περιλαμβάνονται στα αρχεία καταγραφής όταν οι περίοδοι λειτουργίας κλείσουν.
Δημιουργούνται αρχεία καταγραφής:
  • Όταν δημιουργείται μια ροή (υπό την προϋπόθεση ότι η ροή γίνεται αποδεκτή)
  • Όταν η ροή κλείσει
  • Όταν απορρίπτεται μια νέα ροή
  • Όταν ενημερώνεται μια υπάρχουσα ροή (λόγω αλλαγής ρύθμισης παραμέτρων τείχους προστασίας)
Μπορείτε να προβάλετε τα αρχεία καταγραφής τείχους προστασίας στέλνοντας τα αρχεία καταγραφής που προέρχονται από εταιρικούς SD-WAN Edge σε έναν ή περισσότερους κεντρικούς απομακρυσμένους συλλέκτες Syslog (διακομιστές). Από προεπιλογή, η δυνατότητα Προώθηση Syslog (Syslog Forwarding) είναι απενεργοποιημένη για μια εταιρεία. Για να προωθήσετε τα αρχεία καταγραφής σε απομακρυσμένους συλλέκτες Syslog, πρέπει:
  1. Να ενεργοποιήστε τη δυνατότητα Προώθηση Syslog (Syslog Forwarding) στην καρτέλα Διαμόρφωση > τείχους προστασίας > Edge/προφίλ (Configure Edge/Profile Firewall).
  2. Ρυθμίστε τις παραμέτρους ενός συλλέκτη Syslog επιλέγοντας Διαμόρφωση > Edge (Configure Edges) > Ρυθμίσεις Syslog > συσκευής (Device Syslog Settings). Για βήματα σχετικά με τον τρόπο διαμόρφωσης των στοιχείων συλλέκτη Syslog ανά τμήμα στην SD-WAN Orchestrator, ανατρέξτε στο θέμα Διαμόρφωση ρυθμίσεων Syslog για Προφίλ.