Ένα τείχος προστασίας είναι μια συσκευή ασφαλείας δικτύου που επιτηρεί την εισερχόμενη και εξερχόμενη κυκλοφορία δικτύου και αποφασίζει αν θα επιτρέψει ή θα αποκλείσει συγκεκριμένη κυκλοφορία με βάση ένα καθορισμένο σύνολο κανόνων ασφαλείας. Το SD-WAN Orchestrator υποστηρίζει τη διαμόρφωση των τειχών προστασίας χωρίς κατάσταση και των καταστασιακών τειχών προστασίας για προφίλ και Edge.

Ένα τείχος προστασίας με επίβλεψη κατάστασης επιτηρεί και παρακολουθεί την κατάσταση λειτουργίας και τα χαρακτηριστικά των συνδέσεων δικτύου που περνούν από το τείχος προστασίας και χρησιμοποιεί αυτές τις πληροφορίες για να καθορίσει σε ποια πακέτα δικτύου θα επιτρέψει να περάσουν από το τείχος προστασίας. Τα τείχη προστασίας με επίβλεψη κατάστασης δημιουργούν έναν πίνακα κατάστασης και χρησιμοποιούν αυτόν τον πίνακα για να επιτρέπουν μόνο την επιστροφή κυκλοφορίας από συνδέσεις που αναφέρονται τη συγκεκριμένη στιγμή στον πίνακα κατάστασης. Μετά την κατάργηση μιας σύνδεσης από τον πίνακα κατάστασης, δεν επιτρέπεται κυκλοφορία από την εξωτερική συσκευή αυτής της σύνδεσης.

Η δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης παρέχει τα ακόλουθα πλεονεκτήματα:
  • Αποτροπή επιθέσεων όπως άρνηση υπηρεσίας (DoS) και πλαστογράφηση
  • Πιο ανθεκτική καταγραφή
  • Βελτιωμένη ασφάλεια δικτύου

Οι κύριες διαφορές μεταξύ ενός τείχους προστασίας με επίβλεψη κατάστασης και ενός τείχους προστασίας χωρίς κατάσταση είναι:

  • Η αντιστοίχιση είναι κατευθυντική. Για παράδειγμα, μπορείτε να επιτρέψετε στους κεντρικούς υπολογιστές στο VLAN 1 να ξεκινήσουν μια περίοδο λειτουργίας TCP με κεντρικούς υπολογιστές στο VLAN 2, αλλά να απορρίψετε το αντίστροφο. Τα τείχη προστασίας χωρίς κατάσταση μεταφράζονται σε απλές ACL (λίστες πρόσβασης) που δεν επιτρέπουν αυτό το είδος λεπτομερούς ελέγχου.
  • Ένα τείχος προστασίας με επίβλεψη κατάστασης αντιλαμβάνεται την έννοια της περιόδου λειτουργίας. Χρησιμοποιώντας την τριμερή χειραψία του TCP ως παράδειγμα, ένα τείχος προστασίας με επίβλεψη κατάστασης δεν θα επιτρέψει σε ένα SYN-ACK ή σε μια ACK να ξεκινήσει μια νέα περίοδο λειτουργίας. Πρέπει να ξεκινήσει με ένα SYN και όλα τα άλλα πακέτα στην περίοδο λειτουργίας TCP πρέπει επίσης να τηρήσουν σωστά το πρωτόκολλο, ειδάλλως το τείχος προστασίας θα τα αποθέσει. Ένα τείχος προστασίας χωρίς κατάσταση δεν αντιλαμβάνεται την έννοια της περιόδου λειτουργίας, και αντί γι’ αυτό φιλτράρει τα πακέτα σε καθαρά εξατομικευμένη βάση, πακέτο κατά πακέτο.
  • Ένα τείχος προστασίας με επίβλεψη κατάστασης επιβάλλει συμμετρική δρομολόγηση. Για παράδειγμα, είναι πολύ συνηθισμένο η ασύμμετρη δρομολόγηση να συμβαίνει σε ένα δίκτυο VMware, όπου η κυκλοφορία εισέρχεται στο δίκτυο μέσω ενός διανομέα, αλλά εξέρχεται μέσω ενός άλλου. Αξιοποιώντας τη δρομολόγηση τρίτων, το πακέτο εξακολουθεί να είναι σε θέση να φτάσει στον προορισμό του. Με ένα τείχος προστασίας με επίβλεψη κατάστασης, θα γίνεται απόθεση μιας τέτοιας κυκλοφορίας.
  • Μετά από αλλαγή διαμόρφωσης, οι κανόνες τείχους προστασίας με επίβλεψη κατάστασης ελέγχονται εκ νέου βάσει των υπαρχουσών ροών. Έτσι, , εάν μια υπάρχουσα ροή έχει ήδη γίνει αποδεκτή και διαμορφώσετε το τείχος προστασίας με επίβλεψη κατάστασης ώστε να αποθέτει τώρα αυτά τα πακέτα, το τείχος προστασίας θα ελέγξει ξανά τη ροή βάσει του νέου συνόλου κανόνων και, στη συνέχεια θα τα αποθέσει. Για τα σενάρια όπου μια «Αποδοχή» (Allow) αλλάζει σε «Απόθεση» (Drop) ή «Απόρριψη» (Reject), θα λήξει το χρονικό όριο για τις προϋπάρχουσες ροές, και θα δημιουργηθεί ένα αρχείο καταγραφής τείχους προστασίας για το κλείσιμο της περιόδου λειτουργίας.
Οι απαιτήσεις για τη χρήση του τείχους προστασίας με επίβλεψη κατάστασης είναι:
  • Το VMware SD-WAN Edge πρέπει να χρησιμοποιεί την έκδοση 3.4.0 ή μεταγενέστερη έκδοση.
  • Από προεπιλογή, η δυνατότητα Καταστασιακό τείχος προστασίας (Stateful Firewall) ενεργοποιείται για νέους πελάτες σε ένα SD-WAN Orchestrator, χρησιμοποιώντας την έκδοση 3.4.0 ή μεταγενέστερες εκδόσεις. Οι πελάτες που δημιουργούνται σε Orchestrator 3.x θα χρειαστούν βοήθεια από έναν συνεργάτη ή την υποστήριξη της VMware SD-WAN για να ενεργοποιήσουν αυτήν τη λειτουργία.
  • Το SD-WAN Orchestrator επιτρέπει στον εταιρικό χρήστη να ενεργοποιήσει ή να απενεργοποιήσει τη δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης σε επίπεδο προφίλ και Edge από την αντίστοιχη σελίδα Τείχος προστασίας (Firewall). Για να απενεργοποιήσετε τη δυνατότητα Καταστασιακό τείχος προστασίας (Stateful Firewall) για μια επιχείρηση, επικοινωνήστε με έναν χειριστή με δικαιώματα υπερχρήστη.
    Σημείωση: Η ασύμμετρη δρομολόγηση δεν υποστηρίζεται στα Edge με ενεργοποιημένο τείχους προστασίας με επίβλεψη κατάστασης.
Για να διαμορφώσετε τις ρυθμίσεις του τείχους προστασίας σε επίπεδο προφίλ και Edge, δείτε:

Αρχεία καταγραφής τείχους προστασίας με επίβλεψη κατάστασης

Με ενεργοποιημένο το τείχος προστασίας με επίβλεψη κατάστασης, στα αρχεία καταγραφής του τείχους προστασίας μπορούν να αναφερθούν περισσότερες πληροφορίες. Τα αρχεία καταγραφής τείχους προστασίας περιέχουν τα ακόλουθα πεδία: Ώρα, τμήμα, Edge, ενέργεια, διασύνδεση, πρωτόκολλο, IP προέλευσης, θύρα προέλευσης, IP προορισμού, θύρα προορισμού, κανόνας, byte που λαμβάνονται/αποστέλλονται και διάρκεια.
Σημείωση: Δεν συμπληρώνονται όλα τα πεδία για όλα τα αρχεία καταγραφής τείχους προστασίας. Για παράδειγμα, η «Αιτία» (Reason), «Byte που λήφθηκαν/στάλθηκαν» (Bytes Received/Sent) και η «Διάρκεια» (Duration) είναι πεδία που περιλαμβάνονται στα αρχεία καταγραφής όταν οι περίοδοι λειτουργίας είναι κλειστές.
Αρχεία καταγραφής δημιουργούνται:
  • Όταν δημιουργείται μια ροή (υπό την προϋπόθεση ότι η ροή γίνεται αποδεκτή)
  • Όταν κλείνει η ροή
  • Όταν απορρίπτεται μια νέα ροή
  • Όταν ενημερώνεται μια υπάρχουσα ροή (λόγω αλλαγής στη διαμόρφωση τείχους προστασίας)
Μπορείτε να προβάλετε τα αρχεία καταγραφής τείχους προστασίας στέλνοντας τα αρχεία καταγραφής που προέρχονται από εταιρικά SD-WAN Edge σε έναν ή περισσότερους κεντρικούς απομακρυσμένους συλλέκτες αρχείων καταγραφής συστήματος (διακομιστές). Από προεπιλογή, η δυνατότητα Προώθηση Syslog (Syslog Forwarding) για μια επιχείρηση είναι απενεργοποιημένη. Για να προωθήσετε τα αρχεία καταγραφής σε απομακρυσμένους συλλέκτες αρχείων καταγραφής συστήματος (syslog), πρέπει να ενεργήσετε ως εξής:
  1. Ενεργοποιήστε τη δυνατότητα Προώθηση Syslog (Syslog Forwarding) στην καρτέλα Διαμόρφωση (Configure) > Edge/Προφίλ (Edge/Profile) > Τείχος προστασίας (Firewall).
  2. Διαμορφώστε έναν συλλέκτη αρχείων καταγραφής συστήματος (syslog) στη Διαμόρφωση (Configure) > Edge (Edges) > Συσκευή (Device) > Ρυθμίσεις Syslog (Syslog Ρυθμίσεις). Για βήματα σχετικά με τον τρόπο διαμόρφωσης των στοιχείων συλλέκτη αρχείων καταγραφής συστήματος (syslog) ανά τμήμα στο SD-WAN Orchestrator, δείτε Διαμόρφωση ρυθμίσεων Syslog για προφίλ με το νέο περιβάλλον εργασίας χρήστη του Orchestrator.
Σημείωση: Η καταγραφή τείχους προστασίας δεν υποστηρίζεται ούτε από το Edge ούτε και από το Orchestrator.