Ένα τείχος προστασίας είναι μια συσκευή ασφαλείας δικτύου που επιτηρεί την εισερχόμενη και εξερχόμενη κυκλοφορία δικτύου και αποφασίζει αν θα επιτρέψει ή θα αποκλείσει συγκεκριμένη κυκλοφορία με βάση ένα καθορισμένο σύνολο κανόνων ασφαλείας. Το SASE Orchestrator υποστηρίζει τη διαμόρφωση κανόνων υπηρεσιών τείχους προστασίας χωρίς κατάσταση, με επίβλεψη κατάστασης και βελτιωμένων υπηρεσιών τείχους προστασίας (EFS) για προφίλ και Edge.

Καταστασιακό τείχος προστασίας

Ένα τείχος προστασίας με επίβλεψη κατάστασης επιτηρεί και παρακολουθεί την κατάσταση λειτουργίας και τα χαρακτηριστικά των συνδέσεων δικτύου που περνούν από το τείχος προστασίας και χρησιμοποιεί αυτές τις πληροφορίες για να καθορίσει σε ποια πακέτα δικτύου θα επιτρέψει να περάσουν από το τείχος προστασίας. Τα τείχη προστασίας με επίβλεψη κατάστασης δημιουργούν έναν πίνακα κατάστασης και χρησιμοποιούν αυτόν τον πίνακα για να επιτρέπουν μόνο την επιστροφή κυκλοφορίας από συνδέσεις που αναφέρονται τη συγκεκριμένη στιγμή στον πίνακα κατάστασης. Μετά την κατάργηση μιας σύνδεσης από τον πίνακα κατάστασης, δεν επιτρέπεται κυκλοφορία από την εξωτερική συσκευή αυτής της σύνδεσης.

Η δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης παρέχει τα ακόλουθα πλεονεκτήματα:
  • Αποτροπή επιθέσεων όπως άρνηση υπηρεσίας (DoS) και πλαστογράφηση
  • Πιο ανθεκτική καταγραφή
  • Βελτιωμένη ασφάλεια δικτύου

Οι κύριες διαφορές μεταξύ ενός τείχους προστασίας με επίβλεψη κατάστασης και ενός τείχους προστασίας χωρίς κατάσταση είναι:

  • Η αντιστοίχιση είναι κατευθυντική. Για παράδειγμα, μπορείτε να επιτρέψετε στους κεντρικούς υπολογιστές στο VLAN 1 να ξεκινήσουν μια περίοδο λειτουργίας TCP με κεντρικούς υπολογιστές στο VLAN 2, αλλά να απορρίψετε το αντίστροφο. Τα τείχη προστασίας χωρίς κατάσταση μεταφράζονται σε απλές ACL (λίστες πρόσβασης) που δεν επιτρέπουν αυτό το είδος λεπτομερούς ελέγχου.
  • Ένα τείχος προστασίας με επίβλεψη κατάστασης αντιλαμβάνεται την έννοια της περιόδου λειτουργίας. Χρησιμοποιώντας την τριμερή χειραψία του TCP ως παράδειγμα, ένα τείχος προστασίας με επίβλεψη κατάστασης δεν θα επιτρέψει σε ένα SYN-ACK ή σε μια ACK να ξεκινήσει μια νέα περίοδο λειτουργίας. Πρέπει να ξεκινήσει με ένα SYN και όλα τα άλλα πακέτα στην περίοδο λειτουργίας TCP πρέπει επίσης να τηρήσουν σωστά το πρωτόκολλο, ειδάλλως το τείχος προστασίας θα τα αποθέσει. Ένα τείχος προστασίας χωρίς κατάσταση δεν αντιλαμβάνεται την έννοια της περιόδου λειτουργίας, και αντί γι’ αυτό φιλτράρει τα πακέτα σε καθαρά εξατομικευμένη βάση, πακέτο κατά πακέτο.
  • Ένα τείχος προστασίας με επίβλεψη κατάστασης επιβάλλει συμμετρική δρομολόγηση. Για παράδειγμα, είναι πολύ συνηθισμένο η ασύμμετρη δρομολόγηση να συμβαίνει σε ένα δίκτυο VMware, όπου η κυκλοφορία εισέρχεται στο δίκτυο μέσω ενός διανομέα, αλλά εξέρχεται μέσω ενός άλλου. Αξιοποιώντας τη δρομολόγηση τρίτων, το πακέτο εξακολουθεί να είναι σε θέση να φτάσει στον προορισμό του. Με ένα τείχος προστασίας με επίβλεψη κατάστασης, θα γίνεται απόθεση μιας τέτοιας κυκλοφορίας.
  • Μετά από αλλαγή διαμόρφωσης, οι κανόνες τείχους προστασίας με επίβλεψη κατάστασης ελέγχονται εκ νέου βάσει των υπαρχουσών ροών. Έτσι, , εάν μια υπάρχουσα ροή έχει ήδη γίνει αποδεκτή και διαμορφώσετε το τείχος προστασίας με επίβλεψη κατάστασης ώστε να αποθέτει τώρα αυτά τα πακέτα, το τείχος προστασίας θα ελέγξει ξανά τη ροή βάσει του νέου συνόλου κανόνων και, στη συνέχεια θα τα αποθέσει. Για τα σενάρια όπου μια «Αποδοχή» (Allow) αλλάζει σε «Απόθεση» (Drop) ή «Απόρριψη» (Reject), θα λήξει το χρονικό όριο για τις προϋπάρχουσες ροές, και θα δημιουργηθεί ένα αρχείο καταγραφής τείχους προστασίας για το κλείσιμο της περιόδου λειτουργίας.
Οι απαιτήσεις για τη χρήση του τείχους προστασίας με επίβλεψη κατάστασης είναι:
  • Το VMware SD-WAN Edge πρέπει να χρησιμοποιεί την έκδοση 3.4.0 ή μεταγενέστερη έκδοση.
  • Από προεπιλογή, η δυνατότητα Καταστασιακό τείχος προστασίας (Stateful Firewall) είναι μια δυνατότητα πελάτη που ενεργοποιείται για νέους πελάτες σε ένα SASE Orchestrator έκδοσης 3.4.0 ή νεότερης. Οι πελάτες που δημιουργούνται σε Orchestrator 3.x θα χρειαστούν βοήθεια από έναν συνεργάτη ή την υποστήριξη της VMware SD-WAN για να ενεργοποιήσουν αυτήν τη λειτουργία.
  • Το SASE Orchestrator επιτρέπει στον εταιρικό χρήστη να ενεργοποιήσει ή να απενεργοποιήσει τη δυνατότητα τείχους προστασίας με επίβλεψη κατάστασης σε επίπεδο προφίλ και Edge από την αντίστοιχη σελίδα Τείχος προστασίας (Firewall). Για να απενεργοποιήσετε τη δυνατότητα Καταστασιακό τείχος προστασίας (Stateful Firewall) για μια επιχείρηση, επικοινωνήστε με έναν χειριστή με δικαιώματα υπερχρήστη.
    Σημείωση: Η ασύμμετρη δρομολόγηση δεν υποστηρίζεται στα Edge με ενεργοποιημένο τείχους προστασίας με επίβλεψη κατάστασης.

Βελτιωμένες υπηρεσίες τείχους προστασίας

Οι βελτιωμένες υπηρεσίες τείχους προστασίας (EFS) παρέχουν πρόσθετες λειτουργίες ασφαλείας EFS στα VMware SD-WAN Edges. Η λειτουργία EFS που ενεργοποιείται από την ασφάλεια NSX υποστηρίζει τις υπηρεσίες Συστήματος εντοπισμού εισβολής (IDS) και Συστήματος αποτροπής εισβολής (IPS) στα VMware SD-WAN Edges. Οι βελτιωμένες υπηρεσίες τείχους προστασίας Edge (EFS) προστατεύουν την κυκλοφορία του Edge από εισβολές σε μοτίβα κυκλοφορίας από διακλάδωση σε διακλάδωση, από διακλάδωση προς διανομέα ή από διακλάδωση στο Internet.

Επί του παρόντος, το τείχος προστασίας SD-WAN Edge παρέχει επιθεώρηση με επίβλεψη κατάστασης μαζί με αναγνώριση εφαρμογής χωρίς πρόσθετα χαρακτηριστικά ασφαλείας EFS. Παρόλο που το τείχος προστασίας SD-WAN Edge με επίβλεψη κατάστασης παρέχει ασφάλεια, δεν επαρκεί και δημιουργεί ένα κενό στην παροχή ασφάλειας EFS που ενσωματώνεται εγγενώς στο VMware SD-WAN. Η λειτουργία EFS του Edge αντιμετωπίζει αυτά τα κενά ασφαλείας και προσφέρει βελτιωμένη προστασία από απειλές εγγενώς στο SD-WAN Edge σε συνδυασμό με το VMware SD-WAN.

Ο πελάτης μπορεί να διαμορφώσει και να διαχειριστεί το τείχος προστασίας με επίβλεψη κατάστασης και τις EFS χρησιμοποιώντας τη λειτουργία τείχους προστασίας στο VMware SASE Orchestrator. Για να διαμορφώσετε τις ρυθμίσεις του τείχους προστασίας σε επίπεδο προφίλ και Edge, δείτε:

Αρχεία καταγραφής Τείχους προστασίας

Με ενεργοποιημένο το τείχος προστασίας με επίβλεψη κατάστασης και τις βελτιωμένες υπηρεσίες τείχους προστασίας (EFS), στα αρχεία καταγραφής του τείχους προστασίας μπορούν να αναφερθούν περισσότερες πληροφορίες. Τα αρχεία καταγραφής τείχους προστασίας περιέχουν τα ακόλουθα πεδία: Ώρα (Time), Τμήμα (Segment), Edge, Ενέργεια (Action), Διασύνδεση (Interface), Πρωτόκολλο (Protocol), IP προέλευσης (Source IP), Θύρα προέλευσης (Source Port), IP προορισμού (Destination IP), Θύρα προορισμού (Destination Port), Κεφαλίδες επέκτασης (Extension Headers), Κανόνας (Rule), Αιτία (Reason), Byte που λήφθηκαν (Bytes Received), Byte που στάλθηκαν (Bytes Sent), Διάρκεια (Duration), Εφαρμογή (Application), Τομέας προορισμού (Destination Domain), Όνομα προορισμού (Destination Name), Αναγνωριστικό περιόδου λειτουργίας (Session ID), Υπογραφή (Signature), Ειδοποίηση IPS (IPS Alert), Ειδοποίηση IDS (IDS Alert), Αναγνωριστικό υπογραφής (Signature ID), Κατηγορία (Category), Προέλευση επίθεσης (Attack Source), Στόχος επίθεσης (Attack Target) και Σοβαρότητα (Severity).
Σημείωση: Δεν συμπληρώνονται όλα τα πεδία για όλα τα αρχεία καταγραφής τείχους προστασίας. Για παράδειγμα, η «Αιτία» (Reason), «Byte που λήφθηκαν/στάλθηκαν» (Bytes Received/Sent) και η «Διάρκεια» (Duration) είναι πεδία που περιλαμβάνονται στα αρχεία καταγραφής όταν οι περίοδοι λειτουργίας είναι κλειστές. Η «Υπογραφή» (Signature), η «Ειδοποίηση IPS» (IPS Alert), η «Εδοποίηση IDS» (IDS Alert), το «Αναγνωριστικό υπογραφής» (Signature ID), η «Κατηγορία» (Category), η «Προέλευση επίθεσης» (Attack Source), ο «Στόχος επίθεσης» (Attack Target) και η «Σοβαρότητα» (Severity ) συμπληρώνονται μόνο για ειδοποιήσεις EFS και όχι για αρχεία καταγραφής τείχους προστασίας.
Δημιουργούνται αρχεία καταγραφής τείχους προστασίας:
  • Όταν δημιουργείται μια ροή (υπό την προϋπόθεση ότι η ροή γίνεται αποδεκτή)
  • Όταν κλείνει η ροή
  • Όταν απορρίπτεται μια νέα ροή
  • Όταν ενημερώνεται μια υπάρχουσα ροή (λόγω αλλαγής στη διαμόρφωση τείχους προστασίας)
Μπορείτε να προβάλετε τα αρχεία καταγραφής τείχους προστασίας χρησιμοποιώντας τις ακόλουθες δυνατότητες τείχους προστασίας:
  • Καταγραφή τείχους προστασίας (Firewall Logging) - Από προεπιλογή, τα Edge δεν μπορούν να στείλουν τα αρχεία καταγραφής των τειχών προστασίας τους στο Orchestrator.
    Σημείωση: Για να στείλει ένα Edge τα αρχεία καταγραφής τείχους προστασίας στο Orchestrator, βεβαιωθείτε ότι η δυνατότητα πελάτη « Ενεργοποίηση καταγραφής τείχους προστασίας στο Orchestrator» (Enable Firewall Logging to Orchestrator) είναι ενεργοποιημένη σε επίπεδο πελάτη στη σελίδα περιβάλλοντος εργασίας χρήστη «Καθολικές ρυθμίσεις» (Global Settings). Οι πελάτες πρέπει να επικοινωνήσετε με τον χειριστή σας, εάν θέλετε να ενεργοποιηθεί η δυνατότητα καταγραφής τείχους προστασίας.

    Μπορείτε να προβάλετε τα αρχεία καταγραφής τείχους προστασίας Edge στο Orchestrator από τη σελίδα Παρακολούθηση > Αρχεία καταγραφής τείχους προστασίας (Monitor > Firewall Logs). Για περισσότερες πληροφορίες, δείτε Παρακολούθηση αρχείων καταγραφής τείχους προστασίας.

  • Προώθηση Syslog (Syslog Forwarding) - Σας επιτρέπει να προβάλετε τα αρχεία καταγραφής στέλνοντας τα αρχεία καταγραφής που προέρχονται από ένα εταιρικό SD-WAN Edge σε έναν ή περισσότερους διαμορφωμένους απομακρυσμένους διακομιστές. Από προεπιλογή, η δυνατότητα Προώθηση Syslog (Syslog Forwarding) για μια επιχείρηση είναι απενεργοποιημένη. Για να προωθήσετε τα αρχεία καταγραφής σε απομακρυσμένους συλλέκτες αρχείων καταγραφής συστήματος (syslog), πρέπει να ενεργήσετε ως εξής:
    1. Ενεργοποιήστε τη δυνατότητα Προώθηση Syslog (Syslog Forwarding) στην καρτέλα Διαμόρφωση > Edge/Προφίλ > Τείχος προστασίας (Configure > Edge/Profile > Firewall).
    2. Διαμορφώστε έναν συλλέκτη Syslog από τη διαδρομή Διαμόρφωση > Edge > Συσκευή > Ρυθμίσεις Syslog (Configure > Edges > Device >Syslog Settings). Για βήματα σχετικά με τον τρόπο διαμόρφωσης των στοιχείων συλλέκτη αρχείων καταγραφής συστήματος (syslog) ανά τμήμα στο SASE Orchestrator, δείτε Διαμόρφωση ρυθμίσεων Syslog για Προφίλ.
Σημείωση: Για τις εκδόσεις Edge 5.2.0 και νεότερες εκδόσεις, η καταγραφή τείχους προστασίας δεν εξαρτάται από τη διαμόρφωση προώθησης Syslog.