Un firewall è un dispositivo di sicurezza di rete che monitora il traffico di rete in entrata e in uscita e decide se consentire o bloccare il traffico specifico in base a un set definito di regole di sicurezza. SD-WAN Orchestrator supporta la configurazione di firewall stateless e stateful per i profili e gli Edge.

Un firewall stateful monitora e tiene traccia dello stato operativo e delle caratteristiche di ogni connessione di rete che passa attraverso il firewall e utilizza queste informazioni per determinare a quali pacchetti di rete consentire il passaggio attraverso il firewall. I firewall stateful creano una tabella di stato e la utilizzano per consentire il traffico di ritorno solo dalle connessioni attualmente elencate nella tabella. Se una connessione viene rimossa dalla tabella di stato, non è consentito alcun traffico proveniente dal dispositivo esterno di questa connessione.

La funzionalità del firewall stateful offre i vantaggi seguenti:
  • Impedisce attacchi come il DoS (Denial of Service) e lo spoofing
  • Registrazione più potente
  • Sicurezza della rete migliorata

Le principali differenze tra un firewall stateful e un firewall stateless sono:

  • La corrispondenza è direzionale. Ad esempio, è possibile consentire agli host nella VLAN 1 di avviare una sessione TCP con gli host nella VLAN 2, ma negare l'inverso. I firewall stateless vengono convertiti in ACL (elenchi di accesso) semplici che non consentono questo tipo di controllo granulare.
  • Un firewall stateful è sensibile alla sessione. Utilizzando l'handshake a 3 vie di TCP come esempio, un firewall stateful non consentirà a un SYN-ACK oppure a un ACK di avviare una nuova sessione. Deve iniziare con un SYN e anche tutti gli altri pacchetti nella sessione TCP devono seguire il protocollo correttamente. In caso contrario, il firewall li rimuoverà. Un firewall stateless non è sensibile alla sessione e filtra i pacchetti unicamente su base individuale distinguendo da pacchetto a pacchetto.
  • Un firewall stateful applica il routing simmetrico. Ad esempio, è molto probabile che il routing asimmetrico si verifichi in una rete VMware in cui il traffico entra nella rete tramite un hub e ne esce tramite un altro. Sfruttando il routing di terze parti, il pacchetto è comunque in grado di raggiungere la sua destinazione. Con un firewall stateful, tale traffico verrebbe rimosso.
  • Dopo una modifica della configurazione, le regole del firewall stateful vengono ricontrollate rispetto ai flussi esistenti. Pertanto, se un flusso esistente è già stato accettato e si configura il firewall stateful per rilasciare tali pacchetti, il firewall ricontrollerà il flusso rispetto al nuovo set di regole e quindi lo rimuoverà. Per gli scenari in cui "consenti (allow)" viene modificato con "rimuovi (drop)" o "rifiuta (reject)", si verificherà il timeout dei flussi preesistenti e verrà generato un registro del firewall per la chiusura della sessione.
I requisiti per l'utilizzo del firewall stateful sono:
  • VMware SD-WAN Edge deve utilizzare la versione 3.4.0 o successiva.
  • Per impostazione predefinita, la funzionalità Firewall stateful (Stateful Firewall) è abilitata per i nuovi clienti in un'istanza di SD-WAN Orchestrator che utilizza la versione 3.4.0 o successiva. I clienti creati in Orchestrator 3.x avranno bisogno dell'assistenza di un partner o del supporto di VMware SD-WAN per abilitare questa funzionalità.
  • SD-WAN Orchestrator consente all'utente aziendale di abilitare o disabilitare la funzionalità Firewall stateful (Stateful Firewall) a livello di profilo e di Edge dalla rispettiva pagina Firewall. Per disabilitare la funzionalità Firewall stateful (Stateful Firewall) per un'azienda, contattare un operatore con autorizzazioni di superuser.
    Nota: Il routing asimmetrico non è supportato negli Edge abilitati per il firewall stateful.
Per configurare le impostazioni del firewall a livello di profilo e di Edge, vedere:

Registri del firewall stateful

Quando il firewall stateful abilitato, è possibile inserire ulteriori informazioni nei registri del firewall. I registri del firewall conterranno informazioni relative a tempo, segmento, Edge, azione, interfaccia, protocollo, IP di origine, porta di origine, IP di destinazione, porta di destinazione, regola, byte ricevuti/inviati e durata.
Nota: Non tutti i campi verranno compilati per tutti i registri del firewall. Ad esempio, i campi relativi a motivo, byte ricevuti/inviati e durata vengono inclusi nei registri quando le sessioni vengono chiuse.
I registri vengono generati:
  • Quando viene creato un flusso (a condizione che il flusso venga accettato)
  • Quando il flusso viene chiuso
  • Quando un nuovo flusso viene rifiutato
  • Quando un flusso esistente viene aggiornato (a causa di una modifica della configurazione del firewall)
È possibile visualizzare i registri del firewall inviando i registri provenienti da SD-WAN Edge aziendali a uno o più agenti di raccolta syslog remoti centralizzati (server). Per impostazione predefinita, la funzionalità Inoltro syslog (Syslog Forwarding) è disabilitata per le aziende. Per inoltrare i registri agli agenti di raccolta syslog remoti, è necessario:
  1. Abilitare la funzionalità Inoltro syslog (Syslog Forwarding) nella scheda Configura (Configure) > Edge/Profilo (Edge/Profile) > Firewall.
  2. Configurare un agente di raccolta syslog in Configura (Configure) > Edge (Edges) > Dispositivo (Device) > Impostazioni syslog (Syslog Settings). Per i passaggi su come configurare i dettagli dell'agente di raccolta syslog per segmento in SD-WAN Orchestrator, vedere Configurazione delle impostazioni syslog per i profili.