Un firewall è un dispositivo di sicurezza di rete che monitora il traffico di rete in entrata e in uscita e decide se consentire o bloccare il traffico specifico in base a un set definito di regole di sicurezza. SD-WAN Orchestrator supporta la configurazione di firewall stateless e stateful per i profili e gli Edge.
Un firewall stateful monitora e tiene traccia dello stato operativo e delle caratteristiche di ogni connessione di rete che passa attraverso il firewall e utilizza queste informazioni per determinare a quali pacchetti di rete consentire il passaggio attraverso il firewall. I firewall stateful creano una tabella di stato e la utilizzano per consentire il traffico di ritorno solo dalle connessioni attualmente elencate nella tabella. Se una connessione viene rimossa dalla tabella di stato, non è consentito alcun traffico proveniente dal dispositivo esterno di questa connessione.
- Impedisce attacchi come il DoS (Denial of Service) e lo spoofing
- Registrazione più potente
- Sicurezza della rete migliorata
Le principali differenze tra un firewall stateful e un firewall stateless sono:
- La corrispondenza è direzionale. Ad esempio, è possibile consentire agli host nella VLAN 1 di avviare una sessione TCP con gli host nella VLAN 2, ma negare l'inverso. I firewall stateless vengono convertiti in ACL (elenchi di accesso) semplici che non consentono questo tipo di controllo granulare.
- Un firewall stateful è sensibile alla sessione. Utilizzando l'handshake a 3 vie di TCP come esempio, un firewall stateful non consentirà a un SYN-ACK oppure a un ACK di avviare una nuova sessione. Deve iniziare con un SYN e anche tutti gli altri pacchetti nella sessione TCP devono seguire il protocollo correttamente. In caso contrario, il firewall li rimuoverà. Un firewall stateless non è sensibile alla sessione e filtra i pacchetti unicamente su base individuale distinguendo da pacchetto a pacchetto.
- Un firewall stateful applica il routing simmetrico. Ad esempio, è molto probabile che il routing asimmetrico si verifichi in una rete VMware in cui il traffico entra nella rete tramite un hub e ne esce tramite un altro. Sfruttando il routing di terze parti, il pacchetto è comunque in grado di raggiungere la sua destinazione. Con un firewall stateful, tale traffico verrebbe rimosso.
- Dopo una modifica della configurazione, le regole del firewall stateful vengono ricontrollate rispetto ai flussi esistenti. Pertanto, se un flusso esistente è già stato accettato e si configura il firewall stateful per rilasciare tali pacchetti, il firewall ricontrollerà il flusso rispetto al nuovo set di regole e quindi lo rimuoverà. Per gli scenari in cui "consenti (allow)" viene modificato con "rimuovi (drop)" o "rifiuta (reject)", si verificherà il timeout dei flussi preesistenti e verrà generato un registro del firewall per la chiusura della sessione.
- VMware SD-WAN Edge deve utilizzare la versione 3.4.0 o successiva.
- Per impostazione predefinita, la funzionalità Firewall di tipo stateful (Stateful Firewall) è attivata per i nuovi clienti in un'istanza SD-WAN Orchestrator che utilizza la versione 3.4.0 o successiva. I clienti creati in Orchestrator 3.x avranno bisogno dell'assistenza di un partner o del supporto di VMware SD-WAN per attivare questa funzionalità.
- SD-WAN Orchestrator consente all'utente aziendale di attivare o disattivare la funzionalità Firewall di tipo stateful (Stateful Firewall) a livello di profilo e di Edge dalla rispettiva pagina Firewall. Per disattivare la funzionalità Firewall di tipo stateful (Stateful Firewall) per un'azienda, contattare un operatore con autorizzazione di superuser.
Nota: Il routing asimmetrico non è supportato negli Edge abilitati per il firewall stateful.
Registri del firewall stateful
- Quando viene creato un flusso (a condizione che il flusso venga accettato)
- Quando il flusso viene chiuso
- Quando un nuovo flusso viene rifiutato
- Quando un flusso esistente viene aggiornato (a causa di una modifica della configurazione del firewall)
- Abilitare la funzionalità Inoltro syslog (Syslog Forwarding) nella scheda .
- Configurare un agente di raccolta syslog in SD-WAN Orchestrator, vedere Configurazione delle impostazioni syslog per i profili. . Per i passaggi su come configurare i dettagli dell'agente di raccolta syslog per segmento in