Un firewall è un dispositivo di sicurezza di rete che monitora il traffico di rete in entrata e in uscita e decide se consentire o bloccare il traffico specifico in base a un set definito di regole di sicurezza. SASE Orchestrator supporta la configurazione di regole Stateless, Stateful e Enhanced Firewall Services (EFS) per i profili e gli Edge.

Firewall stateful

Un firewall stateful monitora e tiene traccia dello stato operativo e delle caratteristiche di ogni connessione di rete che passa attraverso il firewall e utilizza queste informazioni per determinare a quali pacchetti di rete consentire il passaggio attraverso il firewall. I firewall stateful creano una tabella di stato e la utilizzano per consentire il traffico di ritorno solo dalle connessioni attualmente elencate nella tabella. Se una connessione viene rimossa dalla tabella di stato, non è consentito alcun traffico proveniente dal dispositivo esterno di questa connessione.

La funzionalità del firewall stateful offre i vantaggi seguenti:
  • Impedisce attacchi come il DoS (Denial of Service) e lo spoofing
  • Registrazione più potente
  • Sicurezza della rete migliorata

Le principali differenze tra un firewall stateful e un firewall stateless sono:

  • La corrispondenza è direzionale. Ad esempio, è possibile consentire agli host nella VLAN 1 di avviare una sessione TCP con gli host nella VLAN 2, ma negare l'inverso. I firewall stateless vengono convertiti in ACL (elenchi di accesso) semplici che non consentono questo tipo di controllo granulare.
  • Un firewall stateful è sensibile alla sessione. Utilizzando l'handshake a 3 vie di TCP come esempio, un firewall stateful non consentirà a un SYN-ACK oppure a un ACK di avviare una nuova sessione. Deve iniziare con un SYN e anche tutti gli altri pacchetti nella sessione TCP devono seguire il protocollo correttamente. In caso contrario, il firewall li rimuoverà. Un firewall stateless non è sensibile alla sessione e filtra i pacchetti unicamente su base individuale distinguendo da pacchetto a pacchetto.
  • Un firewall stateful applica il routing simmetrico. Ad esempio, è molto probabile che il routing asimmetrico si verifichi in una rete VMware in cui il traffico entra nella rete tramite un hub e ne esce tramite un altro. Sfruttando il routing di terze parti, il pacchetto è comunque in grado di raggiungere la sua destinazione. Con un firewall stateful, tale traffico verrebbe rimosso.
  • Dopo una modifica della configurazione, le regole del firewall stateful vengono ricontrollate rispetto ai flussi esistenti. Pertanto, se un flusso esistente è già stato accettato e si configura il firewall stateful per rilasciare tali pacchetti, il firewall ricontrollerà il flusso rispetto al nuovo set di regole e quindi lo rimuoverà. Per gli scenari in cui "consenti (allow)" viene modificato con "rimuovi (drop)" o "rifiuta (reject)", si verificherà il timeout dei flussi preesistenti e verrà generato un registro del firewall per la chiusura della sessione.
I requisiti per l'utilizzo del firewall stateful sono:
  • VMware SD-WAN Edge deve utilizzare la versione 3.4.0 o successiva.
  • Per impostazione predefinita, la funzionalità Firewall di tipo stateful (Stateful Firewall) è una funzionalità cliente attivata per i nuovi clienti in un'istanza SASE Orchestrator che utilizza la versione 3.4.0 o successiva. I clienti creati in Orchestrator 3.x avranno bisogno dell'assistenza di un partner o del supporto di VMware SD-WAN per attivare questa funzionalità.
  • SASE Orchestrator consente all'utente aziendale di attivare o disattivare la funzionalità Firewall stateful (Stateful Firewall) a livello di profilo e di Edge dalla rispettiva pagina Firewall. Per disattivare la funzionalità Firewall di tipo stateful (Stateful Firewall) per un'azienda, contattare un operatore con autorizzazione di superuser.
    Nota: Il routing asimmetrico non è supportato negli Edge attivati per il firewall stateful.

Enhanced Firewall Services

Gli Enhanced Firewall Services (EFS) forniscono funzionalità di sicurezza EFS aggiuntive in VMware SD-WAN Edge. La funzionalità EFS con tecnologia NSX Security supporta i servizi Sistema rilevamento intrusioni (IDS) e Sistema di prevenzione delle intrusioni (IPS) in VMware SD-WAN Edge. Gli Enhanced Firewall Services (EFS) dell'Edge proteggono il traffico Edge da intrusioni nei modelli di traffico da filiale a filiale, da filiale a hub o da filiale a Internet.

Attualmente il firewall SD-WAN Edge fornisce l'ispezione stateful e l'identificazione delle applicazioni senza ulteriori funzioni di sicurezza EFS. Sebbene il firewall stateful SD-WAN Edge fornisca sicurezza, non è adeguato e crea una lacuna nella fornitura di sicurezza EFS integrata a livello nativo con VMware SD-WAN. Edge EFS colma queste lacune di sicurezza e offre una maggiore protezione dalle minacce in modo nativo su SD-WAN Edge insieme a VMware SD-WAN.

Il cliente può configurare e gestire il firewall di tipo stateful ed EFS utilizzando la funzionalità del firewall in VMware SASE Orchestrator. Per configurare le impostazioni del firewall a livello di profilo e di Edge, vedere:

Registri firewall

Quando le funzionalità firewall di tipo stateful ed Enhanced Firewall Services (EFS) sono attivati, è possibile inserire ulteriori informazioni nei registri del firewall. I registri del firewall conterranno i seguenti campi: Tempo, Segmento, Edge, Azione, Interfaccia, Protocollo, IP di origine, Porta di origine, IP di destinazione, Porta di destinazione, Intestazioni estensione, Regola, Motivo, Byte ricevuti, Byte inviati, Durata, Applicazione, Dominio di destinazione, Nome destinazione, ID sessione, Firma, Avviso IPS, Avviso IDS, ID firma, Categoria, Origine attacco, Destinazione attacco e Gravità.
Nota: Non tutti i campi verranno compilati per tutti i registri del firewall. Ad esempio, i campi relativi a motivo, byte ricevuti/inviati e durata vengono inclusi nei registri quando le sessioni vengono chiuse. La firma, l'avviso IPS, l'avviso IDS, l'ID firma, la categoria, l'origine e la destinazione dell'attacco e la gravità vengono compilati solo per gli avvisi EFS, non per i registri dei firewall.
Vengono generati i registri del firewall:
  • Quando viene creato un flusso (a condizione che il flusso venga accettato)
  • Quando il flusso viene chiuso
  • Quando un nuovo flusso viene rifiutato
  • Quando un flusso esistente viene aggiornato (a causa di una modifica della configurazione del firewall)
È possibile visualizzare i registri del firewall utilizzando le seguenti funzionalità del firewall:
  • Registrazione firewall (Firewall Logging): per impostazione predefinita, gli Edge non possono inviare Orchestrator.
    Nota: Affinché un Edge invii i registri firewall a Orchestrator, assicurarsi che la funzionalità del cliente " Abilita registrazione firewall in Orchestrator (Enable Firewall logging to Orchestrator)" sia attivata a livello di cliente nella pagina dell'interfaccia utente "Impostazioni globali (Global Settings)". I clienti devono contattare l'operatore se si desidera attivare la funzionalità di registrazione del firewall.

    È possibile visualizzare i registri firewall Edge in Orchestrator dalla pagina Monitora (Monitor) > Registri firewall (Firewall Logs). Per ulteriori informazioni, vedere Monitoraggio dei registri firewall.

  • Inoltro syslog (Syslog Forwarding): consente di visualizzare i registri inviando i registri provenienti dai SD-WAN Edge aziendali a uno o più server remoti configurati. Per impostazione predefinita, la funzionalità Inoltro syslog (Syslog Forwarding) è disattivata per le aziende. Per inoltrare i registri agli agenti di raccolta syslog remoti, è necessario:
    1. Attivare la funzionalità Inoltro syslog (Syslog Forwarding) nella scheda Configura (Configure) > Edge/Profilo (Edges/Profile) > Firewall.
    2. Configurare un agente di raccolta syslog in Configura (Configure) > Edge/Profilo (Edges/Profile) > Dispositivo (Device) > Impostazioni syslog (Syslog Settings). Per i passaggi su come configurare i dettagli dell'agente di raccolta syslog per segmento in SASE Orchestrator, vedere Configurazione delle impostazioni syslog per i profili.
Nota: Per le versioni 5.2.0 e successive dell'Edge, la registrazione del firewall non dipende dalla configurazione dell'inoltro syslog.