Nella pagina Registri firewall (Firewall Logs) vengono visualizzati i dettagli del registro del firewall proveniente da VMware SD-WAN Edge. In precedenza, l'unico modo in cui un cliente poteva archiviare e visualizzare i registri del firewall era inoltrandoli a un server syslog. Nella versione 5.2.0, il cliente può archiviare i registri del firewall in Orchestrator, dove possono essere visualizzati, ordinati e cercati nell'interfaccia utente di Orchestrator. Per impostazione predefinita, gli Edge non possono inviare i registri firewall a Orchestrator. Affinché un Edge invii i registri firewall a Orchestrator, assicurarsi che la funzionalità del cliente "Abilita registrazione firewall in Orchestrator (Enable Firewall logging to Orchestrator)" sia attivata a livello di cliente nella pagina dell'interfaccia utente "Impostazioni globali (Global Settings)". I clienti devono contattare il proprio operatore se desiderano attivare la funzionalità di registrazione del firewall. Per impostazione predefinita, Orchestrator conserva i registri del firewall finché non raggiunge il tempo di conservazione massimo di 7 giorni o le dimensioni massime del registro di 15 GB per tenant del cliente in base alla rotazione.
- Nel servizio SD-WAN del portale dell'azienda, passare a Monitora (Monitor) > Registri firewall (Firewall Logs). Viene visualizzata la pagina Registri firewall (Firewall Logs).
La pagina contiene i seguenti dettagli dei registri del firewall: Tempo, Segmento, Edge, Azione, Interfaccia, Protocollo, IP di origine, Porta di origine, IP di destinazione, Porta di destinazione, Intestazioni estensione, Regola, Motivo, Byte ricevuti, Byte inviati, Durata, Applicazione, Dominio di destinazione, Nome destinazione, ID sessione, Firma, Avviso IPS, Avviso IDS, ID firma, Categoria, Origine attacco, Destinazione attacco e Gravità.
Nota: Non tutti i campi verranno compilati per tutti i registri del firewall. Ad esempio, i campi relativi a motivo, byte ricevuti/inviati e durata vengono inclusi nei registri quando le sessioni vengono chiuse. La firma, l'avviso IPS, l'avviso IDS, l'ID firma, la categoria, l'origine e la destinazione dell'attacco e la gravità vengono compilati solo per gli avvisi Enhanced Firewall Services (EFS), non per i registri firewall.Vengono generati i registri del firewall:- Quando viene creato un flusso (a condizione che il flusso venga accettato)
- Quando il flusso viene chiuso
- Quando un nuovo flusso viene rifiutato
- Quando un flusso esistente viene aggiornato (a causa di una modifica della configurazione del firewall)
Vengono generati gli avvisi EFS:- Ogni volta che il traffico del flusso corrisponde a qualsiasi firma suricata configurata nel motore EFS.
- Se la regola del firewall ha attivato solo il sistema rilevamento intrusioni (Intrusion Detection System - IDS), gli Edge rilevano se il flusso di traffico è dannoso o meno in base a determinate firme configurate nel motore. Se viene rilevato un attacco, il motore EFS genera un avviso e invia il messaggio di avviso a SASE Orchestrator/server syslog se la registrazione del firewall è attivata in Orchestrator.
- Se la regola del firewall ha attivato il sistema di prevenzione delle intrusioni (Intrusion Prevention System - IPS), gli Edge rilevano se il flusso di traffico è dannoso o meno in base a determinate firme configurate nel motore. Se viene rilevato un attacco, il motore EFS genera un avviso e blocca il flusso del traffico verso il client solo se la regola di firma ha l'azione "Rifiuta", che corrisponde al traffico dannoso. Se l'azione nella regola della firma è "Avviso (Alert)", il traffico sarà consentito senza rilasciare alcun pacchetto anche se si configura IPS.
- È possibile utilizzare le opzioni Filtro (Filter) e selezionare un filtro dal menu a discesa per eseguire una query nei registri del firewall.
- Fare clic sull'opzione CSV per scaricare un report dei registri del firewall Edge in formato CSV.