Un firewall è un dispositivo di sicurezza di rete che monitora il traffico di rete in entrata e in uscita e decide se consentire o bloccare il traffico specifico in base a un set definito di regole di sicurezza. SASE Orchestrator supporta la configurazione di regole Stateless, Stateful e Enhanced Firewall Services (EFS) per i profili e gli Edge.

Firewall stateful

Un firewall stateful monitora e tiene traccia dello stato operativo e delle caratteristiche di ogni connessione di rete che passa attraverso il firewall e utilizza queste informazioni per determinare a quali pacchetti di rete consentire il passaggio attraverso il firewall. I firewall stateful creano una tabella di stato e la utilizzano per consentire il traffico di ritorno solo dalle connessioni attualmente elencate nella tabella. Se una connessione viene rimossa dalla tabella di stato, non è consentito alcun traffico proveniente dal dispositivo esterno di questa connessione.

La funzionalità del firewall stateful offre i vantaggi seguenti:
  • Impedisce attacchi come il DoS (Denial of Service) e lo spoofing
  • Registrazione più potente
  • Sicurezza della rete migliorata

Le principali differenze tra un firewall stateful e un firewall stateless sono:

  • La corrispondenza è direzionale. Ad esempio, è possibile consentire agli host nella VLAN 1 di avviare una sessione TCP con gli host nella VLAN 2, ma negare l'inverso. I firewall stateless vengono convertiti in ACL (elenchi di accesso) semplici che non consentono questo tipo di controllo granulare.
  • Un firewall stateful è sensibile alla sessione. Utilizzando l'handshake a 3 vie di TCP come esempio, un firewall stateful non consentirà a un SYN-ACK oppure a un ACK di avviare una nuova sessione. Deve iniziare con un SYN e anche tutti gli altri pacchetti nella sessione TCP devono seguire il protocollo correttamente. In caso contrario, il firewall li rimuoverà. Un firewall stateless non è sensibile alla sessione e filtra i pacchetti unicamente su base individuale distinguendo da pacchetto a pacchetto.
  • Un firewall stateful applica il routing simmetrico. Ad esempio, è abbastanza probabile che il routing asimmetrico si verifichi in una rete VMware in cui il traffico entra nella rete tramite un hub e ne esce tramite un altro. Sfruttando il routing di terze parti, il pacchetto è comunque in grado di raggiungere la sua destinazione. Con un firewall stateful, tale traffico verrebbe rimosso.
  • Dopo una modifica della configurazione, le regole del firewall stateful vengono ricontrollate rispetto ai flussi esistenti. Pertanto, se un flusso esistente è già stato accettato e si configura il firewall stateful per rilasciare tali pacchetti, il firewall ricontrollerà il flusso rispetto al nuovo set di regole e quindi lo rimuoverà. Per gli scenari in cui "consenti (allow)" viene modificato con "rimuovi (drop)" o "rifiuta (reject)", si verificherà il timeout dei flussi preesistenti e verrà generato un registro del firewall per la chiusura della sessione.
I requisiti per l'utilizzo del firewall stateful sono:
  • VMware SD-WAN Edge deve utilizzare la versione 3.4.0 o successiva.
  • Per impostazione predefinita, la funzionalità Firewall di tipo stateful (Stateful Firewall) è una funzionalità cliente attivata per i nuovi clienti in un'istanza SASE Orchestrator che utilizza la versione 3.4.0 o successiva. I clienti creati in Orchestrator 3.x avranno bisogno dell'assistenza di un partner o del supporto di VMware SD-WAN per attivare questa funzionalità.
  • SASE Orchestrator consente all'utente aziendale di attivare o disattivare la funzionalità Firewall stateful (Stateful Firewall) a livello di profilo e di Edge dalla rispettiva pagina Firewall. Per disattivare la funzionalità Firewall di tipo stateful (Stateful Firewall) per un'azienda, contattare un operatore con autorizzazione di superuser.
    Nota: Il routing asimmetrico non è supportato negli Edge attivati per il firewall stateful.

Enhanced Firewall Services

Gli Enhanced Firewall Services (EFS) forniscono funzionalità di sicurezza EFS aggiuntive in VMware SD-WAN Edge. La funzionalità EFS basata sulla sicurezza di NSX supporta il filtro delle categorie URL, il filtro della reputazione URL, il filtro IP dannosi, i servizi di rilevamento delle intrusioni (IDS) e di prevenzione delle intrusioni (IPS) in VMware SD-WAN Edge. I Enhanced Firewall Services (EFS) proteggono il traffico edge dalle intrusioni in modelli di traffico da filiale a filiale, da filiale ad hub o da filiale a Internet.

Attualmente il firewall SD-WAN Edge fornisce l'ispezione stateful e l'identificazione delle applicazioni senza ulteriori EFS. Sebbene il firewall stateful SD-WAN Edge fornisca sicurezza, non è adeguato e crea una lacuna nella fornitura di sicurezza EFS integrata a livello nativo con VMware SD-WAN. Edge EFS colma queste lacune di sicurezza e offre una maggiore protezione dalle minacce in modo nativo su SD-WAN Edge insieme a VMware SD-WAN.

I clienti possono configurare e gestire il firewall di tipo stateful ed EFS utilizzando la funzionalità del firewall in VMware SASE Orchestrator. I clienti possono configurare regole del firewall per bloccare il traffico Web in base alla corrispondenza della firma IDS/IPS, alla categoria e/o alla reputazione dell'URL o dell'IP. Per configurare le impostazioni del firewall a livello di profilo e di Edge, vedere:

Registri firewall

Vengono generati i registri del firewall:
  • Quando viene creato un flusso (a condizione che il flusso venga accettato)
  • Quando il flusso viene chiuso
  • Quando un nuovo flusso viene rifiutato
  • Quando un flusso esistente viene aggiornato (a causa di una modifica della configurazione del firewall)
Quando le funzionalità firewall di tipo stateful ed Enhanced Firewall Services (EFS) sono attivati, è possibile inserire ulteriori informazioni nei registri del firewall. I registri del firewall conterranno i seguenti campi: Ora, Segmento, Edge, Azione, Interfaccia, Protocollo, IP di origine, Porta di origine, IP di destinazione, Porta di destinazione, Intestazioni estensione, Regola, Motivo, Byte inviati, Byte ricevuti, Durata, Applicazione, Dominio di destinazione, Nome destinazione, ID sessione, ID firma, Firma, Origine attacco, Destinazione, Destinazione attacco, Gravità, Categoria, Avviso IDS, Avviso IPS, Avviso IPS, URL, Tipi di motori, Categorie di URL, Azione Filtro categoria URL, Reputazione URL, Azione reputazione URL, Azione reputazione URL, Categorie IP e Azione IP dannosi.
Nota: Non tutti i campi verranno compilati per tutti i registri del firewall. Ad esempio, i campi relativi a motivo, byte ricevuti/inviati e durata vengono inclusi nei registri quando le sessioni vengono chiuse. ID firma, firma, origine attacco, destinazione dell'attacco, gravità, categoria, avviso IDS, avviso IPS, URL, tipi di motori, categorie URL, azione filtro categoria URL, reputazione URL, azione di reputazione URL, categorie IP e azione IP dannosa vengono compilati solo per gli avvisi EFS, non per i registri del firewall.
È possibile visualizzare i registri del firewall utilizzando le seguenti funzionalità del firewall:
  • Registrazione firewall ospitati (Hosted Firewall Logging): consente di attivare o disattivare la funzionalità di registrazione del firewall a livello dell'Edge aziendale per inviare i registri del firewall a Orchestrator.
    Nota: A partire dalla versione 5.4.0, per gli Orchestrator ospitati la funzionalità Abilita registrazione firewall in Orchestrator è attivata per impostazione predefinita per le aziende nuove ed esistenti. A livello di Edge, i clienti devono attivare Registrazione firewall ospitati (Hosted Firewall Logging) per inviare i registri del firewall dall'Edge a Orchestrator. Per gli Orchestrator locali, i clienti devono contattare i propri operatori per attivare la funzione Abilita registrazione firewall per Orchestrator.

    È possibile visualizzare i registri firewall Edge in Orchestrator dalla pagina Monitora (Monitor) > Registri firewall (Firewall Logs). Per ulteriori informazioni, vedere Monitoraggio dei registri firewall.

  • Inoltro syslog (Syslog Forwarding): consente di visualizzare i registri inviando i registri provenienti dai SD-WAN Edge aziendali a uno o più server remoti configurati. Per impostazione predefinita, la funzionalità Inoltro syslog (Syslog Forwarding) è disattivata per le aziende. Per inoltrare i registri agli agenti di raccolta syslog remoti, è necessario:
    1. Attivare la funzionalità Inoltro syslog (Syslog Forwarding) nella scheda Configura (Configure) > Edge/Profilo (Edges/Profile) > Firewall.
    2. Configurare un agente di raccolta syslog in Configura (Configure) > Edge/Profilo (Edges/Profile) > Dispositivo (Device) > Impostazioni syslog (Syslog Settings). Per i passaggi su come configurare i dettagli dell'agente di raccolta syslog per segmento in SASE Orchestrator, vedere Configurazione delle impostazioni syslog per i profili.
Nota: Per le versioni 5.2.0 e successive dell'Edge, la registrazione del firewall ospitato non dipende dalla configurazione dell'inoltro syslog.