Nella pagina Registri firewall (Firewall Logs) vengono visualizzati i dettagli del registro del firewall proveniente da VMware SD-WAN Edge. In precedenza, l'unico modo in cui un cliente poteva archiviare e visualizzare i registri del firewall era inoltrandoli a un server syslog. Nella versione 5.2.0, il cliente può archiviare i registri del firewall in Orchestrator, dove possono essere visualizzati, ordinati e cercati nell'interfaccia utente di Orchestrator. Per impostazione predefinita, gli Edge non possono inviare i registri firewall a Orchestrator. Affinché un Edge invii i registri firewall a Orchestrator, assicurarsi che la funzionalità del cliente "Abilita registrazione firewall in Orchestrator (Enable Firewall logging to Orchestrator)" sia attivata a livello di cliente nella pagina dell'interfaccia utente "Impostazioni globali (Global Settings)". Per impostazione predefinita, Orchestrator conserva i registri del firewall finché non raggiunge il tempo di conservazione massimo di 7 giorni o le dimensioni massime del registro di 15 GB per tenant del cliente in base alla rotazione.

Vengono generati i registri del firewall:
  • Quando viene creato un flusso (a condizione che il flusso venga accettato)
  • Quando il flusso viene chiuso
  • Quando un nuovo flusso viene rifiutato
  • Quando un flusso esistente viene aggiornato (a causa di una modifica della configurazione del firewall)
Gli avvisi EFS vengono generati ogni volta che il traffico del flusso corrisponde a qualsiasi categoria URL e/o reputazione URL, o IP dannoso o a qualsiasi firma suricata IDS/IPS configurata nel motore EFS:
  • Se in una regola del firewall è attivato il servizio di filtro Categorie URL, il motore delle categorie URL cerca le categorie degli URL di destinazione e rileva se corrisponde alle categorie bloccate o di monitoraggio configurate. Se l'URL corrisponde alle categorie bloccate, il motore Categorie URL genera un avviso e blocca il traffico dell'Edge. Se l'URL corrisponde alle categorie di monitoraggio, il motore consente il traffico dell'Edge e acquisisce i registri del firewall.
  • Se in una regola firewall è attivato il servizio di filtro della reputazione URL, il motore di reputazione URL cerca il punteggio di reputazione dell'URL ed esegue l'azione (Consenti/Blocca) in base alla reputazione minima configurata. Se il punteggio di reputazione dell'URL è inferiore alla reputazione minima configurata, l'Edge blocca il traffico e genera avvisi e registri EFS, altrimenti consente il traffico. Il motore di reputazione URL genera i registri EFS per il traffico consentito in base alla configurazione Capture Logs (Acquisisci registri).
  • Se in una regola firewall è attivato il servizio di filtro IP dannosi, il motore di IP dannosi verifica se l'IP di destinazione è presente nel database degli IP dannosi (DB query di rete e DB locale). Se il motore rileva l'IP di destinazione nel database IP dannoso, il motore genera avvisi EFS e registra e prende decisioni sul traffico dell'Edge in base all'azione configurata (Blocca/Monitora).
  • Se la regola del firewall ha attivato solo il sistema rilevamento intrusioni (Intrusion Detection System - IDS), gli Edge rilevano se il flusso di traffico è dannoso o meno in base a determinate firme configurate nel motore. Se viene rilevato un attacco, il motore EFS genera un avviso e invia il messaggio di avviso a SASE Orchestrator/server syslog se la registrazione del firewall è attivata in Orchestrator.
  • Se la regola del firewall ha attivato il sistema di prevenzione delle intrusioni (Intrusion Prevention System - IPS), gli Edge rilevano se il flusso di traffico è dannoso o meno in base a determinate firme configurate nel motore. Se viene rilevato un attacco, il motore EFS genera un avviso e blocca il flusso del traffico verso il client solo se la regola di firma ha l'azione "Rifiuta", che corrisponde al traffico dannoso. Se l'azione nella regola della firma è "Avviso (Alert)", il motore consentirà il traffico senza rilasciare alcun pacchetto anche se si configura IPS.
Per visualizzare i registri del firewall Edge in Orchestrator:
  1. Nel servizio SD-WAN del portale dell'azienda, passare a Monitora (Monitor) > Registri firewall (Firewall Logs). Viene visualizzata la pagina Registri firewall (Firewall Logs).

    Quando le funzionalità firewall di tipo stateful ed Enhanced Firewall Services (EFS) sono attivati, è possibile inserire ulteriori informazioni nei registri del firewall. La seguente tabella descrive tutti i parametri segnalati nei registri del firewall.

    Campo Descrizione
    Ora (Time) Data e ora della sessione del flusso di traffico in cui è stato attivato l'avviso.
    Segmento Nome del segmento a cui la sessione appartiene.
    Edge Nome dell'Edge a cui la sessione appartiene.
    Azione Una delle seguenti azioni che sono state attivate in base all'evento/avviso:
    • Consenti (Allow)
    • Chiudi (Close)
    • Nega (Deny)
    • Aperta (Open)
    • Aggiorna (Update)
    Interfaccia (Interface) Nome dell'interfaccia in cui è stato ricevuto il primo pacchetto della sessione. Nel caso di pacchetti ricevuti dall'overlay, questo campo conterrà VPN. Per tutti gli altri pacchetti (ricevuti tramite underlay), questo campo includerà il nome dell'interfaccia nell'Edge.
    Protocollo (Protocol) Tipo di protocollo IP utilizzato dalla sessione. I valori possibili sono TCP, UDP, GRE, ESP e ICMP.
    IP di origine (Source IP) Indirizzo IP di origine della sessione del flusso di traffico in cui è stato attivato l'avviso.
    Porta di origine Numero di porta di origine della sessione del flusso di traffico in cui è stato attivato l'avviso.
    IP di destinazione Indirizzo IP di destinazione della sessione del flusso del traffico in cui è stato attivato l'avviso.
    Porta di destinazione Porta di destinazione della sessione del flusso del traffico in cui è stato attivato l'avviso.
    Intestazioni estensione Intestazioni di estensione del pacchetto del flusso del traffico.
    Regola La regola a cui appartiene la firma.
    Motivo Motivo della chiusura o della negazione della sessione. Questo campo è disponibile per i messaggi del registro di tipo Chiudi (Close) e Nega (Deny).
    Byte inviati (Bytes Sent) Quantità di dati inviati in byte nella sessione. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close).
    Byte ricevuti (Bytes Received) Quantità di dati ricevuti in byte nella sessione. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close).
    Durata (Duration) Periodo di tempo per cui la sessione è stata attiva. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close).
    Applicazione (Application) Nome dell'applicazione in cui è stata classificata la sessione dal motore DPI. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close).
    Dominio di destinazione Dominio di destinazione della sessione del flusso del traffico.
    Nome destinazione (Destination Name) Il nome del dispositivo di destinazione della sessione del flusso di traffico.
    ID sessione L'ID di sessione del flusso di traffico su cui è stato attivato l'avviso.
    ID firma Un ID univoco della regola della firma.
    Firma La firma installata nell'Edge.
    Origine attacco L'origine dell'attacco.
    Destinazione attacco (Attack Target) La destinazione dell'attacco.
    Gravità La gravità dell'intrusione.
    Categoria (Category) Il tipo di categoria a cui appartiene l'intrusione.
    Avviso IDS Visualizza "Sì" se la notifica dell'avviso viene ricevuta dal motore IDS oppure se viene visualizzato "No".
    Avviso IPS Visualizza "Sì" se la notifica dell'avviso viene ricevuta dal motore IPS oppure se viene visualizzato "No".
    URL URL della destinazione a cui è stato indirizzato il flusso di traffico.
    Tipi di motore Numero totale di tipi di motore che corrispondono al flusso. Fare clic sul link in questa colonna per visualizzare i tipi di motore che corrispondono al flusso.
    Categorie URL Numero totale di tipi di categoria di URL che corrispondono al flusso. Fare clic sul link in questa colonna per visualizzare le categorie di URL che corrispondono al flusso.
    Azione filtro categoria URL L'azione di filtro specifica del motore della categoria URL:
    • Blocca
    • Monitoraggio (Monitor)
    Reputazione URL Tipo di reputazione URL definito nella regola del criterio.
    Azione reputazione URL Azione di filtro specifica del motore di reputazione URL:
    • Blocca
    • Monitoraggio (Monitor)
    Categorie IP Numero totale di tipi di minacce che corrispondono al flusso. Fare clic sul link in questa colonna per visualizzare le categorie IP che corrispondono al flusso.
    Azione IP dannoso L'azione di filtro specifica del motore IP dannoso:
    • Blocca
    • Monitoraggio (Monitor)
    Nota: Non tutti i campi verranno compilati per tutti i registri del firewall. Ad esempio, i campi relativi a motivo, byte ricevuti/inviati e durata vengono inclusi nei registri quando le sessioni vengono chiuse. ID firma, firma, origine attacco, destinazione dell'attacco, gravità, categoria, avviso IDS, avviso IPS, URL, tipi di motori, categorie URL, azione filtro categoria URL, reputazione URL, azione di reputazione URL, categorie IP e azione IP dannosa vengono compilati solo per gli avvisi EFS, non per i registri del firewall.
  2. È possibile utilizzare le opzioni Filtro (Filter) e selezionare un filtro dal menu a discesa per eseguire una query nei registri del firewall.
  3. Per visualizzare informazioni più dettagliate su un registro del firewall specifico, selezionare la voce del registro Firewall. Nella sezione dettagli registro Firewall è possibile visualizzare le informazioni dettagliate Panoramica registro (Log Overview) e Motore (Engine) per la voce di registro selezionata.
    Nota: Se la voce del registro del firewall selezionata viene generata da motori diversi dai servizi di sicurezza avanzati, la scheda Motore (Engine) non sarà disponibile.
  4. Nella scheda Panoramica registro (Log Overview), fare clic sul collegamento accanto a Motore (Engine) per visualizzare le informazioni dettagliate sul motore specifico che corrisponde al flusso insieme all'azione di filtro specifica del motore.
  5. Per creare report personalizzati esportando i dati dei registri del firewall edge in formato CVS, nella pagina Registri firewall (Firewall Logs) fare clic sull'opzione CSV.