ファイアウォールは、受信および送信ネットワーク トラフィックを監視し、定義された一連のセキュリティ ルールに基づいて特定のトラフィックを許可またはブロックするかどうかを決定するネットワーク セキュリティ デバイスです。SD-WAN Orchestrator は、プロファイルおよび Edge のステートレスおよびステートフル ファイアウォールの構成をサポートします。

ステートフル ファイアウォールは、ファイアウォールを介して受信されるすべてのネットワーク接続の動作状態と特性を監視して追跡し、この情報を使用してファイアウォールの通過が許可されるネットワーク パケットを決定します。ステートフル ファイアウォールは状態テーブルを構築し、このテーブルを使用して、状態テーブルに現在リストされている接続からのトラフィックのみを返すことを許可します。状態テーブルから接続が削除されると、この接続の外部デバイスからのトラフィックは許可されません。

ステートフル ファイアウォール機能には、次のメリットがあります。
  • サービス拒否 (DoS) やなりすましなどの攻撃を防止
  • より堅牢なログ
  • ネットワーク セキュリティの強化

ステートフル ファイアウォールとステートレス ファイアウォールの主な違いは次のとおりです。

  • 一致に方向性があります。たとえば、VLAN 1 上のホストが VLAN 2 上のホストとの間で TCP セッションを開始できるようにすると同時に、その逆を拒否できます。ステートレス ファイアウォールは、このようなきめ細かい制御を許可しないシンプルな ACL(アクセス リスト)に変換されます。
  • ステートフル ファイアウォールはセッションに対応しています。例として TCP の 3 ウェイ ハンドシェイクを使用すると、ステートフル ファイアウォールは、SYN-ACK または ACK が新しいセッションを開始することを許可しません。SYN で開始して、TCP セッション内の他のすべてのパケットもプロトコルに正しく従う必要があります。そうしないと、ファイアウォールによってパケットがドロップされます。ステートレス ファイアウォールは、セッションの概念を備えていません。代わりにパケットを純粋に 1 つずつ個別にフィルタリングします。
  • ステートフル ファイアウォールは、対称ルーティングを適用します。たとえば、トラフィックが 1 つのハブからネットワークに入り、別のハブから出る VMware ネットワークで非対称ルーティングが発生することは非常に一般的です。その場合でも、パケットはサードパーティのルーティングを利用して、ターゲットに到達できます。ステートフル ファイアウォールでは、このようなトラフィックはドロップされます。
  • ステートフル ファイアウォール ルールは、構成の変更後に既存のフローに対して再チェックされます。したがって、既存のフローがすでに受け入れられている場合、これらのパケットをドロップするようにステートフル ファイアウォールを構成すると、ファイアウォールは新しいルール セットに対してフローを再チェックしてからドロップします。「許可 (allow)」が「ドロップ (drop)」または「拒否 (reject)」に変更されるシナリオでは、既存のフローがタイムアウトし、セッションを終了するためのファイアウォール ログが生成されます。
ステートフル ファイアウォールを使用するための要件は次のとおりです。
  • VMware SD-WAN Edge がリリース 3.4.0 以降を使用している必要があります。
  • デフォルトでは、3.4.0 以降のリリースを使用している SD-WAN Orchestrator の新しいカスタマーに対して [ステートフル ファイアウォール (Stateful Firewall)] 機能が有効になっています。3.x の Orchestrator 上で作成されたカスタマーがこの機能を有効にするには、パートナーまたは VMware SD-WAN サポートの支援が必要です。
  • SD-WAN Orchestrator では、エンタープライズ ユーザーは、それぞれの [ファイアウォール (Firewall)] ページから、ステートフル ファイアウォール機能をプロファイル レベルと Edge レベルで有効または無効にすることができます。エンタープライズのステートフル ファイアウォール機能を無効にするには、スーパー ユーザー権限を持つオペレータに連絡してください。
    注: ステートフル ファイアウォールが有効な Edge では、非対称ルーティングはサポートされていません。
ファイアウォール設定をプロファイル レベルと Edge レベルで構成するには、以下を参照してください。

ステートフル ファイアウォール ログ

ステートフル ファイアウォールを有効にすると、ファイアウォール ログでより多くの情報を報告できます。ファイアウォール ログには、[時間 (Time)]、[セグメント (Segment)]、[Edge]、[アクション (Action)]、[インターフェイス (Interface)]、[プロトコル (Protocol)]、[送信元の IP アドレス (Source IP)]、[送信元ポート (Source Port)]、[宛先の IP アドレス (Destination IP)]、[宛先ポート (Destination Port)]、[ルール (Rule)]、[受信/送信バイト数 (Bytes Received/Sent)]、[期間 (Duration)] のフィールドが含まれます。
注: すべてのファイアウォール ログですべてのフィールドが入力されるわけではありません。たとえば、[理由 (Reason)]、[受信/送信バイト数 (Bytes Received/Sent)] および [期間 (Duration)]は、セッションが終了したときにログに含まれるフィールドです。
ログは、次の場合に生成されます。
  • フローが作成されたとき(フローが受け入れられた条件で)
  • フローが終了したとき
  • 新しいフローが拒否されたとき
  • 既存のフローが更新されたとき(ファイアウォール構成の変更が原因で)
エンタープライズ SD-WAN Edge から送信されたログを 1 つ以上の一元化されたリモート Syslog コレクタ(サーバ)に送信することで、ファイアウォール ログを表示できます。デフォルトでは、エンタープライズに対して [Syslog 転送 (Syslog Forwarding)] 機能は無効になっています。ログをリモート Syslog コレクタに転送するには、次の手順を実行する必要があります。
  1. [構成 (Configure)] > [Edge/プロファイル (Edge/Profile)] > [ファイアウォール (Firewall)] タブで、[Syslog 転送 (Syslog Forwarding)] 機能を有効にします。
  2. [構成 (Configure)] > [Edge (Edges)] > [デバイス (Device)] > [Syslog 設定 (Syslog Settings)] で Syslog コレクタを構成します。SD-WAN Orchestrator でセグメントごとに Syslog コレクタの詳細を構成する手順については、プロファイルの Syslog 設定の構成を参照してください。