ファイアウォールは、受信および送信ネットワーク トラフィックを監視し、定義された一連のセキュリティ ルールに基づいて特定のトラフィックを許可またはブロックするかどうかを決定するネットワーク セキュリティ デバイスです。SASE Orchestratorは、プロファイルと Edge のステートレス、ステートフル、および拡張ファイアウォール サービス (EFS) ルールの設定をサポートします。

ステートフル ファイアウォール

ステートフル ファイアウォールは、ファイアウォールを介して受信されるすべてのネットワーク接続の動作状態と特性を監視して追跡し、この情報を使用してファイアウォールの通過が許可されるネットワーク パケットを決定します。ステートフル ファイアウォールは状態テーブルを構築し、このテーブルを使用して、状態テーブルに現在リストされている接続からのトラフィックのみを返すことを許可します。状態テーブルから接続が削除されると、この接続の外部デバイスからのトラフィックは許可されません。

ステートフル ファイアウォール機能には、次のメリットがあります。
  • サービス拒否 (DoS) やなりすましなどの攻撃を防止
  • より堅牢なログ
  • ネットワーク セキュリティの強化

ステートフル ファイアウォールとステートレス ファイアウォールの主な違いは次のとおりです。

  • 一致に方向性があります。たとえば、VLAN 1 上のホストが VLAN 2 上のホストとの間で TCP セッションを開始できるようにすると同時に、その逆を拒否できます。ステートレス ファイアウォールは、このようなきめ細かい制御を許可しないシンプルな ACL(アクセス リスト)に変換されます。
  • ステートフル ファイアウォールはセッションに対応しています。例として TCP の 3 ウェイ ハンドシェイクを使用すると、ステートフル ファイアウォールは、SYN-ACK または ACK が新しいセッションを開始することを許可しません。SYN で開始して、TCP セッション内の他のすべてのパケットもプロトコルに正しく従う必要があります。そうしないと、ファイアウォールによってパケットがドロップされます。ステートレス ファイアウォールは、セッションの概念を備えていません。代わりにパケットを純粋に 1 つずつ個別にフィルタリングします。
  • ステートフル ファイアウォールは、対称ルーティングを適用します。たとえば、トラフィックが 1 つのハブからネットワークに入り、別のハブから出る VMware ネットワークで非対称ルーティングが発生することは非常に一般的です。その場合でも、パケットはサードパーティのルーティングを利用して、ターゲットに到達できます。ステートフル ファイアウォールでは、このようなトラフィックはドロップされます。
  • ステートフル ファイアウォール ルールは、設定の変更後に既存のフローに対して再チェックされます。したがって、既存のフローがすでに受け入れられている場合、これらのパケットをドロップするようにステートフル ファイアウォールを設定すると、ファイアウォールは新しいルール セットに対してフローを再チェックしてからドロップします。「許可 (allow)」が「ドロップ (drop)」または「拒否 (reject)」に変更されるシナリオでは、既存のフローがタイムアウトし、セッションを終了するためのファイアウォール ログが生成されます。
ステートフル ファイアウォールを使用するための要件は次のとおりです。
  • VMware SD-WAN Edge がリリース 3.4.0 以降を使用している必要があります。
  • デフォルトでは、[ステートフル ファイアウォール]機能は、3.4.0 以降のリリースを使用する SASE Orchestrator の新しいカスタマーに対して有効化されるカスタマー機能です。3.x の Orchestrator 上で作成されたカスタマーがこの機能を有効にするには、パートナーまたは VMware SD-WAN サポートの支援が必要です。
  • SASE Orchestrator では、エンタープライズ ユーザーは、それぞれの [ファイアウォール (Firewall)] ページから、ステートフル ファイアウォール機能をプロファイル レベルと Edge レベルで有効または無効にすることができます。エンタープライズのステートフル ファイアウォール機能を無効にするには、スーパー ユーザー権限を持つオペレータに連絡してください。
    注: ステートフル ファイアウォールが有効な Edge では、非対称ルーティングはサポートされていません。

拡張ファイアウォール サービス (EFS)

拡張ファイアウォール サービス (EFS) は、VMware SD-WAN Edge の追加の EFS セキュリティ機能を提供します。NSX Security を利用した EFS 機能は、VMware SD-WAN Edge 上の URL カテゴリ フィルタリング、URL レピュテーション フィルタリング、悪意のある IP アドレスのフィルタリング、侵入検知システム (IDS) および侵入防止システム (IPS) サービスをサポートします。拡張ファイアウォール サービス (EFS) は、ブランチ間、ブランチからハブへ、またはブランチからインターネットへのトラフィック パターン全体の侵入から Edge トラフィックを保護します。

現在、SD-WAN Edge ファイアウォールは、追加の EFS を使用せずに、ステートフル インスペクションとアプリケーション識別を提供しています。ステートフル ファイアウォール SD-WAN Edge はセキュリティを提供しますが、適切ではなく、VMware SD-WAN とネイティブに統合された EFS セキュリティを提供する際にギャップが発生します。Edge EFS はこれらのセキュリティ ギャップに対処し、VMware SD-WAN と組み合わせた SD-WAN Edge 上で強化された脅威保護をネイティブに提供します。

カスタマーは、 VMware SASE Orchestrator のファイアウォール機能を使用してステートフル ファイアウォールと EFS を設定および管理できます。カスタマーは、URL または IP アドレスの IDS/IPS シグネチャの一致、カテゴリ、レピュテーションに基づいて Web トラフィックをブロックするようにファイアウォール ルールを設定できます。ファイアウォール設定をプロファイル レベルと Edge レベルで設定するには、以下を参照してください。

ファイアウォールのログ

ファイアウォールのログが生成されます。
  • フローが作成されたとき(フローが受け入れられた条件で)
  • フローが終了したとき
  • 新しいフローが拒否されたとき
  • 既存のフローが更新されたとき(ファイアウォール設定の変更が原因で)
ステートフル ファイアウォールと拡張ファイアウォール サービス (EFS) 機能を有効にすると、ファイアウォール ログでより多くの情報を報告できます。ファイアウォール ログには次のフィールドが含まれます:時間、セグメント、Edge、アクション、インターフェイス、プロトコル、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、拡張機能ヘッダー、ルール、理由、送信バイト数、受信バイト数、期間、アプリケーション、宛先ドメイン、宛先名、セッション ID、シグネチャ ID、シグネチャ、攻撃元、攻撃対象、重要度、カテゴリ、IDS アラート、IPS アラート、URL、エンジン タイプ、URL カテゴリ、URL カテゴリ フィルタ アクション、URL レピュテーション、URL レピュテーション アクション、IP カテゴリ、悪意のある IP アクション。
注: すべてのファイアウォール ログですべてのフィールドが入力されるわけではありません。たとえば、理由、受信/送信バイト数、および期間は、セッションが終了したときにログに含まれるフィールドです。シグネチャ ID、シグネチャ、攻撃元、攻撃対象、重要度、カテゴリ、IDS アラート、IPS アラート、URL、エンジン タイプ、URL カテゴリ、URL カテゴリ フィルタ アクション、URL レピュテーション、URL レピュテーション アクション、IP カテゴリ、悪意のある IP アクションは、ファイアウォール ログではなく EFS アラートにのみ入力されます。
ファイアウォール ログを表示するには、次のファイアウォール機能を使用します。
  • [ホステッド ファイアウォールのログ作成 (Hosted Firewall Logging)]:エンタープライズ Edge レベルでファイアウォール ログ機能をオンまたはオフにして、ファイアウォール ログを Orchestrator に送信できます。
    注: 5.4.0 リリース以降、ホスト型 Orchestrator では、新規および既存のエンタープライズに対して [Orchestrator のファイアウォール ログ作成の有効化 (Enable Firewall Logging to Orchestrator)] 機能がデフォルトで有効になっています。Edge レベルでは、Edge から Orchestrator にファイアウォール ログを送信するには、 [ホステッド ファイアウォールのログ作成 (Hosted Firewall Logging)] を有効にする必要があります。オンプレミス型の Orchestrator の場合は、オペレータに連絡して、 [Orchestrator のファイアウォール ログ作成の有効化 (Enable Firewall Logging to Orchestrator)] 機能を有効にする必要があります。

    Orchestrator の Edge ファイアウォールのログは、[監視 (Monitor)] > [ファイアウォールのログ (Firewall Logs)] ページで確認できます。詳細については、ファイアウォール ログの監視を参照してください。

  • [Syslog 転送]:エンタープライズ SD-WAN Edge が発信元のログを 1 つ以上の設定済みリモート サーバに送信して、ログを表示できます。デフォルトでは、エンタープライズに対して [Syslog 転送 (Syslog Forwarding)] 機能は無効になっています。ログをリモート Syslog コレクタに転送するには、次の手順を実行する必要があります。
    1. [設定 (Configure)] > [Edge/プロファイル (Edges/Profile)] > [ファイアウォール (Firewall)] タブで、[Syslog 転送 (Syslog Forwarding)] 機能を有効にします。
    2. [設定 (Configure)] > [Edge/プロファイル (Edges/Profile)] > [デバイス (Device)] > [Syslog 設定 (Syslog Settings)] で Syslog コレクタを設定します。SASE Orchestrator でセグメントごとに Syslog コレクタの詳細を設定する手順については、プロファイルの Syslog の設定を参照してください。
注: Edge バージョン 5.2.0 以降の場合、ホステッド ファイアウォールのログ作成は Syslog 転送の設定に依存しません。