ファイアウォールは、受信および送信ネットワーク トラフィックを監視し、定義された一連のセキュリティ ルールに基づいて特定のトラフィックを許可またはブロックするかどうかを決定するネットワーク セキュリティ デバイスです。SASE Orchestratorは、プロファイルと Edge のステートレス、ステートフル、および拡張ファイアウォール サービス (EFS) ルールの設定をサポートします。
ステートフル ファイアウォール
ステートフル ファイアウォールは、ファイアウォールを介して受信されるすべてのネットワーク接続の動作状態と特性を監視して追跡し、この情報を使用してファイアウォールの通過が許可されるネットワーク パケットを決定します。ステートフル ファイアウォールは状態テーブルを構築し、このテーブルを使用して、状態テーブルに現在リストされている接続からのトラフィックのみを返すことを許可します。状態テーブルから接続が削除されると、この接続の外部デバイスからのトラフィックは許可されません。
- サービス拒否 (DoS) やなりすましなどの攻撃を防止
- より堅牢なログ
- ネットワーク セキュリティの強化
ステートフル ファイアウォールとステートレス ファイアウォールの主な違いは次のとおりです。
- 一致に方向性があります。たとえば、VLAN 1 上のホストが VLAN 2 上のホストとの間で TCP セッションを開始できるようにすると同時に、その逆を拒否できます。ステートレス ファイアウォールは、このようなきめ細かい制御を許可しないシンプルな ACL(アクセス リスト)に変換されます。
- ステートフル ファイアウォールはセッションに対応しています。例として TCP の 3 ウェイ ハンドシェイクを使用すると、ステートフル ファイアウォールは、SYN-ACK または ACK が新しいセッションを開始することを許可しません。SYN で開始して、TCP セッション内の他のすべてのパケットもプロトコルに正しく従う必要があります。そうしないと、ファイアウォールによってパケットがドロップされます。ステートレス ファイアウォールは、セッションの概念を備えていません。代わりにパケットを純粋に 1 つずつ個別にフィルタリングします。
- ステートフル ファイアウォールは、対称ルーティングを適用します。たとえば、トラフィックが 1 つのハブからネットワークに入り、別のハブから出る VMware ネットワークで非対称ルーティングが発生することは非常に一般的です。その場合でも、パケットはサードパーティのルーティングを利用して、ターゲットに到達できます。ステートフル ファイアウォールでは、このようなトラフィックはドロップされます。
- ステートフル ファイアウォール ルールは、設定の変更後に既存のフローに対して再チェックされます。したがって、既存のフローがすでに受け入れられている場合、これらのパケットをドロップするようにステートフル ファイアウォールを設定すると、ファイアウォールは新しいルール セットに対してフローを再チェックしてからドロップします。「許可 (allow)」が「ドロップ (drop)」または「拒否 (reject)」に変更されるシナリオでは、既存のフローがタイムアウトし、セッションを終了するためのファイアウォール ログが生成されます。
- VMware SD-WAN Edge がリリース 3.4.0 以降を使用している必要があります。
- デフォルトでは、[ステートフル ファイアウォール]機能は、3.4.0 以降のリリースを使用する SASE Orchestrator の新しいカスタマーに対して有効化されるカスタマー機能です。3.x の Orchestrator 上で作成されたカスタマーがこの機能を有効にするには、パートナーまたは VMware SD-WAN サポートの支援が必要です。
- SASE Orchestrator では、エンタープライズ ユーザーは、それぞれの [ファイアウォール (Firewall)] ページから、ステートフル ファイアウォール機能をプロファイル レベルと Edge レベルで有効または無効にすることができます。エンタープライズのステートフル ファイアウォール機能を無効にするには、スーパー ユーザー権限を持つオペレータに連絡してください。
注: ステートフル ファイアウォールが有効な Edge では、非対称ルーティングはサポートされていません。
拡張ファイアウォール サービス (EFS)
拡張ファイアウォール サービス (EFS) は、VMware SD-WAN Edge の追加の EFS セキュリティ機能を提供します。NSX Security を利用した EFS 機能は、VMware SD-WAN Edge 上の URL カテゴリ フィルタリング、URL レピュテーション フィルタリング、悪意のある IP アドレスのフィルタリング、侵入検知システム (IDS) および侵入防止システム (IPS) サービスをサポートします。拡張ファイアウォール サービス (EFS) は、ブランチ間、ブランチからハブへ、またはブランチからインターネットへのトラフィック パターン全体の侵入から Edge トラフィックを保護します。
現在、SD-WAN Edge ファイアウォールは、追加の EFS を使用せずに、ステートフル インスペクションとアプリケーション識別を提供しています。ステートフル ファイアウォール SD-WAN Edge はセキュリティを提供しますが、適切ではなく、VMware SD-WAN とネイティブに統合された EFS セキュリティを提供する際にギャップが発生します。Edge EFS はこれらのセキュリティ ギャップに対処し、VMware SD-WAN と組み合わせた SD-WAN Edge 上で強化された脅威保護をネイティブに提供します。
ファイアウォールのログ
- フローが作成されたとき(フローが受け入れられた条件で)
- フローが終了したとき
- 新しいフローが拒否されたとき
- 既存のフローが更新されたとき(ファイアウォール設定の変更が原因で)
- [ホステッド ファイアウォールのログ作成 (Hosted Firewall Logging)]:エンタープライズ Edge レベルでファイアウォール ログ機能をオンまたはオフにして、ファイアウォール ログを Orchestrator に送信できます。
注: 5.4.0 リリース以降、ホスト型 Orchestrator では、新規および既存のエンタープライズに対して [Orchestrator のファイアウォール ログ作成の有効化 (Enable Firewall Logging to Orchestrator)] 機能がデフォルトで有効になっています。Edge レベルでは、Edge から Orchestrator にファイアウォール ログを送信するには、 [ホステッド ファイアウォールのログ作成 (Hosted Firewall Logging)] を有効にする必要があります。オンプレミス型の Orchestrator の場合は、オペレータに連絡して、 [Orchestrator のファイアウォール ログ作成の有効化 (Enable Firewall Logging to Orchestrator)] 機能を有効にする必要があります。
Orchestrator の Edge ファイアウォールのログは、[監視 (Monitor)] > [ファイアウォールのログ (Firewall Logs)] ページで確認できます。詳細については、ファイアウォール ログの監視を参照してください。
- [Syslog 転送]:エンタープライズ SD-WAN Edge が発信元のログを 1 つ以上の設定済みリモート サーバに送信して、ログを表示できます。デフォルトでは、エンタープライズに対して [Syslog 転送 (Syslog Forwarding)] 機能は無効になっています。ログをリモート Syslog コレクタに転送するには、次の手順を実行する必要があります。
- [Syslog 転送 (Syslog Forwarding)] 機能を有効にします。 タブで、
- SASE Orchestrator でセグメントごとに Syslog コレクタの詳細を設定する手順については、プロファイルの Syslog の設定を参照してください。 で Syslog コレクタを設定します。