Uma firewall é um dispositivo de segurança de rede que monitoriza o tráfego de rede de entrada e saída e decide se permite ou bloqueia tráfego específico com base num conjunto definido de regras de segurança. O SD-WAN Orchestrator suporta a configuração de firewalls sem estado e com estado para perfis e Edges.

Uma firewall com estado monitoriza e rastreia o estado de funcionamento e as caraterísticas de todas as ligações de rede que passam pela firewall e utiliza estas informações para determinar quais os pacotes de rede que permite passar pela firewall. As firewalls com estado criam uma tabela de estados e utilizam-na para permitir apenas tráfego de retorno das ligações atualmente listadas na tabela de estados. Depois de uma ligação ser removida da tabela de estados, não é permitido qualquer tráfego do dispositivo externo desta ligação.

A funcionalidade da firewall com estado proporciona os seguintes benefícios:
  • Prevenir ataques como a negação de serviço (DoS) e spoofing
  • Registo mais robusto
  • Segurança de rede melhorada

As principais diferenças entre uma firewall com estado e uma firewall sem estado são:

  • A correspondência é direcional. Por exemplo, pode permitir que os anfitriões na VLAN 1 iniciem uma sessão TCP com anfitriões na VLAN 2, mas recusar o contrário. As firewalls sem estado traduzem-se em ACLs (listas de acesso) simples que não permitem este tipo de controlo granular.
  • Uma firewall com estado está ciente da sessão. Utilizando o handshake de três vias do TCP como exemplo, uma firewall com estado não permitirá que um SYN-ACK ou um ACK iniciem uma nova sessão. Deve começar com um SYN e todos os outros pacotes na sessão TCP também têm de seguir o protocolo corretamente ou a firewall irá descartá-los. Uma firewall sem estado não deteta uma sessão e, em vez disso, filtra os pacotes de forma individual, pacote a pacote.
  • Uma firewall com estado força o routing simétrico. Por exemplo, é muito comum ocorrer um routing assimétrico numa rede VMware onde o tráfego entra na rede através de um Hub, mas sai através de outro. Aproveitando o routing de terceiros, o pacote ainda consegue chegar ao seu destino. Com uma firewall com estado, esse tráfego seria descartado.
  • As regras de firewall com estado são verificadas novamente em relação aos fluxos existentes após uma alteração da configuração. Portanto, se um fluxo existente já tiver sido aceite e configurar a firewall com estado para agora descartar esses pacotes, a firewall verificará novamente o fluxo em relação ao novo conjunto de regras e, em seguida, será descartado. Para os cenários em que “permitir” (allow) é alterado para “descartar” (drop) ou “rejeitar” (reject), os fluxos pré-existentes irão exceder o tempo limite e será gerado um registo da firewall para o fecho da sessão.
Os requisitos para utilizar a firewall com estado são:
  • O VMware SD-WAN Edge tem de estar a utilizar a versão 3.4.0 ou posterior.
  • Por predefinição, a funcionalidade Firewall com estado (Stateful Firewall) está ativada para novos clientes num SD-WAN Orchestrator a utilizar a versão 3.4.0 ou posteriores. Os clientes criados num Orchestrator 3.x precisarão da ajuda de um parceiro ou suporte VMware SD-WAN para ativar esta funcionalidade.
  • O SD-WAN Orchestrator permite ao utilizador empresarial ativar ou desativar a funcionalidade Firewall com estado (Stateful Firewall) ao nível do perfil e do Edge na respetiva página Firewall. Para desativar a funcionalidade Firewall com estado (Stateful Firewall) para uma empresa, contacte um operador com a permissão de superutilizador.
    Nota: O routing assimétrico não é suportado nos Edges com firewall com estado ativada.
Para configurar as definições da firewall ao nível do perfil e do Edge, consulte:

Registos de firewalls com estado

Com a firewall com estado ativada, podem ser comunicadas mais informações nos registos de firewall. Os registos de firewall conterão os seguintes campos: hora, segmento, Edge, ação, interface, protocolo, IP de origem, porta de origem, IP de destino, porta de destino, regra, bytes recebidos/enviados e duração.
Nota: Nem todos os campos serão preenchidos para todos os registos de firewall. Por exemplo, motivo, bytes recebidos/enviados e duração são campos incluídos nos registos quando as sessões são fechadas.
Os registos são gerados:
  • Quando um fluxo é criado (na condição de que o fluxo seja aceite)
  • Quando o fluxo é fechado
  • Quando um novo fluxo é recusado
  • Quando um fluxo existente é atualizado (devido a uma alteração de configuração da firewall)
Pode visualizar os registos de firewall enviando os registos originários do SD-WAN Edge empresarial para um ou mais coletores Syslog remotos centralizados (servidores). Por predefinição, a funcionalidade Encaminhamento Syslog (Syslog Forwarding) está desativada para empresas. Para encaminhar os registos para coletores Syslog remotos, tem de:
  1. Ativar a funcionalidade Encaminhamento Syslog (Syslog Forwarding) no separador Configurar (Configure) > Edge/Perfil (Edge/Profile) > Firewall.
  2. Configurar um coletor Syslog em Configurar > Edges > Dispositivo > Definições Syslog (Configure > Edges > Device > Syslog Settings). Para obter os passos da configuração dos detalhes do coletor Syslog por segmento no SD-WAN Orchestrator, consulte Configurar as definições do Syslog para os perfis com a nova IU do Orchestrator.
Nota: O Registo da firewall não é suportado a partir do Edge nem do Orchestrator.