Uma firewall é um dispositivo de segurança de rede que monitoriza o tráfego de rede de entrada e saída e decide se permite ou bloqueia tráfego específico com base num conjunto definido de regras de segurança. O SD-WAN Orchestrator suporta a configuração de firewalls sem estado e com estado para perfis e Edges.
Uma firewall com estado monitoriza e rastreia o estado de funcionamento e as caraterísticas de todas as ligações de rede que passam pela firewall e utiliza estas informações para determinar quais os pacotes de rede que permite passar pela firewall. As firewalls com estado criam uma tabela de estados e utilizam-na para permitir apenas tráfego de retorno das ligações atualmente listadas na tabela de estados. Depois de uma ligação ser removida da tabela de estados, não é permitido qualquer tráfego do dispositivo externo desta ligação.
- Prevenir ataques como a negação de serviço (DoS) e spoofing
- Registo mais robusto
- Segurança de rede melhorada
As principais diferenças entre uma firewall com estado e uma firewall sem estado são:
- A correspondência é direcional. Por exemplo, pode permitir que os anfitriões na VLAN 1 iniciem uma sessão TCP com anfitriões na VLAN 2, mas recusar o contrário. As firewalls sem estado traduzem-se em ACLs (listas de acesso) simples que não permitem este tipo de controlo granular.
- Uma firewall com estado está ciente da sessão. Utilizando o handshake de três vias do TCP como exemplo, uma firewall com estado não permitirá que um SYN-ACK ou um ACK iniciem uma nova sessão. Deve começar com um SYN e todos os outros pacotes na sessão TCP também têm de seguir o protocolo corretamente ou a firewall irá descartá-los. Uma firewall sem estado não deteta uma sessão e, em vez disso, filtra os pacotes de forma individual, pacote a pacote.
- Uma firewall com estado força o routing simétrico. Por exemplo, é muito comum ocorrer um routing assimétrico numa rede VMware onde o tráfego entra na rede através de um Hub, mas sai através de outro. Aproveitando o routing de terceiros, o pacote ainda consegue chegar ao seu destino. Com uma firewall com estado, esse tráfego seria descartado.
- As regras de firewall com estado são verificadas novamente em relação aos fluxos existentes após uma alteração da configuração. Portanto, se um fluxo existente já tiver sido aceite e configurar a firewall com estado para agora descartar esses pacotes, a firewall verificará novamente o fluxo em relação ao novo conjunto de regras e, em seguida, será descartado. Para os cenários em que “permitir” (allow) é alterado para “descartar” (drop) ou “rejeitar” (reject), os fluxos pré-existentes irão exceder o tempo limite e será gerado um registo da firewall para o fecho da sessão.
- O VMware SD-WAN Edge tem de estar a utilizar a versão 3.4.0 ou posterior.
- Por predefinição, a funcionalidade Firewall com estado (Stateful Firewall) está ativada para novos clientes num SD-WAN Orchestrator a utilizar a versão 3.4.0 ou posteriores. Os clientes criados num Orchestrator 3.x precisarão da ajuda de um parceiro ou suporte VMware SD-WAN para ativar esta funcionalidade.
- O SD-WAN Orchestrator permite ao utilizador empresarial ativar ou desativar a funcionalidade Firewall com estado (Stateful Firewall) ao nível do perfil e do Edge na respetiva página Firewall. Para desativar a funcionalidade Firewall com estado (Stateful Firewall) para uma empresa, contacte um operador com a permissão de superutilizador.
Nota: O routing assimétrico não é suportado nos Edges com firewall com estado ativada.
Registos de firewalls com estado
- Quando um fluxo é criado (na condição de que o fluxo seja aceite)
- Quando o fluxo é fechado
- Quando um novo fluxo é recusado
- Quando um fluxo existente é atualizado (devido a uma alteração de configuração da firewall)
- Ativar a funcionalidade Encaminhamento Syslog (Syslog Forwarding) no separador .
- Configurar um coletor Syslog em SD-WAN Orchestrator, consulte Configurar as definições do Syslog para os perfis com a nova IU do Orchestrator. (Configure > Edges > Device > Syslog Settings). Para obter os passos da configuração dos detalhes do coletor Syslog por segmento no