Uma firewall é um dispositivo de segurança de rede que monitoriza o tráfego de rede de entrada e saída e decide se permite ou bloqueia tráfego específico com base num conjunto definido de regras de segurança. O SASE Orchestrator oferece suporte para a configuração de regras Sem estado, Com estado e de serviços de firewall melhorados (EFS) para os perfis e os Edges.

Firewall com estado

Uma firewall com estado monitoriza e rastreia o estado de funcionamento e as caraterísticas de todas as ligações de rede que passam pela firewall e utiliza estas informações para determinar quais os pacotes de rede que permite passar pela firewall. As firewalls com estado criam uma tabela de estados e utilizam-na para permitir apenas tráfego de retorno das ligações atualmente listadas na tabela de estados. Depois de uma ligação ser removida da tabela de estados, não é permitido qualquer tráfego do dispositivo externo desta ligação.

A funcionalidade da firewall com estado proporciona os seguintes benefícios:
  • Prevenir ataques como a negação de serviço (DoS) e spoofing
  • Registo mais robusto
  • Segurança de rede melhorada

As principais diferenças entre uma firewall com estado e uma firewall sem estado são:

  • A correspondência é direcional. Por exemplo, pode permitir que os anfitriões na VLAN 1 iniciem uma sessão TCP com anfitriões na VLAN 2, mas recusar o contrário. As firewalls sem estado traduzem-se em ACLs (listas de acesso) simples que não permitem este tipo de controlo granular.
  • Uma firewall com estado está ciente da sessão. Utilizando o handshake de três vias do TCP como exemplo, uma firewall com estado não permitirá que um SYN-ACK ou um ACK iniciem uma nova sessão. Deve começar com um SYN e todos os outros pacotes na sessão TCP também têm de seguir o protocolo corretamente ou a firewall irá descartá-los. Uma firewall sem estado não deteta uma sessão e, em vez disso, filtra os pacotes de forma individual, pacote a pacote.
  • Uma firewall com estado força o routing simétrico. Por exemplo, é muito comum ocorrer um routing assimétrico numa rede VMware onde o tráfego entra na rede através de um Hub, mas sai através de outro. Aproveitando o routing de terceiros, o pacote ainda consegue chegar ao seu destino. Com uma firewall com estado, esse tráfego seria descartado.
  • As regras de firewall com estado são verificadas novamente em relação aos fluxos existentes após uma alteração da configuração. Portanto, se um fluxo existente já tiver sido aceite e configurar a firewall com estado para agora descartar esses pacotes, a firewall verificará novamente o fluxo em relação ao novo conjunto de regras e, em seguida, será descartado. Para os cenários em que “permitir” (allow) é alterado para “descartar” (drop) ou “rejeitar” (reject), os fluxos pré-existentes irão exceder o tempo limite e será gerado um registo da firewall para o fecho da sessão.
Os requisitos para utilizar a firewall com estado são:
  • O VMware SD-WAN Edge tem de estar a utilizar a versão 3.4.0 ou posterior.
  • Por predefinição, a funcionalidade Firewall com estado (Stateful Firewall) é uma capacidade ativada para novos clientes num SASE Orchestrator a utilizar a versão 3.4.0 ou posteriores. Os clientes criados num Orchestrator 3.x precisarão da ajuda de um parceiro ou suporte VMware SD-WAN para ativar esta funcionalidade.
  • O SASE Orchestrator permite ao utilizador empresarial ativar ou desativar a funcionalidade Firewall com estado (Stateful Firewall) ao nível do perfil e do Edge na respetiva página Firewall. Para desativar a funcionalidade Firewall com estado (Stateful Firewall) para uma empresa, contacte um operador com a permissão de superutilizador.
    Nota: O routing assimétrico não é suportado nos Edges com firewall com estado ativada.

Serviços de firewall melhorados

Os Serviços de firewall melhorados (EFS) oferecem funcionalidades de segurança EFS adicionais no VMware SD-WAN Edges. A funcionalidade EFS possibilitada pelo NSX Security suporta os serviços Sistema de deteção de intrusões (IDS) e Sistema de prevenção de intrusões (IPS) nos VMware SD-WAN Edges. Os Serviços de firewall melhorados (EFS) do Edge protegem o tráfego do Edge contra intrusões em padrões de tráfego Ramo a Ramo, Ramo a Hub ou Ramo a Internet.

Atualmente, a firewall do SD-WAN Edge oferece uma inspeção com estado e identificação de aplicação sem funcionalidades de segurança EFS adicionais. Embora a firewall com estado do SD-WAN Edge ofereça segurança, não é adequada e cria uma lacuna no fornecimento de segurança EFS integrada nativamente com o VMware SD-WAN. O EFS do Edge responde a estas lacunas de segurança e oferece proteção melhorada contra ameaças nativamente no SD-WAN Edge em conjunto com o VMware SD-WAN.

Os clientes podem configurar e gerir a Firewall com estado e os Serviços de firewall melhorados (EFS) com a funcionalidade Firewall no VMware SASE Orchestrator. Para configurar as definições da firewall ao nível do perfil e do Edge, consulte:

Registos de firewall

Com as funcionalidades Firewall com estado (Stateful Firewall) e Serviços de firewall melhorados ativadas (Enhanced Firewall Services (EFS)), podem ser comunicadas mais informações nos registos de firewall. Os registos de firewall incluirão os seguintes campos: Hora (Time), Segmento (Segment), Edge, Ação (Action), Interface, Protocolo (Protocol), IP de origem (Source IP), Porta de origem (Source Port), IP de destino (Destination IP), Porta de destino (Destination Port), Cabeçalhos de extensão (Extension Headers), Regra (Rule), Motivo (Reason), Bytes recebidos (Bytes Received), Bytes enviados (Bytes Sent), Duração (Duration), Aplicação (Application), Domínio de destino (Destination Domain), Nome do destino (Destination Name), ID de sessão (Session ID), Assinatura (Signature), Alerta IPS (IPS Alert), Alerta IDS (IDS Alert), ID de assinatura (Signature ID), Categoria (Category), Origem do ataque (Attack Source), Alvo do ataque (Attack Target) e Gravidade (Severity).
Nota: Nem todos os campos serão preenchidos para todos os registos de firewall. Por exemplo, Motivo (Reason), Bytes recebidos/enviados (Bytes Received/Sent) e Duração (Duration) são campos incluídos nos registos quando as sessões são fechadas. Assinatura (Signature), Alerta IPS (IPS Alert), Alerta IDS (IDS Alert), ID de Assinatura (Signature ID), Categoria (Category), Origem do ataque (Attack Source), Alvo do ataque (Attach Target) e Gravidade (Severity) são preenchidos apenas para alertas de EFS, não para registos de firewall.
Os registos de firewall são gerados:
  • Quando um fluxo é criado (na condição de que o fluxo seja aceite)
  • Quando o fluxo é fechado
  • Quando um novo fluxo é recusado
  • Quando um fluxo existente é atualizado (devido a uma alteração de configuração da firewall)
Pode visualizar os registos de firewall através das seguintes funcionalidades de firewall:
  • Registo da firewall (Firewall Logging) – Por predefinição, os Edges não podem enviar os respetivos registos de firewalls para o Orchestrator.
    Nota: Para que um Edge envie os registos de Firewall para o Orchestrator, certifique-se de que a funcionalidade do cliente “Ativar registo da firewall no Orchestrator” (Enable Firewall logging to Orchestrator) está ativada ao nível do cliente na página da IU “Definições globais” (Global Settings). Os clientes têm de entrar em contacto com o operador se desejarem ativar a funcionalidade Registo da firewall (Firewall Logging).

    Pode visualizar os registos de Firewall do Edge no Orchestrator na página Monitorizar (Monitor) > Registos de firewall (Firewall Logs). Para obter mais informações, consulte Monitorizar os registos de firewall.

  • Encaminhamento Syslog (Syslog Forwarding) – Permite visualizar os registos enviando os registos originários do SD-WAN Edge de empresa para um ou mais servidores remotos configurados. Por predefinição, a funcionalidade Encaminhamento Syslog (Syslog Forwarding) está desativada para empresas. Para encaminhar os registos para coletores de Syslog remotos, tem de:
    1. Ativar a funcionalidade Encaminhamento Syslog (Syslog Forwarding) no separador Configurar (Configure) > Edges/Perfil (Edges/Profile) > Firewall.
    2. Configurar um coletor de Syslog em Configurar (Configure) > Edges/Perfil (Edges/Profile) > Dispositivo (Device) > Definições Syslog (Syslog Settings). Para obter os passos da configuração dos detalhes do coletor de Syslog por segmento no SASE Orchestrator, consulte Configurar as definições Syslog para os perfis.
Nota: Para as versões 5.2.0 e superiores do Edge, o Registo da firewall (Firewall Logging) não depende da configuração do Encaminhamento Syslog (Syslog Forwarding).