防火牆是一種網路安全性裝置,可監控傳入和傳出的網路流量,並根據已定義的一組安全性規則來決定是否允許或封鎖特定流量。SD-WAN Orchestrator 支援為設定檔和 Edge 設定無狀態和可設定狀態的防火牆。
可設定狀態的防火牆會監控並追蹤透過防火牆所傳入每個網路連線的作業狀態和特性,並使用這項資訊決定要允許哪些網路封包通過防火牆。可設定狀態的防火牆會建置狀態資料表,並使用此資料表,而僅允許從目前在狀態資料表中列出的連線傳回流量。從狀態資料表中移除某個連線後,即不允許外部裝置透過該連線傳入的流量。
可設定狀態的防火牆功能有下列優點:
- 防止攻擊,例如拒絕服務 (DoS) 和詐騙
- 更可靠的記錄
- 更高的網路安全性
可設定狀態的防火牆和無狀態防火牆之間的主要差異為:
- 相符的方向。例如,您可以允許 VLAN 1 上的主機在 VLAN 2 上起始具有主機的 TCP 工作階段,但拒絕反向。無狀態防火牆會轉譯為簡單的 ACL (存取清單),不允許此類細微控制。
- 可設定狀態的防火牆可感知工作階段。使用 TCP 的三向信號交換為例,可設定狀態的防火牆將不允許 SYN-ACK 或 ACK 啟動新的工作階段。其必須以 SYN 為開頭,且 TCP 工作階段中的所有其他封包也必須正確遵循通訊協定,否則防火牆將會予以捨棄。無狀態防火牆沒有工作階段的概念,而是依據封包的單一基礎篩選僅以封包為基礎的封包。
- 可設定狀態的防火牆會強制執行對稱路由。例如,在流量透過一個 Hub 進入網路但透過另一個 Hub 結束的 VMware 網路中,很可能會發生非對稱的路由。封包仍可運用第三方路由來到達其目的地。透過可設定狀態的防火牆,將捨棄此類流量。
- 在組態變更後,可設定狀態的防火牆規則會針對現有的流量進行重新檢查。因此,如果已接受現有流量,並將可設定狀態的防火牆設定為立即捨棄這些封包,則防火牆將會針對新規則集重新檢查流量,然後將其捨棄。對於「允許」變更為「捨棄」或「拒絕」的案例,預先存在的流量將會逾時,並會產生防火牆記錄以供工作階段關閉。
使用可設定狀態的防火牆需求如下:
- VMware SD-WAN Edge 必須使用 3.4.0 版或更新版本。
- 依預設,會針對使用 3.4.0 或更新版本的 SD-WAN Orchestrator 上的新客戶啟用可設定狀態的防火牆 (Stateful Firewall) 功能。在 3.x Orchestrator 上建立的客戶將需要合作夥伴的協助或 VMware SD-WAN 支援,才能啟用此功能。
- SD-WAN Orchestrator 可讓企業使用者使用各自的防火牆 (Firewall) 頁面,在設定檔和 Edge 層級上啟用或停用可設定狀態的防火牆功能。若要為企業停用可設定狀態的防火牆功能,請連絡具有超級使用者權限的操作員。
備註: Edge 中若已啟用可設定狀態的防火牆,即不支援非對稱路由。
若要在設定檔和 Edge 層級設定防火牆設定,請參閱:
可設定狀態的防火牆記錄
啟用可設定狀態的防火牆後,可在防火牆記錄中報告更多資訊。防火牆記錄將包含下欄欄位:[時間 (Time)]、[區段 (Segment)]、[Edge]、[動作 (Action)]、[介面 (Interface)]、[通訊協定 (Protocol)]、[來源 IP (Source IP)]、[來源連接埠 (Source Port)]、[目的地 IP (Destination IP)]、[目的地連接埠 (Destination Port)]、[規則 (Rule)]、[已接收/傳送的位元 (Bytes Received/Sent)] 和 [持續時間 (Duration)]。
備註: 並非所有防火牆記錄都會填入所有欄位。例如,當工作階段關閉時,[已接收/傳送的位元 (Bytes Received/Sent)] 和 [持續時間 (Duration)] 是記錄中包含的欄位。
產生記錄:
- 當流量建立時 (在接受流量的情況)
- 當流量關閉時
- 當新流量遭拒絕時
- 當現有流量更新時 (由於防火牆組態變更)
您可以將來自企業
SD-WAN Edge 的記錄傳送至一或多個集中式遠端 Syslog 收集器 (伺服器),藉此檢視防火牆記錄。依預設會為企業停用
Syslog 轉送 (Syslog Forwarding) 功能。若要將記錄轉送到遠端 Syslog 收集器,您必須:
- 在 索引標籤底下,啟用 Syslog 轉送 (Syslog Forwarding) 功能。
- 在 底下,設定 Syslog 收集器。如需如何在 SD-WAN Orchestrator 中為每個區段設定 Syslog 收集器詳細資料的步驟,請參閱設定設定檔的 Syslog 設定。
