防火牆是一種網路安全性裝置,可監控傳入和傳出的網路流量,並根據已定義的一組安全性規則來決定是否允許或封鎖特定流量。SASE Orchestrator 支援為設定檔和 Edge 設定無狀態、可設定狀態和增強型防火牆服務 (EFS) 規則。

可設定狀態的防火牆

可設定狀態的防火牆會監控並追蹤透過防火牆所傳入每個網路連線的作業狀態和特性,並使用這項資訊決定要允許哪些網路封包通過防火牆。可設定狀態的防火牆會建置狀態資料表,並使用此資料表,而僅允許從目前在狀態資料表中列出的連線傳回流量。從狀態資料表中移除某個連線後,即不允許外部裝置透過該連線傳入的流量。

可設定狀態的防火牆功能有下列優點:
  • 防止攻擊,例如拒絕服務 (DoS) 和詐騙
  • 更可靠的記錄
  • 更高的網路安全性

可設定狀態的防火牆和無狀態防火牆之間的主要差異為:

  • 相符的方向。例如,您可以允許 VLAN 1 上的主機在 VLAN 2 上起始具有主機的 TCP 工作階段,但拒絕反向。無狀態防火牆會轉譯為簡單的 ACL (存取清單),不允許此類細微控制。
  • 可設定狀態的防火牆可感知工作階段。使用 TCP 的三向信號交換為例,可設定狀態的防火牆將不允許 SYN-ACK 或 ACK 起始新的工作階段。其必須以 SYN 為開頭,且 TCP 工作階段中的所有其他封包也必須正確遵循通訊協定,否則防火牆將會予以捨棄。無狀態防火牆沒有工作階段的概念,而是依據封包的單一基礎篩選僅以封包為基礎的封包。
  • 可設定狀態的防火牆會強制執行對稱路由。例如,在流量透過一個中樞進入網路但透過另一個中樞結束的 VMware 網路中,很可能會發生非對稱的路由。封包仍可運用第三方路由來到達其目的地。透過可設定狀態的防火牆,將捨棄此類流量。
  • 在組態變更後,可設定狀態的防火牆規則會針對現有的流量進行重新檢查。因此,如果已接受現有流量,並將可設定狀態的防火牆設定為立即捨棄這些封包,則防火牆將會針對新規則集重新檢查流量,然後將其捨棄。對於「允許」變更為「捨棄」或「拒絕」的案例,預先存在的流量將會逾時,並會產生防火牆記錄以供工作階段關閉。
使用可設定狀態的防火牆需求如下:
  • VMware SD-WAN Edge 必須使用 3.4.0 版或更新版本。
  • 可設定狀態的防火牆 (Stateful Firewall) 功能是一項客戶功能,依預設,在使用 3.4.0 或更新版本的 SASE Orchestrator 上會為新客戶啟用此功能。在 3.x Orchestrator 上建立的客戶將需要合作夥伴的協助或 VMware SD-WAN 支援,才能啟用此功能。
  • SASE Orchestrator 可讓企業使用者使用各自的防火牆 (Firewall) 頁面,在設定檔和 Edge 層級上啟用或停用可設定狀態的防火牆功能。若要為企業停用可設定狀態的防火牆功能,請連絡具有超級使用者權限的操作員。
    備註: Edge 中若已啟用可設定狀態的防火牆,即不支援非對稱路由。

增強型防火牆服務

增強型防火牆服務 (EFS) 在 VMware SD-WAN Edge 上可提供額外的 EFS 安全功能。由「NSX 安全性」提供的 EFS 功能在 VMware SD-WAN Edge 上支援「入侵偵測系統 (IDS)」服務和「入侵防護系統 (IPS)」服務。Edge 增強型防火牆服務 (EFS) 可在「分支到分支」、「分支到中樞」或「分支到網際網路」流量模式中,保護 Edge 流量不受入侵。

目前,SD-WAN Edge 防火牆提供可設定狀態的檢查以及應用程式識別,而無需額外的 EFS 安全功能。雖然可設定狀態的防火牆 SD-WAN Edge 可提供安全性,但這並不足夠,且在提供與 VMware SD-WAN 原生整合的 EFS 安全功能方面出現缺口。Edge EFS 填補了這些安全缺口,並在 SD-WAN Edge 上與 VMware SD-WAN 一起以原生方式提供增強型威脅防護。

客戶可以使用 VMware SASE Orchestrator 中的防火牆功能,來設定和管理可設定狀態的防火牆和 EFS。若要在設定檔和 Edge 層級設定防火牆設定,請參閱:

防火牆記錄

當啟用可設定狀態的防火牆和增強型防火牆服務 (EFS) 功能後,即可在防火牆記錄中報告更多資訊。防火牆記錄中將包含以下欄位:[時間 (Time)]、[區段 (Segment)]、[Edge]、[動作 (Action)]、[介面 (Interface)]、[通訊協定 (Protocol)]、[來源 IP (Source IP)]、[來源連接埠 (Source Port)]、[目的地 IP (Destination IP)]、[目的地連接埠 (Destination Port)]、[延伸標頭 (Extension Headers)]、[規則 (Rule)]、[原因 (Reason)]、[已接收的位元組 (Bytes Received)]、[已傳送的位元組 (Bytes Sent)]、[持續時間 (Duration)]、[應用程式 (Application)]、[目的地網域 (Destination Domain)]、[目的地名稱 (Destination Name)]、[工作階段識別碼 (Session ID)]、[特徵碼 (Signature)]、[IPS 警示 (IPS Alert)]、[IDS 警示 (IDS Alert])、[特徵碼識別碼 (Signature ID)]、[類別 (Category)]、[攻擊來源 (Attack Source)]、[攻擊目標 (Attack Target)] 和 [嚴重性 (Severity)]。
備註: 並非所有防火牆記錄都會填入所有欄位。例如,當工作階段關閉時,將在記錄中包含 [原因 (Reason)]、[已接收/已傳送的位元組 (Bytes Received/Sent)] 和 [持續時間 (Duration)] 欄位。唯有 EFS 警示,才會填入 [特徵碼 (Signature)]、[IPS 警示 (IPS Alert)]、[IDS 警示 (IDS Alert)]、[特徵碼識別碼 (Signature ID)]、[類別 (Category)]、[攻擊來源 (Attack Source)]、[攻擊目標 (Attack Target)] 和 [嚴重性 (Severity)];對於防火牆記錄,則不會填入這些欄位。
在以下情況下,將產生防火牆記錄:
  • 當流量建立時 (在接受流量的情況)
  • 當流量關閉時
  • 當新流量遭拒絕時
  • 當現有流量更新時 (由於防火牆組態變更)
您可以使用以下防火牆功能,來檢視防火牆記錄:
  • 防火牆記錄 (Firewall Logging) - 依預設,Edge 無法將其防火牆記錄傳送到 Orchestrator。
    備註: 若要讓 Edge 將防火牆記錄傳送到 Orchestrator,請確定已在 [全域設定 (Global Settings)] UI 頁面下,在客戶層級啟用 [ 啟用對 Orchestrator 的防火牆記錄 (Enable Firewall Logging to Orchestrator)] 客戶功能。如果希望啟用 [防火牆記錄 (Firewall Logging)] 功能,客戶必須與操作員連絡。

    您可以在 Orchestrator 中,從監控 (Monitor) > 防火牆記錄 (Firewall Logs) 頁面來檢視 Edge 防火牆記錄。如需詳細資訊,請參閱監控防火牆記錄

  • Syslog 轉送 (Syslog Forwarding) - 允許您將來自企業 SD-WAN Edge 的記錄傳送到所設定的一或多個遠端伺服器,以檢視記錄。依預設會為企業停用 Syslog 轉送 (Syslog Forwarding) 功能。若要將記錄轉送到遠端 Syslog 收集器,您必須:
    1. 設定 (Configure) > Edge/設定檔 (Edges/Profile) > 防火牆 (Firewall) 索引標籤底下,啟用 Syslog 轉送 (Syslog Forwarding) 功能。
    2. 設定 (Configure) > Edge/設定檔 (Edges/Profile) > 裝置 (Device) > Syslog 設定 (Syslog Settings) 之下,設定 Syslog 收集器。如需如何在 SASE Orchestrator 中為每個區段設定 Syslog 收集器詳細資料的步驟,請參閱為設定檔進行 Syslog 設定
備註: 對於 Edge 5.2.0 版及更高版本,防火牆記錄不依賴于 Syslog 轉送組態。