プレフィルタリングについて
プレフィルタはアクセス制御の最初のフェーズで、システムがより大きいリソース消費の評価を実行する前に行われます。プレフィルタリングはシンプルかつ高速で、初期に実行されます。プレフィルタリングでは、限定された外部ヘッダーを基準にしてトラフィックを迅速に処理します。内部ヘッダーを使用し、より堅牢なインスペクション機能を備えた後続の評価とこのプレフィルタリングを比較します。
次の目的でプレフィルタリングを設定します。
-
パフォーマンスの向上:インスペクションを必要としないトラフィックの除外は、早ければ早いほど適切です。特定のタイプのプレーン テキストをファストパスまたはブロックし、カプセル化された接続を検査することなく外側のカプセル化ヘッダーに基づいてトンネルをパススルーします。早期処理のメリットがあるその他の接続についても、ファストパスやブロックをすることができます。
-
カプセル化トラフィックに合わせたディープ インスペクションの調整:同じ検査基準を使用してカプセル化接続を後で処理できるように、特定のタイプのトンネルを再区分できます。アクセス制御はプレフィルタ後に内側のヘッダーを使用するため、再区分は必須です。
プレフィルタリングとアクセス コントロール
プレフィルタとアクセス コントロール ポリシーのどちらを使用しても、トラフィックをブロックしたり信頼したりできますが、プレフィルタリングの「信頼」機能の方がより多くのインスペクションをスキップするため、「高速パス」と呼ばれます。次の表ではこれについて説明し、プレフィルタリングとアクセス コントロールのその他の違いを示します。これは、カスタム プレフィルタリングを設定するかどうかの決定に役立ちます。
カスタム プレフィルタリングを設定しない場合は、アクセス コントロール ポリシーに初期に配置されたブロックおよび信頼ルールにより、プレフィルタ機能に近づけることのみ可能です(複製するのではなく)。
|
特性 |
プレフィルタリング |
アクセス制御 |
詳細 |
|---|---|---|---|
|
主な機能 |
特定のタイプのプレーンテキストのパススルー トンネル(カプセル化の条件を参照)を迅速に高速パス処理またはブロックしたり、後続のインスペクションをそのカプセル化されたトラフィックに適合させたりします。 早期処理による利点が得られる他の接続を高速パス処理またはブロックします。 |
コンテキスト情報やディープ インスペクションの結果など、単純または複雑な基準を使用して、すべてのネットワーク トラフィックを検査および制御します。 |
|
|
実装 |
プレフィルタ ポリシー プレフィルタ ポリシーは、アクセス コントロール ポリシーによって呼び出されます。 |
アクセス コントロール ポリシー アクセス コントロール ポリシーは、マスター構成です。サブポリシーの呼び出しに加えて、アクセス コントロール ポリシーの独自のルールがあります。 |
|
|
アクセス コントロール内のシーケンス |
最初。 トラフィックは、他のすべてのアクセス コントロール構成の前にプレフィルタ基準と照合されます。 |
— |
— |
| ルール アクション |
少ない。 追加のインスペクションを停止したり(高速パス処理とブロック)、他のアクセス コントロールによる追加の分析を許可したり(分析)できます。 |
多い。 アクセス コントロール ルールには、モニタリング、ディープ インスペクション、リセットしてブロック、インタラクティブ ブロッキングなどのさまざまなアクションがあります。 |
|
|
バイパス機能 |
高速パス ルール アクション。 プレフィルタ段階のトラフィックの高速パス処理では、その後のすべてのインスペクションと次のような処理をバイパスします。
|
信頼ルール アクション。 アクセス コントロール ルールによって信頼されるトラフィックのみがディープ インスペクションとディスカバリを免除されます。 |
|
|
ルール基準 |
制限。 プレフィルタ ポリシーのルールでは、単純なネットワーク基準、つまり IP アドレス、VLAN タグ、ポート、およびプロトコルを使用します。 トンネルについては、トンネル エンドポイント条件によって、トンネルの両側にあるネットワーク デバイスのルーテッド インターフェイスの IP アドレスを指定します。 |
堅牢。 アクセス コントロール ルールでは、ネットワーク基準を使用しますが、パケット ペイロードで使用できるユーザ、アプリケーション、要求された URL、およびその他のコンテキスト情報も使用します。 ネットワーク条件によって、送信元と宛先ホストの IP アドレスが指定されます。 |
|
|
IP ヘッダーの使用(トンネル処理) |
最も外側。 外部ヘッダーを使用して、プレーンテキストのパススルー トンネル全体を処理できます。 カプセル化されていないトラフィックについては、プレフィルタリングで引き続き「外部」ヘッダーが使用され、この場合は唯一のヘッダーになります。 |
可能な限り内側。 カプセル化されていないトンネルについては、アクセス コントロールは、トンネル全体ではなく、個々のカプセル化された接続に適用されます。 |
|
|
さらに分析するためのカプセル化された接続の再ゾーン化 |
トンネルされたトラフィックを再ゾーン化します。 トンネル ゾーンにより、後続のインスペクションをプレフィルタされたカプセル化トラフィックに適合させることができます。 |
トンネル ゾーンを使用。 アクセス コントロールでは、プレフィルタリング中に割り当てたトンネル ゾーンを使用します。 |
|
|
接続のロギング |
高速パス処理およびブロックされたトラフィックのみ。許可された接続は、他の構成によってログに記録されることがあります。 |
任意の接続。 |
|
|
サポートされるデバイス |
Firepower Threat Defense のみ。 |
すべて。 |
パススルー トンネルとアクセス制御
プレーン テキスト(暗号化されていない)トンネルでは、複数の接続をカプセル化できます。これらのトンネルは、多くの場合、連続していないネットワーク間をつなぎます。したがって、IP ネットワークでカスタム プロトコルをルーティングする場合や、IPv4 ネットワークで IPv6 トラフィックをルーティングする場合などには特に役立ちます。
外側のカプセル化ヘッダーには、トンネル エンドポイント(トンネルのいずれかの側にあるネットワーク デバイスのルーテッド インターフェイス)の送信元と宛先の IP アドレスが指定されます。内側のペイロード ヘッダーには、カプセル化された接続の実際のエンドポイントの送信元と宛先の IP アドレスが指定されます。
通常、ネットワーク セキュリティ デバイスは、プレーン テキスト トンネルをパススルー トラフィックとして扱います。つまり、ネットワーク セキュリティ デバイスはトンネル エンドポイントのうちの 1 つではないということです。代わりに、ネットワーク セキュリティ デバイスはトンネル エンドポイントの間に展開されて、それらのエンドポイント間を流れるトラフィックをモニタします。
一部のネットワーク セキュリティ デバイスは、外側の IP ヘッダーを使用してセキュリティ ポリシーを適用します。その一例は、(Firepower Threat Defense ではなく)Cisco ASA ソフトウェアを実行する Cisco ASA ファイアウォールです。プレーン テキスト トンネルの場合でも、これらのデバイスはカプセル化された個々の接続とそのペイロードを制御したりその内容を把握したりすることはできません。
それとは対照的に、Firepower システムは以下のようにアクセス制御を活用します。
-
外側のヘッダーの評価:まず、プレフィルタで外側のヘッダーを使用してトラフィックを処理します。この段階で、プレーン テキストのパススルー トンネル全体をブロックすることも、FastPath を適用することもできます。
-
内側のヘッダーの評価:次に、アクセス制御の残り(および QoS などのその他の機能)では、最も内側にあるヘッダーの検出可能レベルを使用して、可能な限り詳細なレベルでインスペクションと処理が行われるようにします。
パススルー トンネルが暗号化されていなければ、システムはこの段階で、カプセル化された個々の接続に対処します。カプセル化されたすべての接続に対処するには、トンネルの再ゾーン分割(トンネル ゾーンおよびプレフィルタリングを参照)を行う必要があります。
アクセス制御では、暗号化されたパススルー トンネルの内容を把握しません。たとえば、アクセス制御ルールは、パススルー VPN トンネルを 1 つの接続と見なします。システムは外側のカプセル化ヘッダーに含まれる情報だけを使用して、トンネル全体を処理します。
)したり編集(
)したりすることもできます。
)をクリックします。
フィードバック