プレフィルタリングおよびプレフィルタ ポリシー

プレフィルタリングについて

プレフィルタはアクセス制御の最初のフェーズで、システムがより大きいリソース消費の評価を実行する前に行われます。プレフィルタリングはシンプルかつ高速で、初期に実行されます。プレフィルタリングでは、限定された外部ヘッダーを基準にしてトラフィックを迅速に処理します。内部ヘッダーを使用し、より堅牢なインスペクション機能を備えた後続の評価とこのプレフィルタリングを比較します。

次の目的でプレフィルタリングを設定します。

  • パフォーマンスの向上:インスペクションを必要としないトラフィックの除外は、早ければ早いほど適切です。特定のタイプのプレーン テキストをファストパスまたはブロックし、カプセル化された接続を検査することなく外側のカプセル化ヘッダーに基づいてトンネルをパススルーします。早期処理のメリットがあるその他の接続についても、ファストパスやブロックをすることができます。

  • カプセル化トラフィックに合わせたディープ インスペクションの調整:同じ検査基準を使用してカプセル化接続を後で処理できるように、特定のタイプのトンネルを再区分できます。アクセス制御はプレフィルタ後に内側のヘッダーを使用するため、再区分は必須です。

プレフィルタリングとアクセス コントロール

プレフィルタとアクセス コントロール ポリシーのどちらを使用しても、トラフィックをブロックしたり信頼したりできますが、プレフィルタリングの「信頼」機能の方がより多くのインスペクションをスキップするため、「高速パス」と呼ばれます。次の表ではこれについて説明し、プレフィルタリングとアクセス コントロールのその他の違いを示します。これは、カスタム プレフィルタリングを設定するかどうかの決定に役立ちます。

カスタム プレフィルタリングを設定しない場合は、アクセス コントロール ポリシーに初期に配置されたブロックおよび信頼ルールにより、プレフィルタ機能に近づけることのみ可能です(複製するのではなく)。

特性

プレフィルタリング

アクセス制御

詳細

主な機能

特定のタイプのプレーンテキストのパススルー トンネル(カプセル化の条件を参照)を迅速に高速パス処理またはブロックしたり、後続のインスペクションをそのカプセル化されたトラフィックに適合させたりします。

早期処理による利点が得られる他の接続を高速パス処理またはブロックします。

コンテキスト情報やディープ インスペクションの結果など、単純または複雑な基準を使用して、すべてのネットワーク トラフィックを検査および制御します。

プレフィルタリングについて

実装

プレフィルタ ポリシー

プレフィルタ ポリシーは、アクセス コントロール ポリシーによって呼び出されます。

アクセス コントロール ポリシー

アクセス コントロール ポリシーがメインの構成です。サブポリシーの呼び出しに加えて、アクセス コントロール ポリシーの独自のルールがあります。

プレフィルタ ポリシーについて

アクセス制御への他のポリシーの関連付け

アクセス コントロール内のシーケンス

最初。

トラフィックは、他のすべてのアクセス コントロール構成の前にプレフィルタ基準と照合されます。

ルール アクション

少ない。

追加のインスペクションを停止したり(高速パス処理とブロック)、他のアクセス コントロールによる追加の分析を許可したり(分析)できます。

多い。

アクセス コントロール ルールには、モニタリング、ディープ インスペクション、リセットしてブロック、インタラクティブ ブロッキングなどのさまざまなアクションがあります。

トンネルとプレフィルタ ルールのコンポーネント

アクセス コントロール ルールのアクション

バイパス機能

高速パス ルール アクション。

プレフィルタ段階のトラフィックの高速パス処理では、その後のすべてのインスペクションと次のような処理をバイパスします。

  • セキュリティインテリジェンス

  • アイデンティティ ポリシーによって課される認証要件

  • SSL 復号

  • アクセス コントロール ルール

  • パケット ペイロードのディープ インスペクション

  • 検出

  • レート制限

信頼ルール アクション。

アクセス コントロール ルールによって信頼されるトラフィックのみがディープ インスペクションとディスカバリを免除されます。

アクセス コントロール ルールの概要

ルール基準

制限。

プレフィルタ ポリシーのルールでは、単純なネットワーク基準、つまり IP アドレス、VLAN タグ、ポート、およびプロトコルを使用します。

トンネルについては、トンネル エンドポイント条件によって、トンネルの両側にあるネットワーク デバイスのルーテッド インターフェイスの IP アドレスを指定します。

堅牢。

アクセス コントロール ルールでは、ネットワーク基準を使用しますが、パケット ペイロードで使用できるユーザ、アプリケーション、要求された URL、およびその他のコンテキスト情報も使用します。

ネットワーク条件によって、送信元と宛先ホストの IP アドレスが指定されます。

トンネルとプレフィルタのルール

ルール条件タイプ

IP ヘッダーの使用(トンネル処理)

最も外側。

外部ヘッダーを使用して、プレーンテキストのパススルー トンネル全体を処理できます。

カプセル化されていないトラフィックについては、プレフィルタリングで引き続き「外部」ヘッダーが使用され、この場合は唯一のヘッダーになります。

可能な限り内側。

カプセル化されていないトンネルについては、アクセス コントロールは、トンネル全体ではなく、個々のカプセル化された接続に適用されます。

パススルー トンネルとアクセス制御

さらに分析するためのカプセル化された接続の再ゾーン化

トンネルされたトラフィックを再ゾーン化します。

トンネル ゾーンにより、後続のインスペクションをプレフィルタされたカプセル化トラフィックに適合させることができます。

トンネル ゾーンを使用。

アクセス コントロールでは、プレフィルタリング中に割り当てたトンネル ゾーンを使用します。

トンネル ゾーンおよびプレフィルタリング

接続のロギング

高速パス処理およびブロックされたトラフィックのみ。許可された接続は、他の構成によってログに記録されることがあります。

任意の接続。

ログ可能なその他の接続

サポートされるデバイス

Firepower Threat Defense のみ。

すべて。

プレフィルタリングのベストプラクティス

パススルー トンネルとアクセス制御

プレーン テキスト(暗号化されていない)トンネルでは、複数の接続をカプセル化できます。これらのトンネルは、多くの場合、連続していないネットワーク間をつなぎます。したがって、IP ネットワークでカスタム プロトコルをルーティングする場合や、IPv4 ネットワークで IPv6 トラフィックをルーティングする場合などには特に役立ちます。

外側のカプセル化ヘッダーには、トンネル エンドポイント(トンネルのいずれかの側にあるネットワーク デバイスのルーテッド インターフェイス)の送信元と宛先の IP アドレスが指定されます。内側のペイロード ヘッダーには、カプセル化された接続の実際のエンドポイントの送信元と宛先の IP アドレスが指定されます。

通常、ネットワーク セキュリティ デバイスは、プレーン テキスト トンネルをパススルー トラフィックとして扱います。つまり、ネットワーク セキュリティ デバイスはトンネル エンドポイントのうちの 1 つではないということです。代わりに、ネットワーク セキュリティ デバイスはトンネル エンドポイントの間に展開されて、それらのエンドポイント間を流れるトラフィックをモニタします。

一部のネットワーク セキュリティ デバイスは、外側の IP ヘッダーを使用してセキュリティ ポリシーを適用します。その一例は、(Firepower Threat Defense ではなく)Cisco ASA ソフトウェアを実行する Cisco ASA ファイアウォールです。プレーン テキスト トンネルの場合でも、これらのデバイスはカプセル化された個々の接続とそのペイロードを制御したりその内容を把握したりすることはできません。

それとは対照的に、Firepower システムは以下のようにアクセス制御を活用します。

  • 外側のヘッダーの評価:まず、プレフィルタで外側のヘッダーを使用してトラフィックを処理します。この段階で、プレーン テキストのパススルー トンネル全体をブロックすることも、FastPath を適用することもできます。

  • 内側のヘッダーの評価:次に、アクセス制御の残り(および QoS などのその他の機能)では、最も内側にあるヘッダーの検出可能レベルを使用して、可能な限り詳細なレベルでインスペクションと処理が行われるようにします。

    パススルー トンネルが暗号化されていなければ、システムはこの段階で、カプセル化された個々の接続に対処します。カプセル化されたすべての接続に対処するには、トンネルの再ゾーン分割トンネル ゾーンおよびプレフィルタリングを参照)を行う必要があります。

アクセス制御では、暗号化されたパススルー トンネルの内容を把握しません。たとえば、アクセス制御ルールは、パススルー VPN トンネルを 1 つの接続と見なします。システムは外側のカプセル化ヘッダーに含まれる情報だけを使用して、トンネル全体を処理します。

プレフィルタリングのベストプラクティス

プレフィルタ処理について、次のガイドラインおよび制約事項を考慮してください。

管理ネットワークトラフィック

FTD デバイスをトラバーサルする管理トラフィックを fastpath する必要があります。(アクセス コントロール ポリシーを使用して)管理トラフィックでディープインスペクションを実行すると、問題が発生する可能性があります。

モデルの要件

プレフィルタリングは Firepower Threat Defense デバイス上でのみサポートされています。プレフィルタリングの設定はその他のデバイスに影響しません。

FTD 以外のデバイスでのプレフィルタと同様の機能

従来型デバイス(ASA FirePOWER、NGIPSv)の場合:

  • プレフィルタとほぼ同様の機能を持つ以前から用意されてる信頼およびブロック アクセス コントロール ルールを、機能の違いに留意しつつ使用してください。プレフィルタリングとアクセス コントロールを参照してください。

  • アクセス制御ルールを使用して GRE でカプセル化されたトンネル全体を照合しますが、いくつかの制限事項があります。ポートおよび ICMP コードの条件を参照してください。

  • ハイアベイラビリティでは、GRE v0 や IP4-in-IP などのプレーンテキストトンネルのセッションは、トンネル許可ルールに一致する場合、状態の複製を行います。

カプセル化されたトラフィックの処理のベストプラクティス

このトピックでは、カプセル化されたトラフィックの次のタイプについてガイドラインを説明します。

  • Generic Routing Encapsulation (GRE)

  • Point-to-Point Tunneling Protocol(PPTP)

  • IPinIP

  • IPv6inIP

  • Teredo

GRE v1 および PPTP による外部フロー処理のバイパス

GRE v1(ステートフル GRE とも呼ばれる)および PPTP トラフィックは、外部フロー処理をバイパスします。

パッセンジャフロー処理は GRE v0、IPinIP、IPv6inIP、および Teredo でサポートされていますが、次の制限が適用されます。

  • セッションは、ロードバランシングされていない単一のトンネルを経由する

  • HA またはクラスタリング レプリケーションがない

  • プライマリフローとセカンダリフローの関係は維持されない

  • プレフィルタポリシーのホワイトリストとブラックリストはサポートされない

GRE v0 シーケンス番号フィールドはオプションである必要がある

ネットワーク上でトラフィックを送信するすべてのエンドポイントは、オプションとしてシーケンス番号フィールドを使用して GREv0 トラフィックを送信する必要があります。それ以外の場合、シーケンス番号フィールドは削除されます。RFC 1701 と RFC 2784 はどちらも、シーケンスフィールドをオプションとして指定しています。

トンネルがインターフェイスで機能する方法

プレフィルタおよびアクセス コントロール ポリシー ルールは、ルーテッドインターフェイス、トランスペアレント インターフェイス、インラインセット インターフェイス、インラインタップ インターフェイス、およびパッシブインターフェイスのすべてのトンネルタイプに適用されます。

参考資料

GRE および PPTP プロトコルの詳細については、以下を参照してください。

プレフィルタポリシーの要件と前提条件

モデルのサポート

FTD

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

プレフィルタリングの設定

カスタム プレフィルタリングを実行するには、アクセス コントロールの一部として管理対象デバイスにプレフィルタ ポリシーを設定し、展開します。

ポリシーの編集は、1 つのブラウザウィンドウを使用して、一度に 1 人のみで行う必要があります。複数のユーザが同じポリシーを保存した場合は、最後に保存された変更が保持されます。ユーザにとっての便宜性を考慮して、各ポリシーを現在編集している人(いる場合)の情報が表示されます。セッションのプライバシーを保護するために、ポリシーエディタが非アクティブになってから 30 分後に警告が表示されます。60 分後には、システムにより変更が破棄されます。

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] > [プレフィルタ(Prefilter)]を選択します。

ステップ 2

[新しいポリシー(New Policy)] をクリックして、カスタム プレフィルタ ポリシーを作成します。

新しいプレフィルタ ポリシーには、ルールや、すべてのトンネル トラフィックを分析するデフォルト アクションはありません。新しいプレフィルタ ポリシーでは、ロギングやトンネルの再ゾーン分割は実行されません。既存のポリシーを または することもできます。

ステップ 3

プレフィルタ ポリシーのデフォルト アクションとそのロギング オプションを設定します。

  • デフォルト アクション:サポートされるプレーンテキスト、パススルー トンネルのデフォルト アクションを選択します。[すべてのトンネル トラフィックを分析(Analyze all tunnel traffic)](アクセス コントロールあり)または [すべてのトンネル トラフィックをブロック(Block all tunnel traffic)]。
  • デフォルトアクションのロギング:デフォルトアクションの横にある ロギング[ロギング(logging)] アイコン をクリックします。ポリシーのデフォルト アクションによる接続のロギングを参照してください。デフォルト アクションのロギングは、ブロックされたトンネルに対してのみ設定できます。
ステップ 4

トンネルおよびプレフィルタ ルールを設定します。

カスタム プレフィルタ ポリシーでは、両方の種類のルールを任意の順序で使用できます。照合する特定のタイプのトラフィックおよび実行するアクションまたは追加の分析に応じてルールを作成します。トンネルとプレフィルタのルールを参照してください。

注意     

トンネル ルールを使用してトンネル ゾーンを割り当てる場合は、注意してください。再ゾーン分割されたトンネルでの接続は、後の評価でセキュリティ ゾーンの制約に一致しない可能性があります。詳細については、トンネル ゾーンおよびプレフィルタリングを参照してください。

ルール コンポーネントの設定の詳細については、トンネルとプレフィルタ ルールのコンポーネントおよびルール管理:共通の特性を参照してください。

ステップ 5

ルールの順序を評価します。ルールを移動するには、クリックしてドラッグするか、または右クリック メニューを使用してカット アンド ペーストを実行します。

ルールを適切に作成して順序付けることは複雑な作業ですが、効果的な展開を構築する上で不可欠な作業です。慎重に計画しないと、ルールが他のルールをプリエンプション処理したり、ルールに無効な設定が含まれてしまう可能性があります。詳細については、アクセス制御ルールのベストプラクティスを参照してください。

ステップ 6

プレフィルタ ポリシーを保存します。
ステップ 7

トンネル ゾーンの制約をサポートする設定では、再ゾーン分割されたトンネルを適切に処理します。

トンネル ゾーンを送信元ゾーンの制約として使用して、再ゾーン分割されたトンネルでの接続を照合します。インターフェイス条件の設定を参照してください。
ステップ 8

プレフィルタ ポリシーを管理対象デバイスに展開されたアクセス コントロール ポリシーに関連付けます。

アクセス制御への他のポリシーの関連付けを参照してください。

ステップ 9

設定変更を展開します。設定変更の展開を参照してください。

(注)   

プレフィルタポリシーを展開しても、そのルールは既存のトンネルセッションに適用されません。したがって、既存の接続のトラフィックは、展開された新しいポリシーでバインドされません。また、ポリシーヒットカウントは、ポリシーに一致する接続の最初のパケットに対してのみ増加します。したがって、ポリシーに一致する可能性がある既存の接続のトラフィックは、ヒットカウントから除外されます。ポリシールールを効果的に適用するには、既存のトンネルセッションをクリアしてからポリシーを展開します。

プレフィルタ ポリシーについて

プレフィルタリングは、ポリシーベースの機能です。Firepower システムでは、アクセス コントロール ポリシーは、プレフィルタポリシーを含む、サブポリシーとその他の設定を呼び出すメイン設定です。

ポリシー コンポーネント:ルールとデフォルト アクション

プレフィルタ ポリシーでは、トンネル ルールプレフィルタ ルールデフォルト アクションに基づいてネットワーク トラフィックを処理します。

  • トンネル ルールとプレフィルタ ルール:最初にプレフィルタ ポリシーのルールが、指定した順序でトラフィックを処理します。トンネル ルールは指定のトンネルのみを照合するもので、再ゾーニングをサポートします。プレフィルタ ルールはより広範囲の制約を設けるもので、再ゾーニングをサポートしていません。詳細については、トンネルとプレフィルタのルールを参照してください。

  • デフォルト アクション(トンネルのみ):トンネルがどのルールとも一致しない場合は、デフォルト アクションによって処理されます。デフォルト アクションは、そのトンネルをブロックするか、あるいは個々のカプセル化された接続のアクセス制御を継続します。デフォルト アクションでトンネルの再ゾーニングを行うことはできません。

    カプセル化されていないトラフィックに対するデフォルト アクションはありません。カプセル化されていない接続がどのプレフィルタ ルールにも一致しない場合、システムはアクセス制御を継続します。

接続ロギング

プレフィルタ ポリシーで FastPath された接続およびブロックされた接続のログを記録することができます。ログ可能なその他の接続を参照してください。

接続イベントには、すべてのトンネルを含め、ロギングされる接続がプレフィルタ処理されるのかどうか、また、どのようなプレフィルタ処理を行うのかに関する情報が含まれています。この情報は、イベント表示(ワークフロー)、ダッシュボード、およびレポートで表示することができ、相関基準として使用できます。FastPath された接続やブロックされた接続は、ディープ インスペクションの対象外であるため、これらの接続に関連する接続イベントに含まれる情報は限定的となります。

デフォルト プレフィルタ ポリシー

すべてのアクセス コントロール ポリシーにプレフィルタ ポリシーが関連付けられています。

カスタム プレフィルタリングを設定しなければ、システムはデフォルト ポリシーを使用します。このシステム提供のポリシーの初期設定では、すべてのトラフィックをアクセス制御の次のフェーズに渡します。デフォルト ポリシーのデフォルト アクションを変更し、ロギングのオプションを設定することはできますが、ルールの追加や削除はできません。

プレフィルタ ポリシーの継承とマルチテナンシー

アクセス制御は、マルチテナンシーを補完する階層型実装となっています。プレフィルタ ポリシーの関連付けは、その他の詳細設定と同様にロックすることが可能で、これによりすべての子孫アクセス コントロール ポリシーでこの関連付けが強制的に継承されます。詳細については、アクセス コントロール ポリシーの継承を参照してください。

マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。デフォルト プレフィルタ ポリシーは、グローバル ドメインに属しています。

トンネルとプレフィルタのルール

トンネルとプレフィルタのどちらのルールを設定するかは、照合するトラフィックのタイプと、実行するアクションや詳細な分析によって異なります。

特性

トンネル ルール

プレフィルタ ルール

主な機能

プレーン テキストのパススルー トンネルをすばやく高速パス化、ブロック、または再ゾーニングします。

初期段階の操作の影響を受ける他の接続をすばやく高速パス化またはブロックします。

カプセル化とポート/プロトコル条件

カプセル化の条件は、カプセル化の条件 にリストされる選択済みプロトコルについて、プレーン テキスト トンネルのみと照合されます。

ポート条件では、トンネル ルールより広範囲のポートおよびプロトコル制約を使用できます。ポートおよび ICMP コードの条件を参照してください。

ネットワーク条件

トンネル エンドポイント条件は、処理対象にするトンネルのエンドポイントを制約します。トンネル エンドポイント条件を参照してください。

ネットワーク条件は、各接続の送信元ホストと宛先ホストを制約します。ネットワーク条件を参照してください。

方向(Direction)

双方向または単方向(構成可)。

トンネル ルールはデフォルトで双方向であるため、トンネル エンドポイント間のすべてのトラフィックを処理できます。

単方向のみ(構成不可)。

プレフィルタ ルールは、送信元から宛先へ送信されるトラフィックのみと照合されます。

詳細分析のためのセッションの再ゾーニング

トンネル ゾーンを使用する場合にサポートされます。トンネル ゾーンおよびプレフィルタリングを参照してください。

サポート対象外。

トンネルとプレフィルタ ルールのコンポーネント

状態(有効/無効)

デフォルトでは、ルールは有効になっています。ルールを無効にすると、システムはそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。

位置(Position)

ルールの番号は 1 から始まります。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールは、ルール タイプ(トンネルまたはプレフィルタ)に関係なく、そのトラフィックを処理するルールです。

操作

ルールのアクションによって、一致したトラフィックの処理とログ記録の方法が決まります。

  • [高速パス(Fastpath)]:アクセス制御、ID 要件、レート制限を含む、すべての詳細な検査および制御の対象から、一致するトラフィックを除外します。トンネルを高速パス化すると、すべてのカプセル化された接続が高速パス化されます。

  • [ブロック(Block)]:どのような種類の検査も行わずにトラフィックを照合します。トンネルをブロックすると、カプセル化されたすべての接続がブロックされます。

  • [分析(Analyze)]:残りのアクセス制御で内部ヘッダーを使用して引き続きトラフィックを分析できるようにします。アクセス制御および関連するディープ インスペクションによって渡された場合、このトラフィックはレート制限も行われる場合があります。トンネル ルールの場合は、[トンネル ゾーンの割り当て(Assign Tunnel Zone)] オプションを指定して、再ゾーニングを有効にします。

方向(トンネル ルールのみ)

トンネル ルールの方向によって、システムの送信元と宛先の条件に従った処理方法が決まります。

  • 送信元からのトンネルのみを照合します(単方向)。送信元から宛先へ送信されるトラフィックのみを照合します。一致するトラフィックは、指定された送信元インターフェイスまたはトンネル エンドポイントから発信され、宛先インターフェイスまたはトンネル エンドポイントを通過する必要があります。

  • 送信元と宛先からのトンネルを照合します(双方向)。送信元から宛先へ送信されるトラフィックと宛先から送信元へ送信されるトラフィックの両方を照合します。この効果は、単方向のルールを 2 つ作成した場合と同じで、一方のルールがもう一方のルールのミラーとなります。

プレフィルタ ルールは常に単方向です。

トンネル ゾーンの割り当て(トンネル ルールのみ)

トンネル ルールで、トンネル ゾーン(既存のゾーンまたはオンザフライで作成したゾーン)を割り当てると、一致するゾーンが再ゾーニングされます。再ゾーニングするには、分析アクションが必要です。

トンネルを再ゾーニングすると、アクセス制御ルールなどの他の構成で、すべてのトンネルのカプセル化された接続の所属先が同じであると認識させることができます。トンネルに割り当てられたトンネル ゾーンをインターフェイスの制約として使用すると、カプセル化された接続に合わせた検査を実行することができます。詳細については、トンネル ゾーンおよびプレフィルタリングを参照してください。


注意    

トンネル ゾーンを割り当てるときには注意が必要です。再ゾーニングされたトンネルの接続は、後から実行される評価でセキュリティ ゾーンの制約と一致しないことが検出される可能性があります。トンネル ゾーン実装の簡単なウォークスルーと、再ゾーニングするトラフィックを明示的に処理せずに再ゾーニングする理由については、トンネル ゾーンの使用を参照してください。

条件

条件は、ルールが処理する特定のトラフィックを指定します。トラフィックは、ルールのすべての条件と一致し、ルールと一致する必要があります。各条件の種類には、ルール エディタ内に独自のタブがあります。

トラフィックをプレフィルタするには、次の外部ヘッダー制約を使用します。

トンネル ルールは、カプセル化プロトコルで制約する必要があります。

ログ

システムが記録する処理済みトラフィックのレコードは、ルールのロギング設定によって管理します。

トンネルとプレフィルタのルールでは、高速パスが適用されたトラフィックとブロックされたトラフィック([高速パス(Fastpach)] と [ブロック(Block)] のアクション)をログに記録することができます。詳細分析([分析(Analyze)] アクション)の対象となるトラフィックでは、一致する接続が他の構成で記録されている可能性がありますが、プレフィルタ ポリシーでのログ記録は無効になります。ロギングは、カプセル化フローではなく、内部フローで実行されます。詳細については、トンネル ルールおよびプレフィルタ ルールによる接続のロギングを参照してください。

説明

ルールで変更を保存するたびに、コメントを追加することができます。たとえば、他のユーザのために設定全体を要約したり、ルールの変更時期と変更理由を記載することができます。

ルールを保存した後で、これらのコメントを編集または削除することはできません。

トンネル ゾーンおよびプレフィルタリング

トンネル ゾーンを使用すれば、プレフィルタリングを使って後続のトラフィック処理をカプセル化された接続に合わせることができます。

システムは通常最も内側の検出可能なレベルのヘッダーを使用してトラフィックを処理するため、特殊なメカニズムが必要になります。これにより、可能な限りきめ細かなインスペクションが保証されます。ただし、これは、パススルー トンネルが暗号化されていない場合、システムは個々のカプセル化された接続に対して処理を行うことも意味しています。パススルー トンネルとアクセス制御を参照してください。

トンネル ゾーンはこの問題を解決します。アクセス制御の最初のフェーズ(プレフィルタリング)で、特定のタイプのプレーン テキスト、パススルー トンネルを識別するために、外側のヘッダーを使用することができます。次に、それらのトンネルは、カスタム トンネル ゾーンを割り当てることで再ゾーン化できます。

トンネルを再ゾーニングすると、アクセス制御ルールなどの他の構成で、すべてのトンネルのカプセル化された接続の所属先が同じであると認識させることができます。トンネルに割り当てられたトンネル ゾーンをインターフェイスの制約として使用すると、カプセル化された接続に合わせた検査を実行することができます。

トンネル ゾーンは、その名称にもかかわらず、セキュリティ ゾーンではありません。トンネル ゾーンは、インターフェイスの一式を表すわけではありません。トンネル ゾーンは、場合によっては、カプセル化された接続に関連付けられているセキュリティ ゾーンに置き換わるタグとして考える方がより正確です。


注意    

トンネル ゾーンの制約をサポートする設定の場合、再ゾーン化されたトンネル内の各接続はセキュリティ ゾーンの制約とは一致しません。たとえば、トンネルを再ゾーン化した後、アクセス コントロール ルールでは、そのカプセル化された各接続を、それらの新しく割り当てられたトンネル ゾーンと突き合わせることができますが、元のセキュリティ ゾーンと突き合わせることはできません。

トンネル ゾーンの導入の簡潔なウォークスルー、および再ゾーン化されたトラフィックを明示的に処理せずに再ゾーン化することの影響の説明については、トンネル ゾーンの使用を参照してください。

トンネル ゾーンの制約をサポートする設定

トンネル ゾーンの制約をサポートするのは、アクセス コントロール ルールだけです。

他のどの設定もトンネル ゾーンの制約をサポートしません。たとえば、QoS を使用してプレーン テキスト トンネル全体をレート制限することはできず、個々のカプセル化されたセッションをレート制限できるだけです。

トンネル ゾーンの使用

この例の手順は、トンネル ゾーンを使用してさらに分析するために GRE トンネルを再ゾーン化する方法をまとめたものです。この例で説明されている概念は、プレーンテキストのパススルー トンネルにカプセル化された接続に合わせてトラフィック インスペクションを調整する必要があるシナリオにも適応できます。

組織の内部トラフィックが信頼済みセキュリティ ゾーンを通過する FirePOWER システムの展開について考えてみましょう。信頼済みセキュリティ ゾーンは、さまざまな場所に展開された複数の管理対象デバイス間における一連のセンシング インターフェイスを表します。組織のセキュリティ ポリシーでは、エクスプロイトとマルウェアのディープ インスペクション後の内部トラフィックを許可する必要があります。

内部トラフィックには、特定のエンドポイント間のプレーンテキストのパススルー GRE トンネルが含まれている場合があります。このカプセル化されたトラフィックのトラフィック プロファイルは、「通常」の局間アクティビティとは異なるため(おそらく既知かつ無害)、セキュリティ ポリシーに従いながら、特定のカプセル化された接続のインスペクションを制限できます。

この例では、構成の変更を展開した後、次のようになります。

  • 信頼済みゾーンで検出されたプレーンテキストのパススルー GRE カプセル化トンネルは、個別のカプセル化接続が 1 セットの侵入およびファイル ポリシーによって評価されます。

  • 信頼済みゾーンの他のすべてのトラフィックは、侵入およびファイル ポリシーの別のセットで評価されます。

このタスクは、GRE トンネルの再ゾーン化によって実行します。再ゾーン化を実行すると、アクセス コントロールによって、GRE カプセル化接続が元の信頼済みセキュリティ ゾーンではなくカスタム トンネル ゾーンに関連付けられます。再ゾーン化が必要になるのは、FirePOWER システムとアクセス コントロールが、カプセル化されたトラフィックを処理する方法によります。パススルー トンネルとアクセス制御およびトンネル ゾーンおよびプレフィルタリングを参照してください。

手順

ステップ 1

カプセル化されたトラフィック向けのディープ インスペクションを実行するカスタムの侵入およびファイル ポリシーを設定し、カプセル化されていないトラフィックには別の侵入およびファイル ポリシーのセットを設定します。

ステップ 2

信頼済みセキュリティ ゾーンを通過する GRE トンネルを再ゾーン化するようにカスタム プレフィルタリングを設定します。

カスタム プレフィルタ ポリシーを作成し、アクセス コントロールに関連付けます。そのカスタム プレフィルタ ポリシーで、トンネル ルール(この例では GRE_tunnel_rezone)と対応するトンネル ゾーン(GRE_tunnel)を作成します。詳細については、プレフィルタリングの設定を参照してください。

表 1. GRE_tunnel_rezone トンネル ルール

ルール コンポーネント

説明

インターフェイス オブジェクト条件

信頼済みセキュリティ ゾーンを送信元インターフェイス オブジェクトと宛先インターフェイス オブジェクトの両方の制約として使用して、内部のみのトンネルを照合します。

トンネル エンドポイント条件

組織で使用されている GRE トンネルの送信元と宛先のエンドポイントを指定します。

トンネル ルールは、デフォルトでは双方向です。[トンネルの照合(Match tunnels from)] オプションを変更しない場合は、どのエンドポイントを送信元として指定し、どのエンドポイントを宛先として指定するかは重要ではありません。

カプセル化条件

GRE トラフィックを照合します。

トンネル ゾーンの割り当て

GRE_tunnel トンネル ゾーンを作成し、ルールに一致するトンネルに割り当てます。

操作

(残りのアクセス コントロールで)分析します。
ステップ 3

再ゾーン化されたトンネルの接続を処理するようにアクセス コントロールを設定します。

管理対象デバイスに展開されたアクセス コントロール ポリシーでは、再ゾーン化したトラフィックを処理するルール(この例では GRE_inspection)を設定します。詳細については、アクセスコントロールルールの作成および編集を参照してください。

表 2. GRE_inspection アクセス コントロール ルール

ルール コンポーネント

説明

セキュリティ ゾーン条件

GRE_tunnel セキュリティゾーンを送信元ゾーン制約として使用して、再ゾーン化されたトンネルを照合しますインターフェイス条件を参照してください。

操作

ディープ インスペクションを有効にして許可します。

カプセル化された内部トラフィックのインスペクションを実行するように調整されたファイルおよび侵入ポリシーを選択します。
注意     

この手順をスキップすると、再ゾーン化された接続は、セキュリティ ゾーンによって制約されていない任意のアクセス コントロール ルールに一致する場合があります。再ゾーン化された接続がどのアクセス コントロール ルールにも一致しない場合は、アクセス コントロール ポリシーのデフォルト アクションによって処理されます。意図してそのようにしていることを確認してください。

ステップ 4

信頼済みセキュリティ ゾーンを通過するカプセル化されていない接続を処理するようにアクセス コントロールを設定します。

同じアクセス コントロール ポリシーで、信頼済みセキュリティ ゾーン内の再ゾーン化されていないトラフィックを処理するルール(この例では internal_default_inspection)を設定します。

表 3. internal_default_inspection アクセス コントロール ルール

ルール コンポーネント

説明

セキュリティ ゾーン条件

信頼済みセキュリティ ゾーンを送信元ゾーンと宛先ゾーンの両方の制約として使用して、再ゾーン化されていない内部のみのトラフィックを照合します。

操作

ディープ インスペクションを有効にして許可します。

カプセル化されていない内部トラフィックのインスペクションを実行するように適合されたファイルおよび侵入ポリシーを選択します。
ステップ 5

既存のルールに対して相対的な新しいアクセス コントロール ルールの位置を評価します。ルールの順序を必要に応じて変更します。

2 つの新しいアクセス コントロール ルールを隣同士に配置した場合は、最初にどちらを配置するかは重要ではありません。GRE トンネルを再ゾーン化したため、2 つのルールは互いをプリエンプション処理することはできません。
ステップ 6

すべての変更された構成を保存します。

次のタスク

トンネル ゾーンの作成

手順

ステップ 1

[オブジェクト(Objects)] > [オブジェクト管理(Object Management)]を選択します。

ステップ 2

オブジェクト タイプのリストから [トンネル ゾーン(Tunnel Zone)] を選択します。

ステップ 3

[トンネル ゾーンの追加(Add Tunnel Zone)] をクリックします。

ステップ 4

[名前(Name)] を入力し、必要に応じて [説明(Description)] を入力します。

ステップ 5

[保存(Save)] をクリックします。

次のタスク

  • カスタム事前フィルタリングの一部として、トンネル ゾーンをプレーン テキストのパススルー トンネルに割り当てます。プレフィルタリングの設定を参照してください。

プレフィルタ ポリシーのヒット カウント

ヒット カウントは、一致する接続に対してポリシー ルールがトリガーされた回数を示します。

プレフィルタ ポリシー ヒット カウントの表示に関する詳細詳細については、ポリシー ヒット カウントの表示を参照してください。

大規模フローのオフロード

FXOS を実行するデバイス(Firepower 4100/9300 シャーシなど)では、プレフィルタポリシーによってファストパスされるように設定した特定のトラフィックは、Firepower Threat Defense ソフトウェアではなくハードウェア(具体的には NIC 内)で処理されます。これらの接続フローをオフロードすると、特に大規模なファイル転送などのデータ集約型アプリケーションの場合、スループットが向上し、遅延が減少します。この機能は、データセンターで特に役立ちます。これは、静的フロー オフロードと呼ばれます。

さらに、デフォルトでは、Firepower Threat Defense デバイスは信頼を含む他の基準に基づいてフローをオフロードします。これは、動的フロー オフロードと呼ばれます。

オフロードされたフローは、引き続き制限付きステートフル インスペクション(基本的な TCP フラグおよびオプションのチェックなど)を受信します。システムは必要に応じてさらなる処理のためにファイアウォール システムへのパケットを選択的に増やすことができます。

大規模フローをオフロードすることでメリットが得られるアプリケーションの例は次のとおりです。

  • ハイパフォーマンス コンピューティング(HPC)調査サイト。ここでは、Firepower Threat Defense デバイスがストレージと高コンピューティング ステーション間で展開されます。1 つの調査サイトが NFS 経由の FTP ファイル転送またはファイル同期を使用してバックアップを行うと、大量のデータ トラフィックがすべての接続に影響を与えます。NFS を介する FTP ファイル転送およびファイル同期のオフロードによって、他のトラフィックへの影響が軽減されます。

  • 主にコンプライアンス目的で使用される High Frequency Trading(HFT)。ここでは、Firepower Threat Defense デバイスがワークステーションと Exchange 間で展開されます。セキュリティは通常は問題にはなりませんが、遅延は大きな問題です。

次のフローをオフロードできます。

  • (静的フロー オフロードのみ)プレフィルタポリシーにより FastPath される接続。

  • 標準または 802.1Q タグ付きイーサネット フレームのみ。

  • (動的フローオフロードのみ):

    • インスペクション エンジンが検査の必要がなくなったと判断した検査済みのフロー。これらのフローには次が含まれます。

      • 信頼アクションを適用し、セキュリティゾーン、送信元と宛先のネットワーク、およびポートの一致のみに基づくアクセスコントロールルールによって処理されるフロー。

      • SSL ポリシーを使用した復号化に選択されていない TLS/SSL フロー。

      • インテリジェント アプリケーション バイパス(IAB)ポリシーで、明示的か、またはフロー バイパスのしきい値を超えているために信頼されているフロー。

      • ファイル ポリシーまたは信頼ポリシーに一致し、そのフローが信頼できると判断されたフロー。

      • 検査する必要がなくなった許可されたフロー。

    • 次の IPS プリプロセッサが検査したフロー:

      • SSH および SMTP。

      • FTP プリプロセッサのセカンダリ接続。

      • Session Initiation Protocol(SIP)プリプロセッサのセカンダリ接続。

    • キーワードを使用する侵入ルール(オプションとも呼ばれる)。


重要

上記の詳細、例外、および制限については、フロー オフロードの制限事項を参照してください。

静的フロー オフロードの使い方

ハードウェアに適格なトラフィックをオフロードするには、FastPath アクションを適用するプレフィルタポリシールールを作成します。TCP/UDP にはプレフィルタ ルールを使用し、GRE にはトンネル ルールを使用します。

(推奨されていません。)静的フローオフロードを無効にし、副産物として動的フローオフロードを無効にするには、FlexConfig を使用して no flow-offload enable コマンドを実行します。展開後、デバイスをリロードして変更を実装する必要があります。このコマンドの詳細については、https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-command-reference-list.html から入手可能な『Cisco ASA Series Command Reference』を参照してください。

動的フロー オフロードの使い方

動的フロー オフロードはデフォルトで有効です。

動的オフロードを無効にするには: 

> configure flow-offload dynamic whitelist disable
動的オフロードを再度有効にするには: 
> configure flow-offload dynamic whitelist enable

動的オフロードは、事前フィルタリングが構成されているかどうかに関係なく、静的フローオフロードが有効になっている場合にのみ発生することに注意してください。

フロー オフロードの制限事項

すべてのフローをオフロードできるわけではありません。オフロードの後でも、フローを特定の条件下でのオフロードから除外することができます。次に、制限事項の一部を示します。

オフロードできないフロー

次のタイプのフローはオフロードできません。

  • IPv6 アドレッシングなど、IPv4 アドレッシングを使用しないフロー。

  • TCP、UDP、GRE 以外のプロトコルに対するフロー。


    (注)  

    PPTP GRE 接続はオフロードできません。

  • パッシブ、インラインまたはインライン タップ モードで設定されたインターフェイス上のフロー。ルーテッドインターフェイスおよびスイッチドインターフェイスがサポートされている唯一のタイプです。

  • Snort またはその他のインスペクション エンジンによるインスペクションが必要なフロー。FTP など場合によっては、コントロール チャネルはオフロードできませんがセカンダリ データ チャネルはオフロードできます。

  • デバイスで終端する IPsec および TLS/DTLS VPN 接続。

  • 暗号化または復号を必要とするフロー。たとえば、SSL ポリシー によって復号化される接続です。

  • ルーテッド モードのマルチキャスト フロー。ブリッジグループにメンバーインターフェイスが 2 つしかない場合、トランスペアレントモードでサポートされます。

  • TCP インターセプト フロー。

  • TCP ステートバイパスフロー。同じトラフィックにフローオフロードと TCP ステートバイパスを設定することはできません。

  • セキュリティ グループでタグ付けされたフロー。

  • クラスタで非対称フローが発生した場合に備えて、別のクラスタ ノードから転送されるリバース フロー。

  • クラスタ内の一元化されたフロー(フローのオーナーが制御ユニットでない場合)。

  • IP オプションを含むフローは動的にオフロードできません。

その他の制限事項

  • フローオフロードとデッド接続検出(DCD)は互換性がありません。オフロードできる接続に DCD を設定しないでください。

  • フローオフロード条件に一致する複数のフローがキューイングされて、ハードウェア上の同じ場所に同時にオフロードされる場合、最初のフローのみがオフロードされます。他のフローは通常どおりに処理されます。これをコリジョン(衝突)といいます。この状況の統計を表示するには、CLI で show flow-offload flow コマンドを使用します。

  • ダイナミック フローのオフロードによってすべての TCP ノーマライザのチェックが無効になります。

オフロードを無効にする条件

フローがオフロードされた後、フロー内のパケットは次の条件を満たす場合に FTD に返され、さらに処理されます。

  • タイムスタンプ以外の TCP オプションが含まれている。

  • フラグメント化されている。

  • これらは等コスト マルチパス(ECMP)ルーティングの対象であり、入力パケットは 1 つのインターフェイスから別のインターフェイスに移動する。