分散ファイアウォールについて
分散ファイアウォールは、ハードウェア支援によるファイアウォールです。これは、Cisco適応型セキュリティ仮想アプライアンス (ASAv) などの Cisco Application Centric Infrastructure (ACI) ファブリック、または Microsegmentation によって Cisco ACI Virtual Edge で作成されたセキュア ゾーンなどのセキュリティ機能を補完しますが、これに代わるものではありません。
分散ファイアウォールが機能するために他のソフトウェアは必要ありません。ただし、分散ファイアウォールを使用するように Cisco Application Policy Infrastructure Controller (APIC) にポリシーを設定する必要があります。
分散ファイアウォールはすべての仮想イーサネット (vEth) ポートでサポートされていますが、kni-opflex、kni-ave-ctrl dpdk インターフェイス、およびすべてのアップリンクポートでは無効です。
分散ファイアウォールの主な機能
機能 |
説明 |
---|---|
ダイナミック パケット フィルタリング (別名ステートフル インスペクション) を提供 |
TCP 接続および FTP 接続の状態を追跡し、既知のアクティブ接続と一致しないパケットをブロックします。インターネットまたは内部ネットワークからのトラフィックは、APIC GUI で設定するポリシーに基づいてフィルタリングされます。 |
分散型 |
vMotion を使用して仮想マシン (VM) を他のサーバーに移動した場合でも、接続を追跡します。 |
SYN ACK 攻撃を阻止 |
プロバイダー VM が SYN-ACK パケットを開始した場合、プロバイダー Cisco ACI Virtual Edge 上の分散ファイアウォールでは、対応するフロー (接続) が作成されていないためこれらのパケットをドロップします。 |
TCP フロー エージングをサポート |
ESTABLISHED 状態の接続は、ポート単位の制限が 75 % のしきい値に達しない限り 2 時間維持されます。このしきい値に達すると、新しい接続によって古い接続 (5 分間以上非アクティブ) が置き換えられる可能性が生じます。 ESTABLISHED TCP 以外の状態の接続は、アイドルまたは非アクティブの時間で 5 分間保持されます。 |
レベル フローに実装される |
TCP 接続上の VM 間のフローを有効にして、パケットごとに TCP/IP 接続を確立する必要性を排除します。 |
特定のトポロジや設定に依存しない |
ローカル スイッチング モードとローカル スイッチングなしモードのいずれかで動作し、VLAN と VXLAN のいずれかを使用します。 |
ハードウェア アシスト型 |
ACI ファブリックでは、Cisco Nexus 9000 リーフ スイッチにポリシーが保存され、パフォーマンスへの影響が回避されます。 |
5 タプル値上の実装に基づく |
送信元と宛先の IP アドレス、送信元と宛先のポート、およびプロトコルを使用してポリシーを実装します。 |
デフォルトで学習モード |
アップグレードを容易にします。Cisco AVS のバージョンがリリース5.2 (1) SV3 (1.5) より前の場合、Cisco AVS から Cisco ACI Virtual Edge に移行する場合、分散ファイアウォールはラーニング モードになっている必要があります。これらのバージョンは、分散ファイアウォールをサポートしていません。 |