À propos du préfiltrage
Le préfiltre est la première phase du contrôle d’accès, avant que le système n'effectue des évaluations plus exigeantes en ressources. Le préfiltrage est simple, rapide et précoce. Le préfiltre utilise des critères d’en-tête externe limités pour gérer rapidement le trafic. Comparez cela à l’évaluation ultérieure, qui utilise des en-têtes internes et possède des capacités d’inspection plus robustes.
Configurez le préfiltre afin d' :
-
Améliorer les performances : plus vous excluez tôt le trafic qui ne nécessite pas d’inspection, mieux c’est. Vous pouvez utiliser un fastpath ou bloquer certains types de tunnels relais en texte brut en fonction de leurs en-têtes d’encapsulation externes, sans inspecter leurs connexions encapsulées. Améliorer les performances : vous pouvez accélérer ou bloquer toutes les autres connexions qui bénéficient d'un traitement anticipé.
-
Adapter l’inspection approfondie au trafic encapsulé : vous pouvez modifier le zonage de certains types de tunnels afin de pouvoir gérer ultérieurement leurs connexions encapsulées en utilisant les mêmes critères d’inspection. Un changement de zonage est nécessaire, car après le préfiltre, le contrôle d’accès utilise les en-têtes internes.
À propos des règles du préfiltre
Le préfiltre est une fonctionnalité basée sur des politiques. Pour l’affecter à un périphérique, vous l’affectez à la politique de contrôle d’accès qui est affectée au périphérique.
Composants de la politique : règles et action par défaut
Dans une politique de préfiltre, les règles de tunnel, les règles de préfiltre et une action par défaut gèrent le trafic réseau :
-
Règles de tunnel et de préfiltre : tout d’abord, les règles d’une politique de préfiltre gèrent le trafic dans l’ordre que vous spécifiez. Les règles de tunnel correspondent uniquement à des tunnels spécifiques et prennent en charge le changement de zonage. Les règles de préfiltre ont un éventail de contraintes plus large et ne prennent pas en charge le changement de zonage. Pour en savoir plus, consultez Règles de tunnel par rapport aux règles de préfiltre.
-
Action par défaut (tunnels uniquement) : si un tunnel ne correspond à aucune règle, l’action par défaut le gère. L’action par défaut peut bloquer ces tunnels ou continuer le contrôle d’accès sur leurs connexions encapsulées individuelles. Vous ne pouvez pas modifier le zonage des tunnels avec l’action par défaut.
Il n’y a pas d’action par défaut pour le trafic non encapsulé. Si une connexion non encapsulée ne correspond à aucune règle de préfiltre, le système poursuit le contrôle d’accès.
Journalisation des connexions
Vous pouvez consigner les connexions accélérées et bloquées par la politique de préfiltre.
Les événements de connexion contiennent des informations indiquant si et comment les connexions enregistrées, y compris des tunnels entiers, ont été préfiltrées. Vous pouvez afficher ces informations dans des vues d’événements (flux de travail), des tableaux de bord et des rapports, et les utiliser comme critères de corrélation. Gardez à l’esprit que, comme les connexions bloquées et les connexions accélérées ne sont pas soumises à une inspection approfondie, les événements de connexion associés contiennent des informations limitées.
Politique de préfiltre par défaut
Chaque politique de contrôle d’accès est associée à une politique de préfiltre.
Le système utilise une politique par défaut si vous ne configurez pas de préfiltre personnalisé. Au départ, cette politique fournie par le système transmet tout le trafic à la phase suivante de contrôle d’accès. Vous pouvez modifier l’action par défaut de la politique et configurer ses options de journalisation, mais vous ne pouvez pas y ajouter de règles ni la supprimer.
Héritage des politiques de préfiltre et multidétention
Le contrôle d’accès utilise une implémentation hiérarchique qui complète l’architecture multi-détenteur. Entre autres paramètres avancés, vous pouvez verrouiller une association de politiques de préfiltre, appliquant cette association dans toutes les politiques de contrôle d’accès descendantes. Pour en savoir plus, consultez Héritage de la politique de contrôle d’accès.
Dans un déploiement multidomaine, le système affiche les politiques créées dans le domaine actuel, que vous pouvez modifier. Il affiche également les politiques créées dans les domaines ancêtres, que vous ne pouvez pas modifier. Pour afficher et modifier les politiques créées dans un domaine inférieur, basculez vers ce domaine. La politique de préfiltre par défaut appartient au domaine global.
Règles de tunnel par rapport aux règles de préfiltre
La configuration d’une règle de tunnel ou de préfiltre dépend du type de trafic que vous souhaitez mettre en correspondance et des actions ou de l’analyse plus approfondie que vous souhaitez effectuer.
Caractéristiques |
Règles de tunnel |
Règles du préfiltre |
---|---|---|
Fonction principale |
Fastpath, blocage ou changement de zonage en texte brut, tunnels d’intercommunication. |
Vous pouvez rapidement accélérer le trafic ou bloquer toute autre connexion bénéficiant d'un traitement anticipé. |
Critères d’encapsulation et de port/protocole |
Les conditions d’encapsulation correspondent uniquement aux tunnels de texte en clair sur les protocoles sélectionnés, répertoriés dans Conditions des règles d’encapsulation. |
Les conditions de port peuvent utiliser un éventail plus large de contraintes de port et de protocole que les règles de tunnel; voir Conditions de règle de port, de protocole et de code ICMP. |
Critères de réseau |
Les conditions de point terminal du tunnel contraignent les points terminaux des tunnels que vous souhaitez gérer; voir Conditions des règles de réseau. |
Les conditions du réseau limitent les hôtes source et de destination dans chaque connexion. voir Conditions des règles de réseau. |
Direction |
Bidirectionnel ou unidirectionnel (configurable). Les règles de tunnel sont bidirectionnelles par défaut, de sorte qu’elles peuvent gérer tout le trafic entre les points de terminaison du tunnel. |
Unidirectionnel seulement (non configurable). Les règles de préfiltre correspondent uniquement au trafic de la source à la destination. |
Sessions de modification de zone pour une analyse plus approfondie |
Pris en charge, utilisation de zones de tunnel; voir Zones de tunnel et préfiltrage. |
Non pris en charge. |
Préfiltrage ou contrôle d’accès
Les politiques de préfiltre et de contrôle d’accès vous permettent tous deux de bloquer et de faire confiance au trafic, bien que la fonctionnalité de « confiance » de préfiltre soit appelée « fastpathing » car elle saute davantage d’inspections. Le tableau suivant explique cela et d’autres différences entre le préfiltre et le contrôle d’accès, pour vous aider à décider s’il faut configurer le préfiltrage personnalisé.
Si vous ne configurez pas le préfiltre personnalisé, vous ne pouvez qu’approcher la fonctionnalité de préfiltre, et non la reproduire, grâce aux règles de blocage et de confiance placées tôt dans la politique de contrôle d’accès.
Caractéristiques |
Préfiltrage |
Contrôle d’accès |
Pour plus de renseignements, consultez... |
---|---|---|---|
Fonction principale |
Fastpath ou blocage rapide de certains types de textes en clair, tunnels d’intercommunication (voir Conditions des règles d’encapsulation), ou adapter l’inspection ultérieure à leur trafic encapsulé. Accélérez ou bloquez toutes les autres connexions qui bénéficient d'un traitement anticipé. |
Inspectez et contrôlez l’ensemble du trafic réseau à l’aide de critères simples ou complexes, notamment des informations contextuelles et les résultats d’une inspection approfondie. |
|
Mise en œuvre |
Politique de préfiltre. La politique de préfiltre est appelée par la politique de contrôle d’accès. |
Politique de contrôle d'accès. La politique de contrôle d’accès est une configuration principale. En plus d’appeler des sous-politiques, les politiques de contrôle d’accès ont leurs propres règles. |
|
Séquence dans le contrôle d’accès |
Tout d’abord. Le système fait correspondre le trafic aux critères du préfiltre avant toutes les autres configurations de contrôle d’accès. |
— |
— |
Actions découlant d’une règle |
Moins souvent. Vous pouvez interrompre la poursuite de l’inspection (Fastpath et Blocking) ou autoriser une analyse plus approfondie avec le reste du contrôle d’accès (Analyze). |
Autre. Les règles de contrôle d’accès ont une plus grande variété d’actions, y compris la surveillance, l’inspection approfondie, le blocage avec réinitialisation et le blocage interactif. |
|
Capacité de contournement |
Action de la règle Fastpath Le trafic d’acheminement rapide à l’étape de préfiltre contourne toute inspection et tout traitement ultérieurs, notamment :
|
Action de la règle Trust (confiance). Le trafic approuvé par les règles de contrôle d’accès est uniquement exempté de l’inspection et de la découverte approfondies. |
|
Critères de règle |
Limités. Les règles de la politique de préfiltre utilisent des critères de réseau simples : adresse IP, balise VLAN, port et protocole. Pour les tunnels, les conditions de point terminal du tunnel précisent l’adresse IP des interfaces routées des périphériques réseau de chaque côté du tunnel. |
Robuste. Les règles de contrôle d’accès utilisent des critères de réseau, mais aussi sur l’utilisateur, l’application, l’URL demandée et d’autres informations contextuelles disponibles dans les charges utiles de paquets. Les conditions du réseau précisent l’adresse IP des hôtes source et de destination. |
Règles de tunnel par rapport aux règles de préfiltre |
En-têtes IP utilisés (gestion du tunnel) |
Le plus à l’extérieur. L’utilisation d’en-têtes externes vous permet de gérer l’ensemble des tunnels d’intercommunication en texte brut. Pour le trafic non encapsulé, le préfiltre utilise toujours des en-têtes « externes », qui dans ce cas sont les seuls en-têtes. |
Le plus possible à l'intérieur. Pour un tunnel non chiffré, le contrôle d’accès agit sur ses connexions encapsulées individuelles, et non sur le tunnel dans son ensemble. |
|
Rezonage des connexions encapsulées en vue d'une analyse plus approfondie |
Rezonage du trafic tunnelisé. Les zones de tunnel vous permettent d’adapter l’inspection ultérieure au trafic préfiltré et encapsulé. |
Utilise des zones de tunnel. Le contrôle d’accès utilise les zones de tunnel que vous affectez lors du préfiltre. |
|
Journalisation des connexions |
Uniquement pour le trafic en accès rapide et le trafic bloqué. Les connexions autorisées peuvent toujours être enregistrées par d’autres configurations. |
Toute connexion. |
|
Périphériques pris en charge |
Cisco Secure Firewall Threat Defense uniquement. |
Tous |
— |
Tunnels intermédiaires (Passthrough ) et contrôle d’accès
Les tunnels en texte brut (non chiffrés) peuvent encapsuler plusieurs connexions, circulant souvent entre des réseaux discontinus. Ces tunnels sont particulièrement utiles pour acheminer les protocoles personnalisés sur les réseaux IP, le trafic IPv6 sur les réseaux IPv4, etc.
Un en-tête d’encapsulation externe spécifie les adresses IP de source et de destination des points terminaux du tunnel, c’est-à-dire les interfaces routées des périphériques réseau de chaque côté du tunnel. Les en-têtes de charge utile internes précisent les adresses IP de source et de destination des points terminaux réels des connexions encapsulées.
Souvent, les périphériques de sécurité réseau gèrent les tunnels de texte en clair comme trafic d'intercommunication. C’est-à-dire que le périphérique ne fait pas partie des points terminaux du tunnel. Au lieu de cela, il est déployé entre les points terminaux du tunnel et surveille le trafic circulant entre eux.
Certains périphériques de sécurité réseau mettent en œuvre des politiques de sécurité à l’aide d’en-têtes IP externes. Même pour les tunnels de texte en clair, ces périphériques n’ont aucun contrôle sur les connexions encapsulées individuelles et leurs charges utiles.
En revanche, le système utilise le contrôle d’accès comme suit :
-
Évaluation de l’en-tête externe : tout d’abord, le préfiltre utilise des en-têtes externes pour gérer le trafic. Vous pouvez bloquer ou parcourir les tunnels en texte brut entier ou d’intercommunication en texte brut à ce stade.
-
Évaluation des en-têtes internes : ensuite, le reste du contrôle d’accès (et d’autres fonctionnalités telles que QoS) utilise le niveau détectable le plus à l’intérieur des en-têtes pour assurer le niveau d’inspection et de traitement le plus fin possible.
Si un tunnel d'intercommunication n’est pas chiffré, le système agit sur ses connexions encapsulées individuelles à ce stade. Vous devez modifier le zonage d’un tunnel (voir Zones de tunnel et préfiltrage) pour agir sur toutes ses connexions encapsulées.
Le contrôle d’accès n’a aucun aperçu des tunnels d'intercommunication chiffrés. Par exemple, les règles de contrôle d’accès considèrent un tunnel VPN d’intercommunication comme une seule connexion. Le système gère l’ensemble du tunnel en utilisant uniquement les informations de son en-tête d’encapsulation externe.