ファイアウォール モードについて
/Firepower Threat Defense デバイス は、通常のファイアウォール インターフェイスでルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの 2 つのファイアウォール モードをサポートします。
ルーテッド ファイアウォール モードについて
ルーテッド モードでは、/Firepower Threat Defense デバイス はネットワーク内のルータ ホップと見なされます。ルーティングを行う各インターフェイスは異なるサブネット上にあります。
統合ルーティングおよびブリッジングにより、ネットワーク上の複数のインターフェイスをまとめた「ブリッジ グループ」を使用できます。また、/Firepower Threat Defense デバイス はブリッジング技術を使用してインターフェイス間のトラフィックを通すことができます。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。/Firepower Threat Defense デバイス は BVI と通常のルーテッド インターフェイス間でルーティングを行います。クラスタリング、EtherChannel、冗長または メンバー インターフェイスが必要ない場合は、トランスペアレント モードではなくルーテッド モードの使用を検討してください。ルーテッド モードでは、トランスペアレント モードと同様に 1 つ以上の分離されたブリッジグループを含めることができます。また、モードが混在する導入に関しては、通常のルーテッド インターフェイスも含めることができます。
トランスペアレント ファイアウォール モードについて
従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。ただし、他のファイアウォールのように、インターフェイス間のアクセス制御は管理され、ファイアウォールによる通常のすべてのチェックが実施されます。
レイヤ 2 の接続は、ネットワーク上の内部、外部のインターフェイスをまとめた「ブリッジ グループ」を使用して達成されます。また、/Firepower Threat Defense デバイス はブリッジング技術を使用してインターフェイス間のトラフィックを通します。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。複数のネットワークに複数のブリッジグループを設定できます。トランスペアレント モードでは、これらのブリッジグループは相互通信できません。
ネットワークでのトランスペアレント ファイアウォールの使用
/Firepower Threat Defense デバイス は、自身のインターフェイス間を同じネットワークで接続します。トランスペアレント ファイアウォールはルーテッド ホップではないので、既存のネットワークに簡単に導入できます。
次の図に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータと各ホストは、外部ルータに直接接続されているように見えます。
/診断インターフェイス
各ブリッジ仮想インターフェイス(BVI)IP アドレスのほかに、別の /診断 スロット ポート インターフェイスを追加できます。このインターフェイスはどのブリッジ グループにも属さず、/Firepower Threat Defense デバイス への管理トラフィックのみを許可します。
ルーテッド モード機能のためのトラフィックの通過
トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、アクセス ルールを使用することによって、(サポートされていない DHCP リレー機能の代わりに)DHCP トラフィックを許可したり、IP/TV で作成されるようなマルチキャスト トラフィックを許可したりできます。また、トランスペアレント ファイアウォールを通過するルーティング プロトコル隣接関係を確立することもできます。つまり、OSPF、RIP、EIGRP、または BGP トラフィックをアクセス ルールに基づいて許可できます。同様に、HSRP や VRRP などのプロトコルは /Firepower Threat Defense デバイス を通過できます。
ブリッジグループについて
ブリッジ グループは、/Firepower Threat Defense デバイス がルーティングではなくブリッジするインターフェイスのグループです。ブリッジグループはトランスペアレント ファイアウォール モード、ルーテッド ファイアウォール モードの両方でサポートされています。他のファイアウォール インターフェイスのように、インターフェイス間のアクセス制御は管理され、ファイアウォールによる通常のチェックがすべて実施されます。
ブリッジ仮想インターフェイス(BVI)
各ブリッジグループには、ブリッジ仮想インターフェイス(BVI)が含まれます。/Firepower Threat Defense デバイス は、ブリッジ グループから発信されるパケットの発信元アドレスとしてこの BVI IP アドレスを使用します。BVI IP アドレスはブリッジグループ メンバー インターフェイスと同じサブネット上になければなりません。BVI では、セカンダリ ネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。
トランスペアレント モード:インターフェイス ベースの各機能はブリッジ グループのメンバー インターフェイスだけを指定でき、これらについてのみ使用できます。
ルーテッド モード:BVI はブリッジグループと他のルーテッド インターフェイス間のゲートウェイとして機能します。ブリッジグループ/ルーテッド インターフェイス間でルーティングするには、BVI を指定する必要があります。一部のインターフェイスベース機能に代わり、BVI 自体が利用できます。
-
DHCPv4 サーバ:BVI のみが DHCPv4 サーバの構成をサポートします。
-
スタティック ルート:BVI のスタティック ルートを設定できます。メンバー インターフェイスのスタティック ルートは設定できません。
-
syslog サーバと /Firepower Threat Defense デバイス 由来の他のトラフィック:syslog サーバ(または SNMP サーバ、/Firepower Threat Defense デバイス からトラフィックが送信される他のサービス)を指定する際、BVI またはメンバー インターフェイスのいずれも指定できます。
ルーテッド モードで BVI を指定しない場合、/Firepower Threat Defense デバイス はブリッジ グループのトラフィックをルーティングしません。この設定は、ブリッジグループのトランスペアレント ファイアウォール モードを複製します。クラスタリング、EtherChannel、冗長または メンバーインターフェイスが不要であれば、ルーテッド モードの使用を検討すべきです。ルーテッド モードでは、トランスペアレント モードと同様に 1 つ以上の分離されたブリッジグループを含めることができます。また、モードが混在する導入に関しては、通常のルーテッド インターフェイスも含めることができます。
トランスペアレント ファイアウォール モードのブリッジグループ
ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは /Firepower Threat Defense デバイス 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから /Firepower Threat Defense デバイス 内の別のブリッジ グループにルーティングされる前に、/Firepower Threat Defense デバイス から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。
1 つのブリッジグループにつき複数のインターフェイスを入れることができます。サポートされるブリッジグループとインターフェイスの正確な数については、ファイアウォール モードのガイドラインを参照してください。ブリッジグループごとに 2 つ以上のインターフェイスを使用する場合は、内部、外部への通信だけでなく、同一ネットワーク上の複数のセグメント間の通信を制御できます。たとえば、相互通信を希望しない内部セグメントが 3 つある場合、インターフェイスを別々のセグメントに置き、外部インターフェイスとのみ通信させることができます。または、インターフェイス間のアクセス ルールをカスタマイズし、希望通りのアクセスを設定できます。
次の図に、2 つのブリッジ グループを持つ、/Firepower Threat Defense デバイス に接続されている 2 つのネットワークを示します。
ルーテッド ファイアウォール モードのブリッジグループ
ブリッジグループ トラフィックは他のブリッジ グループまたはルーテッド インターフェイスにルーティングできます。ブリッジグループの BVI インターフェイスに名前を割り当てないことで、ブリッジグループのトラフィックを分離することもできます。BVI に名前を付けると、その BVI はその他の通常のインターフェイスと同様にルーティングに参加します。
ルーテッド モードでブリッジグループを使用する方法として、外部スイッチの代わりに /Firepower Threat Defense デバイス の予備インターフェイスを使用する方法があります。たとえば、デバイスの中には、通常のインターフェイスとして外部インターフェイスを持ち、その他すべてのインターフェイスが内部ブリッジグループに割り当てられているというデフォルト設定のものがあります。このブリッジグループは外部スイッチを置き換えることを目的としているので、すべてのブリッジグループ インターフェイスが自由に通信できるようにアクセス ポリシーを設定する必要があります。
レイヤ 3 トラフィックの許可
-
ユニキャストの IPv4 および IPv6 トラフィックがブリッジグループを通過するにはアクセル ルールが必要です。
-
ARP は、アクセス ルールなしで両方向にブリッジグループを通過できます。ARP トラフィックは、ARP インスペクションによって制御できます。
-
IPv6 ネイバー探索およびルータ送信要求パケットは、アクセス ルールを使用して通過させることができます。
-
ブロードキャストおよびマルチキャスト トラフィックは、アクセス ルールを使用して通過させることができます。
許可される MAC アドレス
アクセス ポリシーで許可されている場合、以下の宛先 MAC アドレスをブリッジグループで使用できます(レイヤ 3 トラフィックの許可を参照)。このリストにない MAC アドレスはドロップされます。
-
FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス
-
0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス
-
3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス
-
0100.0CCC.CCCD の BPDU マルチキャスト アドレス
BPDU 処理
スパニング ツリー プロトコルの使用によるループを回避するため、BPDU はデフォルトで通過します。
MAC アドレスとルート ルックアップ
ブリッジ グループ内のトラフィックでは、パケットの発信インターフェイスは、ルート ルックアップではなく宛先 MAC アドレス ルックアップを実行することによって決定されます。
ただし、次のトラフィック タイプにはルート ルックアップが必要です。
-
/Firepower Threat Defense デバイス で発信されたトラフィック:たとえば、syslog サーバがリモート ネットワークにある場合は、/Firepower Threat Defense デバイス がそのサブネットに到達できるようにデフォルト/スタティック ルートを使用する必要があります。
-
/Firepower Threat Defense デバイス から少なくとも 1 ホップ離れており、/Firepower Threat Defense デバイス が NAT を実行するトラフィック:/Firepower Threat Defense デバイス がブリッジ グループ インターフェイスに入ったパケットに対して NAT を実行し、そのパケットがリモート ネットワークからのものだった場合、そのネットワークの /Firepower Threat Defense デバイス のスタティック ルートを設定する必要があります。
-
内部ホスト 10.1.1.75 が Web サーバにパケットを送信すると、パケットの実際の送信元アドレス 10.1.1.75 はマッピング アドレス 209.165.201.15 に変更されます。
-
サーバが応答すると、マッピング アドレス 209.165.201.15 に応答を送信し、/Firepower Threat Defense デバイス がそのパケットを受信します。これは、アップストリーム ルータには、/Firepower Threat Defense デバイス の管理 IP アドレスに転送されるスタティック ルートのこのマッピング ネットワークが含まれるためです。
-
その後、/Firepower Threat Defense デバイス はマッピング アドレス 209.165.201.15 を変換して実際のアドレス 10.1.1.1.75 に戻します。実際のアドレスは直接接続されているため、/Firepower Threat Defense デバイス はそのアドレスを直接ホストに送信します。
-
ホスト 192.168.1.2 の場合も、リターン トラフィックを除き、同じプロセスが発生します。/Firepower Threat Defense デバイス はルーティング テーブルでルートを検索し、192.168.1.0/24 の /Firepower Threat Defense デバイス スタティック ルートに基づいてパケットを 10.1.1.3 にあるダウンストリーム ルータに送信します。
-
-
エンドポイントが /Firepower Threat Defense デバイス から少なくとも 1 ホップ離れている Voice over IP(VoIP)と DNS トラフィック:たとえば、あるブリッジグループ メンバー インターフェイスに CCM があり、別のブリッジグループ メンバー インターフェイスにルータと H.323 ゲートウェイがある場合、H.323 ゲートウェイであるルータの正常なコール完了のために、/Firepower Threat Defense デバイス にスタティック ルートを追加する必要があります。検査されるトラフィックに対して NAT を有効化すると、スタティック ルートは、パケットに埋め込まれている本当のホスト アドレスの出力インターフェイスを決定する必要があります。影響を受けるアプリケーションは次のとおりです。
-
DNS
-
H.323
-
RTSP
-
SIP
-
Skinny(SCCP)
-
SunRPC
-
TFTP
-
トランスペアレント モードのブリッジ グループのサポートされていない機能
次の表に、トランスペアレント モードのブリッジ グループでサポートされない機能を示します。
機能 |
説明 |
---|---|
ダイナミック DNS |
- |
DHCP リレー |
トランスペアレント ファイアウォールは DHCPv4 サーバとして機能することができますが、DHCP リレーはサポートしません。2 つのアクセス ルール(1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。)を使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。 |
ダイナミック ルーティング プロトコル |
ただし、ブリッジ グループ メンバー インターフェイスの場合、/Firepower Threat Defense デバイス で発信されたトラフィックにスタティック ルートを追加できます。アクセス ルールを使用して、ダイナミック ルーティング プロトコルが /Firepower Threat Defense デバイス を通過できるようにすることもできます。 |
マルチキャスト IP ルーティング |
アクセス ルールで許可することによって、マルチキャスト トラフィックが /Firepower Threat Defense デバイス を通過できるようにすることができます。 |
QoS |
- |
通過トラフィック用の VPN 終端 |
トランスペアレント ファイアウォールは、ブリッジ グループ メンバー インターフェイスでのみ、管理接続用のサイト間 VPN トンネルをサポートします。これは、/Firepower Threat Defense デバイス を通過するトラフィックに対して VPN 接続を終端しません。アクセス ルールを使用して VPN トラフィックに ASA を通過させることはできますが、非管理接続は終端されません。 |
ルーテッド モードのブリッジ グループのサポートされていない機能
次の表に、ルーテッド モードのブリッジ グループでサポートされない機能を示します。
機能 |
説明 |
---|---|
EtherChannel メンバー インターフェイス |
物理インターフェイス、冗長インターフェイス、およびサブインターフェイスのみがブリッジ グループ メンバー インターフェイスとしてサポートされます。 /診断インターフェイスもサポートされません。 |
クラスタリング |
ブリッジ グループはクラスタリングでサポートされません。 |
ダイナミック DNS |
- |
DHCP リレー |
ルーテッド ファイアウォールは DHCPv4 サーバとして機能することができますが、DHCP リレーを BVI またはブリッジ グループ メンバー インターフェイスでサポートしません。 |
ダイナミック ルーティング プロトコル |
ただし、BVI のスタティック ルートを追加することはできます。アクセス ルールを使用して、ダイナミック ルーティング プロトコルが /Firepower Threat Defense デバイス を通過できるようにすることもできます。非ブリッジ グループ インターフェイスは、ダイナミック ルーティングをサポートします。 |
マルチキャスト IP ルーティング |
アクセス ルールで許可することによって、マルチキャスト トラフィックが /Firepower Threat Defense デバイス を通過できるようにすることができます。非ブリッジ グループ インターフェイスは、マルチキャスト ルーティングをサポートします。 |
QoS |
非ブリッジ グループ インターフェイスは、QoS をサポートします。 |
通過トラフィック用の VPN 終端 |
VPN 接続を BVI で終端することはできません。非ブリッジ グループ インターフェイスは、VPN をサポートします。 ブリッジ グループ メンバー インターフェイスは、管理接続専用のサイト間 VPN トンネルをサポートします。これは、/Firepower Threat Defense デバイス を通過するトラフィックに対して VPN 接続を終端しません。アクセス ルールを使用して VPN トラフィックにブリッジ グループを通過させることはできますが、非管理接続は終端されません。 |