プレフィルタリングについて
プレフィルタはアクセス制御の最初のフェーズで、システムがより大きいリソース消費の評価を実行する前に行われます。プレフィルタリングはシンプルかつ高速で、初期に実行されます。プレフィルタリングでは、限定された外部ヘッダーを基準にしてトラフィックを迅速に処理します。内部ヘッダーを使用し、より堅牢なインスペクション機能を備えた後続の評価とこのプレフィルタリングを比較します。
次の目的でプレフィルタリングを設定します。
-
パフォーマンスの向上:インスペクションを必要としないトラフィックの除外は、早ければ早いほど適切です。特定のタイプのプレーン テキストをファストパスまたはブロックし、カプセル化された接続を検査することなく外側のカプセル化ヘッダーに基づいてトンネルをパススルーします。早期処理のメリットがあるその他の接続についても、ファストパスやブロックをすることができます。
-
カプセル化トラフィックに合わせたディープインスペクションの調整:同じ検査基準を使用してカプセル化接続を後で処理できるように、特定のタイプのトンネルを再区分できます。アクセス制御はプレフィルタ後に内側のヘッダーを使用するため、再区分は必須です。
プレフィルタ ポリシーについて
プレフィルタリングは、ポリシーベースの機能です。デバイスに割り当てるには、そのデバイスに割り当てられているアクセス コントロール ポリシーに割り当てます。
ポリシー コンポーネント:ルールとデフォルト アクション
プレフィルタ ポリシーでは、トンネル ルール、プレフィルタ ルール、デフォルト アクションに基づいてネットワーク トラフィックを処理します。
-
トンネル ルールとプレフィルタ ルール:最初にプレフィルタ ポリシーのルールが、指定した順序でトラフィックを処理します。トンネル ルールは指定のトンネルのみを照合するもので、再ゾーニングをサポートします。プレフィルタ ルールはより広範囲の制約を設けるもので、再ゾーニングをサポートしていません。詳細については、トンネルとプレフィルタのルールを参照してください。
-
デフォルト アクション(トンネルのみ):トンネルがどのルールとも一致しない場合は、デフォルト アクションによって処理されます。デフォルト アクションは、そのトンネルをブロックするか、あるいは個々のカプセル化された接続のアクセス制御を継続します。デフォルト アクションでトンネルの再ゾーニングを行うことはできません。
カプセル化されていないトラフィックに対するデフォルト アクションはありません。カプセル化されていない接続がどのプレフィルタ ルールにも一致しない場合、システムはアクセス制御を継続します。
接続ロギング
プレフィルタポリシーで FastPath された接続およびブロックされた接続のログを記録できます。詳細については、Cisco Secure Firewall Management Center アドミニストレーション ガイドの「Other Connections You Can Log」を参照してください。
接続イベントには、すべてのトンネルを含め、ロギングされる接続がプレフィルタ処理されるのかどうか、また、どのようなプレフィルタ処理を行うのかに関する情報が含まれています。この情報は、イベント表示(ワークフロー)、ダッシュボード、およびレポートで表示することができ、相関基準として使用できます。FastPath された接続やブロックされた接続は、ディープ インスペクションの対象外であるため、これらの接続に関連する接続イベントに含まれる情報は限定的となります。
デフォルト プレフィルタ ポリシー
すべてのアクセス コントロール ポリシーにプレフィルタ ポリシーが関連付けられています。
カスタム プレフィルタリングを設定しなければ、システムはデフォルト ポリシーを使用します。このシステム提供のポリシーの初期設定では、すべてのトラフィックをアクセス制御の次のフェーズに渡します。デフォルト ポリシーのデフォルト アクションを変更し、ロギングのオプションを設定することはできますが、ルールの追加や削除はできません。
プレフィルタ ポリシーの継承とマルチテナンシー
アクセス制御は、マルチテナンシーを補完する階層型実装となっています。プレフィルタ ポリシーの関連付けは、その他の詳細設定と同様にロックすることが可能で、これによりすべての子孫アクセス コントロール ポリシーでこの関連付けが強制的に継承されます。詳細については、アクセス コントロール ポリシーの継承を参照してください。
トンネルとプレフィルタのルール
トンネルとプレフィルタのどちらのルールを設定するかは、照合するトラフィックのタイプと、実行するアクションや詳細な分析によって異なります。
特性 |
トンネル ルール |
プレフィルタ ルール |
---|---|---|
主な機能 |
プレーンテキストのパススルートンネルをすばやく fastpath、ブロック、または再ゾーニングします。 |
初期段階の操作の影響を受ける他の接続をすばやく高速パス化またはブロックします。 |
カプセル化とポート/プロトコル条件 |
カプセル化の条件は、カプセル化ルールの条件 にリストされる選択済みプロトコルについて、プレーン テキスト トンネルのみと照合されます。 |
ポート条件では、トンネル ルールより広範囲のポートおよびプロトコル制約を使用できます。ポート、プロトコル、および ICMP コードルールの条件を参照してください。 |
ネットワーク条件 |
トンネル エンドポイント条件は、処理対象にするトンネルのエンドポイントを制約します。ネットワークルール条件を参照してください。 |
ネットワーク条件は、各接続の送信元ホストと宛先ホストを制約します。ネットワークルール条件を参照してください。 |
方向(Direction) |
双方向または単方向(構成可)。 トンネル ルールはデフォルトで双方向であるため、トンネル エンドポイント間のすべてのトラフィックを処理できます。 |
単方向のみ(構成不可)。 プレフィルタ ルールは、送信元から宛先へ送信されるトラフィックのみと照合されます。許可された接続のリターントラフィックも許可されます。 |
詳細分析のためのセッションの再ゾーニング |
トンネル ゾーンを使用する場合にサポートされます。トンネル ゾーンおよびプレフィルタリングを参照してください。 |
サポート対象外。 |
プレフィルタリングとアクセス コントロール
プレフィルタとアクセス コントロール ポリシーのどちらを使用しても、トラフィックをブロックしたり信頼したりできますが、プレフィルタリングの「信頼」機能の方がより多くのインスペクションをスキップするため、「高速パス」と呼ばれます。次の表ではこれについて説明し、プレフィルタリングとアクセス コントロールのその他の違いを示します。これは、カスタム プレフィルタリングを設定するかどうかの決定に役立ちます。
カスタム プレフィルタリングを設定しない場合は、アクセス コントロール ポリシーに初期に配置されたブロックおよび信頼ルールにより、プレフィルタ機能に近づけることのみ可能です(複製するのではなく)。
特性 |
プレフィルタリング |
アクセス制御 |
詳細 |
---|---|---|---|
主な機能 |
特定のタイプのプレーンテキストのパススルー トンネル(カプセル化ルールの条件を参照)を迅速に高速パス処理またはブロックしたり、後続のインスペクションをそのカプセル化されたトラフィックに適合させたりします。 早期処理による利点が得られる他の接続を高速パス処理またはブロックします。 |
コンテキスト情報やディープ インスペクションの結果など、単純または複雑な基準を使用して、すべてのネットワーク トラフィックを検査および制御します。 |
|
実装 |
プレフィルタ ポリシー プレフィルタ ポリシーは、アクセス コントロール ポリシーによって呼び出されます。 |
アクセス コントロール ポリシー アクセス コントロール ポリシーがメインの構成です。サブポリシーの呼び出しに加えて、アクセス コントロール ポリシーの独自のルールがあります。 |
|
アクセス コントロール内のシーケンス |
最初。 トラフィックは、他のすべてのアクセス コントロール構成の前にプレフィルタ基準と照合されます。 |
— |
— |
ルール アクション |
少ない。 追加のインスペクションを停止したり(高速パス処理とブロック)、他のアクセス コントロールによる追加の分析を許可したり(分析)できます。 |
多い。 アクセス コントロール ルールには、モニタリング、ディープ インスペクション、リセットしてブロック、インタラクティブ ブロッキングなどのさまざまなアクションがあります。 |
|
バイパス機能 |
高速パス ルール アクション。 プレフィルタ段階のトラフィックの高速パス処理では、その後のすべてのインスペクションと次のような処理をバイパスします。
|
信頼ルール アクション。 アクセス コントロール ルールによって信頼されるトラフィックのみがディープ インスペクションとディスカバリを免除されます。 |
|
ルール基準 |
制限。 プレフィルタ ポリシーのルールでは、単純なネットワーク基準、つまり IP アドレス、VLAN タグ、ポート、およびプロトコルを使用します。 トンネルについては、トンネル エンドポイント条件によって、トンネルの両側にあるネットワーク デバイスのルーテッド インターフェイスの IP アドレスを指定します。 |
堅牢。 アクセス コントロール ルールでは、ネットワーク基準を使用しますが、パケット ペイロードで使用できるユーザ、アプリケーション、要求された URL、およびその他のコンテキスト情報も使用します。 ネットワーク条件によって、送信元と宛先ホストの IP アドレスが指定されます。 |
|
IP ヘッダーの使用(トンネル処理) |
最も外側。 外部ヘッダーを使用して、プレーンテキストのパススルー トンネル全体を処理できます。 カプセル化されていないトラフィックについては、プレフィルタリングで引き続き「外部」ヘッダーが使用され、この場合は唯一のヘッダーになります。 |
可能な限り内側。 カプセル化されていないトンネルについては、アクセス コントロールは、トンネル全体ではなく、個々のカプセル化された接続に適用されます。 |
|
さらに分析するためのカプセル化された接続の再ゾーン化 |
トンネルされたトラフィックを再ゾーン化します。 トンネル ゾーンにより、後続のインスペクションをプレフィルタされたカプセル化トラフィックに適合させることができます。 |
トンネル ゾーンを使用。 アクセス コントロールでは、プレフィルタリング中に割り当てたトンネル ゾーンを使用します。 |
|
接続のロギング |
高速パス処理およびブロックされたトラフィックのみ。許可された接続は、他の構成によってログに記録されることがあります。 |
任意の接続。 |
Cisco Secure Firewall Management Center アドミニストレーション ガイドの「ログ可能なその他の接続」 |
サポートされるデバイス |
Secure Firewall Threat Defense のみ。 |
すべて。 |
— |
パススルー トンネルとアクセス制御
プレーン テキスト(暗号化されていない)トンネルでは、複数の接続をカプセル化できます。これらのトンネルは、多くの場合、連続していないネットワーク間をつなぎます。したがって、IP ネットワークでカスタム プロトコルをルーティングする場合や、IPv4 ネットワークで IPv6 トラフィックをルーティングする場合などには特に役立ちます。
外側のカプセル化ヘッダーには、トンネル エンドポイント(トンネルのいずれかの側にあるネットワーク デバイスのルーテッド インターフェイス)の送信元と宛先の IP アドレスが指定されます。内側のペイロード ヘッダーには、カプセル化された接続の実際のエンドポイントの送信元と宛先の IP アドレスが指定されます。
通常、ネットワーク セキュリティ デバイスは、プレーン テキスト トンネルをパススルー トラフィックとして扱います。つまり、ネットワーク セキュリティ デバイスはトンネル エンドポイントのうちの 1 つではないということです。代わりに、ネットワーク セキュリティ デバイスはトンネル エンドポイントの間に展開されて、それらのエンドポイント間を流れるトラフィックをモニタします。
一部のネットワーク セキュリティ デバイスは、外部 IP ヘッダーを使用してセキュリティポリシーを適用します。プレーン テキスト トンネルの場合でも、これらのデバイスはカプセル化された個々の接続とそのペイロードを制御したりその内容を把握したりすることはできません。
それとは対照的に、システムは以下のようにアクセス制御を活用します。
-
外側のヘッダーの評価:まず、プレフィルタで外側のヘッダーを使用してトラフィックを処理します。この段階で、プレーン テキストのパススルー トンネル全体をブロックすることも、FastPath を適用することもできます。
-
内側のヘッダーの評価:次に、アクセス制御の残り(および QoS などのその他の機能)では、最も内側にあるヘッダーの検出可能レベルを使用して、可能な限り詳細なレベルでインスペクションと処理が行われるようにします。
パススルー トンネルが暗号化されていなければ、システムはこの段階で、カプセル化された個々の接続に対処します。カプセル化されたすべての接続に対処するには、トンネルの再ゾーン分割(トンネル ゾーンおよびプレフィルタリングを参照)を行う必要があります。
アクセス制御では、暗号化されたパススルー トンネルの内容を把握しません。たとえば、アクセス制御ルールは、パススルー VPN トンネルを 1 つの接続と見なします。システムは外側のカプセル化ヘッダーに含まれる情報だけを使用して、トンネル全体を処理します。