プレフィルタの概要
プレフィルタはアクセス制御の最初のフェーズで、システムがより大きいリソース消費の評価を実行する前に行われます。管理対象デバイスに展開されたプレフィルタ ポリシーは、制限付きの外側のヘッダー基準を使ってトラフィックを迅速に処理します。
内側のヘッダーを使用し、より強力なインスペクション能力を備えた他のアクセス制御とは対照的で、プレフィルタはシンプルかつ迅速で、早い段階で機能します。
プレフィルタは、以下を行う場合に設定します。
-
パフォーマンスの向上:インスペクションを必要としないトラフィックの除外は、早ければ早いほど適切です。特定のタイプのプレーン テキストをファストパスまたはブロックし、カプセル化された接続を検査することなく外側のカプセル化ヘッダーに基づいてトンネルをパススルーします。早期処理のメリットがあるその他の接続についても、ファストパスやブロックをすることができます。
-
カプセル化トラフィックに合わせたディープ インスペクションの調整:同じ検査基準を使用してカプセル化接続を後で処理できるように、特定のタイプのトンネルを再区分できます。アクセス制御はプレフィルタ後に内側のヘッダーを使用するため、再区分は必須です。
詳細は、プレフィルタリングとアクセス コントロールを参照してください。
モデル制限のプレフィルタ
Firepower システムでプレフィルタがサポートされるのは Firepower Threat Defense デバイスのみです。
クラシック デバイス(7000 および 8000 シリーズ、NGIPSv、ASA FirePOWER)にプレフィルタ ポリシーを展開しても、何の影響もありません。代わりに、プレフィルタとほぼ同様の機能を持つ以前から用意されてる信頼およびブロック アクセス コントロール ルールを、機能の違いに留意しつつ使用してください。
以下の点にも注意してください。
-
8000 シリーズ デバイス:デバイス固有の FastPath ルールによってアクセス コントロールをバイパスできます(ただし、トラフィックをブロックすることはできません。高速パス ルールの設定(8000 シリーズ)を参照してください。
-
クラシック デバイス:すべてのクラシック デバイスは、アクセス コントロール ルールを使用して GRE でカプセル化されたトンネル全体を照合しますが、いくつかの制約事項があります。ポートおよび ICMP コードの条件を参照してください。