ファイアウォール モードについて
Firepower Threat Defense デバイス は、通常のファイアウォール インターフェイスでルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの 2 つのファイアウォール モードをサポートします。
ルーテッド ファイアウォール モードについて
ルーテッド モードでは、Firepower Threat Defense デバイスはネットワーク内のルータ ホップと見なされます。ルーティングを行う各インターフェイスは異なるサブネット上にあります。
統合ルーティングおよびブリッジングにより、ネットワーク上の複数のインターフェイスをまとめた「ブリッジ グループ」を使用できます。そして、Firepower Threat Defense デバイス はブリッジング技術を使用してインターフェイス間のトラフィックを通すことができます。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。Firepower Threat Defense デバイス は BVI と通常のルーテッド インターフェイス間でルーティングを行います。クラスタリング、EtherChannel、冗長または メンバー インターフェイスが必要ない場合は、トランスペアレント モードではなくルーテッド モードの使用を検討してください。ルーテッド モードでは、トランスペアレント モードと同様に 1 つ以上の分離されたブリッジグループを含めることができます。また、モードが混在する導入に関しては、通常のルーテッド インターフェイスも含めることができます。
トランスペアレント ファイアウォール モードについて
従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。ただし、他のファイアウォールのように、インターフェイス間のアクセス制御は管理され、ファイアウォールによる通常のすべてのチェックが実施されます。
レイヤ 2 の接続は、ネットワーク上の内部と外部のインターフェイスをまとめた「ブリッジ グループ」を使用して確立されます。また、Firepower Threat Defense デバイス はブリッジング技術を使用してインターフェイス間のトラフィックを通します。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。複数のネットワークに複数のブリッジグループを設定できます。トランスペアレント モードでは、これらのブリッジグループは相互通信できません。
ネットワークでのトランスペアレント ファイアウォールの使用
Firepower Threat Defense デバイス は、自身のインターフェイス間を同じネットワークで接続します。トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。
次の図に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータと各ホストは、外部ルータに直接接続されているように見えます。
診断 インターフェイス
各ブリッジ仮想インターフェイス(BVI)IP アドレスのほかに、別の診断 スロット/ポート インターフェイスを追加できます。このインターフェイスはどのブリッジ グループにも属さず、Firepower Threat Defense デバイス への管理トラフィックのみを許可します。
ルーテッド モード機能のためのトラフィックの通過
トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、アクセス ルールを使用することによって、(サポートされていない DHCP リレー機能の代わりに)DHCP トラフィックを許可したり、IP/TV で作成されるようなマルチキャスト トラフィックを許可したりできます。また、トランスペアレント ファイアウォールを通過するルーティング プロトコル隣接関係を確立することもできます。つまり、OSPF、RIP、EIGRP、または BGP トラフィックをアクセス ルールに基づいて許可できます。同様に、HSRP や VRRP などのプロトコルは Firepower Threat Defense デバイス を通過できます。
ブリッジグループについて
ブリッジ グループは、Firepower Threat Defense デバイス がルーティングではなくブリッジするインターフェイスのグループです。 ブリッジグループはトランスペアレント ファイアウォール モード、ルーテッド ファイアウォール モードの両方でサポートされています。他のファイアウォール インターフェイスのように、インターフェイス間のアクセス制御は管理され、ファイアウォールによる通常のチェックがすべて実施されます。
ブリッジ仮想インターフェイス(BVI)
各ブリッジグループには、ブリッジ仮想インターフェイス(BVI)が含まれます。Firepower Threat Defense デバイス は、ブリッジ グループから発信されるパケットの送信元アドレスとしてこの BVI IP アドレスを使用します。BVI IP アドレスはブリッジグループ メンバー インターフェイスと同じサブネット上になければなりません。BVI では、セカンダリ ネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。
トランスペアレント モード:インターフェイス ベースの各機能はブリッジ グループのメンバー インターフェイスだけを指定でき、これらについてのみ使用できます。
ルーテッド モード:BVI はブリッジグループと他のルーテッド インターフェイス間のゲートウェイとして機能します。ブリッジグループ/ルーテッド インターフェイス間でルーティングするには、BVI を指定する必要があります。一部のインターフェイスベース機能に代わり、BVI 自体が利用できます。
-
DHCPv4 サーバ:BVI のみが DHCPv4 サーバの構成をサポートします。
-
スタティック ルート:BVI のスタティック ルートを設定できます。メンバー インターフェイスのスタティック ルートは設定できません。
-
Syslog サーバと Firepower Threat Defense デバイス 由来の他のトラフィック:syslog サーバ(または SNMP サーバ、Firepower Threat Defense デバイス からトラフィックが送信される他のサービス)を指定する際、BVI またはメンバー インターフェイスのいずれかを指定できます。
ルーテッド モードで BVI を指定しない場合、Firepower Threat Defense デバイス はブリッジ グループのトラフィックをルーティングしません。この設定は、ブリッジグループのトランスペアレント ファイアウォール モードを複製します。クラスタリング、EtherChannel、冗長または メンバーインターフェイスが不要であれば、ルーテッド モードの使用を検討すべきです。ルーテッド モードでは、トランスペアレント モードと同様に 1 つ以上の分離されたブリッジグループを含めることができます。また、モードが混在する導入に関しては、通常のルーテッド インターフェイスも含めることができます。
トランスペアレント ファイアウォール モードのブリッジグループ
ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは Firepower Threat Defense デバイス 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから Firepower Threat Defense デバイス 内の他のブリッジ グループにルーティングされる前に、Firepower Threat Defense デバイス から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。
1 つのブリッジグループにつき複数のインターフェイスを入れることができます。サポートされるブリッジグループとインターフェイスの正確な数については、ファイアウォール モードのガイドラインを参照してください。ブリッジグループごとに 2 つ以上のインターフェイスを使用する場合は、内部、外部への通信だけでなく、同一ネットワーク上の複数のセグメント間の通信を制御できます。たとえば、相互通信を希望しない内部セグメントが 3 つある場合、インターフェイスを別々のセグメントに置き、外部インターフェイスとのみ通信させることができます。または、インターフェイス間のアクセス ルールをカスタマイズし、希望通りのアクセスを設定できます。
次の図に、2 つのブリッジ グループを持つ、Firepower Threat Defense デバイス に接続されている 2 つのネットワークを示します。
ルーテッド ファイアウォール モードのブリッジグループ
ブリッジグループ トラフィックは他のブリッジ グループまたはルーテッド インターフェイスにルーティングできます。ブリッジグループの BVI インターフェイスに名前を割り当てないことで、ブリッジグループのトラフィックを分離することもできます。BVI に名前を付けると、その BVI はその他の通常のインターフェイスと同様にルーティングに参加します。
ルーテッド モードでブリッジ グループを使用する方法として、外部スイッチの代わりに Firepower Threat Defense デバイス の予備インターフェイスを使用する方法があります。たとえば、デバイスの中には、通常のインターフェイスとして外部インターフェイスを持ち、その他すべてのインターフェイスが内部ブリッジグループに割り当てられているというデフォルト設定のものがあります。このブリッジグループは外部スイッチを置き換えることを目的としているので、すべてのブリッジグループ インターフェイスが自由に通信できるようにアクセス ポリシーを設定する必要があります。
レイヤ 3 トラフィックの許可
-
ユニキャストの IPv4 および IPv6 トラフィックがブリッジグループを通過するにはアクセル ルールが必要です。
-
ARP は、アクセス ルールなしで両方向にブリッジグループを通過できます。ARP トラフィックは、ARP インスペクションによって制御できます。
-
IPv6 ネイバー探索およびルータ送信要求パケットは、アクセス ルールを使用して通過させることができます。
-
ブロードキャストおよびマルチキャスト トラフィックは、アクセス ルールを使用して通過させることができます。
許可される MAC アドレス
アクセス ポリシーで許可されている場合、以下の宛先 MAC アドレスをブリッジグループで使用できます(レイヤ 3 トラフィックの許可を参照)。このリストにない MAC アドレスはドロップされます。
-
FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス
-
0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス
-
3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス
-
0100.0CCC.CCCD の BPDU マルチキャスト アドレス
BPDU 処理
スパニングツリー プロトコルを使用するときのループを防止するために、デフォルトで BPDU が渡されます。
デフォルトでは、BPDU は高度なインスペクションにも転送されます。このインスペクションは、このタイプのパケットには必要なく、インスペクションの再起動によってブロックされた場合など、問題を引き起こす可能性があります。BPDU は高度なインスペクションから常に除外することをお勧めします。これを行うには、FlexConfig を使用して BPDU を信頼する EtherType ACL を設定し、各メンバー インターフェイス上の高度な検査から BPDU を除外します。Firepower Threat Defense の FlexConfig ポリシーを参照してください。
FlexConfig オブジェクトは次のコマンドを展開する必要があります。ここで、<if-name> はインターフェイス名に置き換えます。必要な数の access-group コマンドを追加して、デバイス上の各ブリッジ グループのメンバー インターフェイスをカバーします。また、ACL に別の名前を選択することもできます。
access-list permit-bpdu ethertype trust bpdu
access-group permit-bpdu in interface <if-name>
MAC アドレスとルート ルックアップ
ブリッジ グループ内のトラフィックでは、パケットの発信インターフェイスは、ルート ルックアップではなく宛先 MAC アドレス ルックアップを実行することによって決定されます。
ただし、次の場合にはルート ルックアップが必要です。
-
トラフィックの発信元が Firepower Threat Defense デバイス:syslog サーバなどがあるリモート ネットワーク宛てのトラフィック用に、Firepower Threat Defense デバイス にデフォルト/スタティック ルートを追加します。
-
Voice over IP(VoIP)および TFTP トラフィック、エンドポイントが 1 ホップ以上離れている:セカンダリ接続が成功するように、リモート エンドポイント宛てのトラフィック用に、Firepower Threat Defense デバイス にスタティック ルートを追加します。Firepower Threat Defense デバイス は、セカンダリ接続を許可するためにアクセス コントロール ポリシーに一時的な「ピンホール」を作成します。セカンダリ接続ではプライマリ接続とは異なる IP アドレスのセットが使用される可能性があるため、Firepower Threat Defense デバイス は正しいインターフェイスにピンホールをインストールするために、ルート ルックアップを実行する必要があります。
影響を受けるアプリケーションは次のとおりです。
-
H.323
-
RTSP
-
SIP
-
Skinny(SCCP)
-
SQL*Net
-
SunRPC
-
TFTP
-
-
Firepower Threat Defense デバイス が NAT を実行する 1 ホップ以上離れたトラフィック:リモート ネットワーク宛てのトラフィック用に、Firepower Threat Defense デバイス にスタティック ルートを設定します。また、Firepower Threat Defense デバイス に送信されるマッピング アドレス宛てのトラフィック用に、上流に位置するルータにもスタティック ルートが必要です。
このルーティング要件は、NAT が有効になっている VoIP と DNS の、1 ホップ以上離れている組み込み IP アドレスにも適用されます。Firepower Threat Defense デバイス は、変換を実行できるように正しい出力インターフェイスを識別する必要があります。
トランスペアレント モードのブリッジ グループのサポートされていない機能
次の表に、トランスペアレント モードのブリッジ グループでサポートされない機能を示します。
機能 |
説明 |
---|---|
ダイナミック DNS |
- |
DHCP リレー |
トランスペアレント ファイアウォールは DHCPv4 サーバとして機能することができますが、DHCP リレーはサポートしません。2 つのアクセス ルール(1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。)を使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。 |
ダイナミック ルーティング プロトコル |
ただし、ブリッジグループ メンバー インターフェイスの場合、Firepower Threat Defense デバイス で発信されたトラフィックにスタティック ルートを追加できます。アクセス ルールを使用して、ダイナミック ルーティング プロトコルが Firepower Threat Defense デバイス を通過できるようにすることもできます。 |
マルチキャスト IP ルーティング |
アクセス ルールで許可することによって、マルチキャスト トラフィックが Firepower Threat Defense デバイス を通過できるようにすることができます。 |
QoS |
- |
通過トラフィック用の VPN 終端 |
トランスペアレント ファイアウォールは、ブリッジ グループ メンバー インターフェイスでのみ、管理接続用のサイト間 VPN トンネルをサポートします。これは、Firepower Threat Defense デバイスを通過するトラフィックに対して VPN 接続を終端しません。アクセス ルールを使用して VPN トラフィックに ASA を通過させることはできますが、非管理接続は終端されません。 |
ルーテッド モードのブリッジ グループのサポートされていない機能
次の表に、ルーテッド モードのブリッジ グループでサポートされない機能を示します。
機能 |
説明 |
---|---|
EtherChannel メンバー インターフェイス |
物理インターフェイス、冗長インターフェイス、およびサブインターフェイスのみがブリッジ グループ メンバー インターフェイスとしてサポートされます。 診断 インターフェイスもサポートされていません。 |
クラスタリング |
ブリッジ グループはクラスタリングでサポートされません。 |
ダイナミック DNS |
- |
DHCP リレー |
ルーテッド ファイアウォールは DHCPv4 サーバとして機能することができますが、DHCP リレーを BVI またはブリッジ グループ メンバー インターフェイスでサポートしません。 |
ダイナミック ルーティング プロトコル |
ただし、BVI のスタティック ルートを追加することはできます。アクセス ルールを使用して、ダイナミック ルーティング プロトコルが Firepower Threat Defense デバイス を通過できるようにすることもできます。非ブリッジ グループ インターフェイスはダイナミック ルーティングをサポートします。 |
マルチキャスト IP ルーティング |
アクセス ルールで許可することによって、マルチキャスト トラフィックが Firepower Threat Defense デバイス を通過できるようにすることができます。非ブリッジ グループ インターフェイスはマルチキャスト ルーティングをサポートします。 |
QoS |
非ブリッジ グループ インターフェイスは、QoS をサポートします。 |
通過トラフィック用の VPN 終端 |
VPN 接続を BVI で終端することはできません。非ブリッジ グループ インターフェイスは、VPN をサポートします。 ブリッジ グループ メンバー インターフェイスは、管理接続専用のサイト間 VPN トンネルをサポートします。これは、Firepower Threat Defense デバイスを通過するトラフィックに対して VPN 接続を終端しません。アクセス ルールを使用して VPN トラフィックにブリッジ グループを通過させることはできますが、非管理接続は終端されません。 |