典型的なNGFW実装シナリオ

免責事項

この記事では、典型的なNGFW実装シナリオの例を紹介します。 完成したテンプレートに対して提案されたスキームを使用しないでください。 実生活では、ほぼすべての実装は一意です。 ネットワークトポロジを計画する前に注意すべき多くの落とし穴があります。 しかし一般的に、すべてのオプションはいくつかの概念を中心に「展開」します。 それらについて議論しようとします。

情報セキュリティに関する典型的なネットワークアーキテクチャ

NGFWの実装オプションについて説明する前に、ファイアウォールを使用するためのいくつかの典型的なシナリオについて説明します。 ほとんどすべての企業で利用可能な最も一般的なツールを検討します（もちろん、できるだけ単純化された表面的なものです。 実際にはほとんどの場合、最も一般的な3つのオプションがあります。

1）上級

かなり典型的なスキーム。 ネットワークの境界では、少なくとも3つのセグメント（インターネット、DMZ、およびローカルエリアネットワーク）を持つステートフルファイアウォールが使用されます。 同じMEで、サイト間VPNとRA VPNを編成できます。 DMZでは、通常、公共サービスが配置されます。 ほとんどの場合、アンチウイルス機能を備えた何らかのスパム対策ソリューションがあります。

コアスイッチ（L3）には、少なくとも2つのセグメント（ユーザーセグメントとサーバーセグメント）もあり、ローカルトラフィックのルーティングを担当します。 サーバーセグメントには、ウイルス対策機能を備えたプロキシサーバーと企業メールサーバーがあります。 多くの場合、サーバーセグメントは追加のME（仮想または「鉄」）によって保護されます。



追加の保護対策として、トラフィックのコピーを監視するIPSを適用できます（SPANポートに接続）。 実際には、IPSをインラインモードにすることを敢えてしません。



多くの人がこのスキームで彼らのネットワークを推測したと確信しています。

2）簡略化

このオプションも非常に一般的です。 ほとんどすべてのセキュリティ機能は、単一のUTMソリューション（ファイアウォール、プロキシ、AV、アンチスパム、IPS）内に展開されます。 ローカルトラフィックをルーティングするには、カーネルスイッチ（Core SW L3）が使用されます。 会社のメールサーバーおよびその他のサービスを含むサーバーセグメントが強調表示されます。

3）SMB

最も簡単なオプション。 前のものとは、カーネルスイッチがないため異なります。 つまり ローカルセグメントとインターネット間のトラフィックは、単一のUTMデバイスを介してルーティングされます。 このオプションは、トラフィックの少ない小規模企業でよく見られます。



上で書いたように、これは最も一般的なファイアウォールを使用するための3つの典型的なシナリオの非常に表面的な説明です。

NGFW

次世代ファイアウォールは、次世代ファイアウォールです。 私たちは、それが何であるか、それがUTMとどの ように異なる か、市場リーダーとは何か、選択する際に注意を払う必要があるものについて繰り返し議論してきました。 当初、NGFWが導入された主なものは、アプリケーション制御と詳細なパケット検査でした（実際、前者は後者なしでは不可能です）。 アプリケーションは、古典的な「厚い」アプリケーションとしてだけでなく、Webベースのマイクロアプリケーションとしても理解されます。 例としては、ソーシャルネットワークでの投稿、ビデオ、チャットがあります。

ただし、最近のほとんどすべてのNGFWには、さらに多くの機能が組み込まれています。

• アプリケーション制御
• URLフィルタリング
• VPN
• IPS
• アンチウイルス
• スパム対策

一部のソリューションには追加機能があります。

• DLP
• サンドボックス
• ログ分析および相関ユニット

このような機能の大規模な可用性により、実装中に疑問が生じます。 プロキシサーバー（たとえば、ironport）を購入する場合、アプリケーションシナリオははるかに少なくなります。 同じことは、高度にターゲットを絞ったスパム対策ソリューションにも当てはまります。 しかし、現代のNGFWのような「収穫者」とはどうすればいいのでしょうか？ どこに置き、どのように使用しますか？ いくつかの典型的なシナリオを見て、最適な実装方法を説明しましょう。 その後の結論はすべて非常に主観的であり、個人的な経験のみに基づいており、「ベストプラクティス」に従っています。

1）境界デバイスとしてのNGFW

最も単純で最も正しい実装オプション。 このため、NGFWはネットワークの端に立つことも考えました。







利点は何ですか：

• 専用のプロキシを使用する必要はありません。 ほとんどのNGFWはプロキシモードで動作できますが、必要な機能はすべて、すべてのローカルネットワークの「デフォルトルート」モードでも機能します。 デフォルトゲートウェイを設定して、忘れてください。 ユーザーブラウザーには明示的なプロキシはありません。
• デフォルトでは、IPSは存在し、すぐにインラインモードになります。 問題を恐れている場合は、[検出]を設定できます。 専用のIPSデバイスを介してトラフィックをラップする方法や、問題が発生した場合にトラフィックを迅速に戻す方法について考える必要はありません。
• HTTPSトラフィック（SSLインスペクションが有効）を含む、Webトラフィックのウイルス対策。
• メールトラフィック用のウイルス対策。 リンクと添付ファイルを確認してください。
• スパム対策機能。
• 「サンドボックス」（サンドボックス）の機能を迅速に実装する機能。 ほぼすべての最新のNGFWには、サンドボックス（クラウドまたはローカル）をアクティブ化する機能があります。
• すべての情報セキュリティインシデントの組み込みレポート。

ご覧のとおり、スキームは大幅に簡素化されています。 いくつかの従来のファイアウォールを削除します。 一方では、これはプラス（管理が簡素化されます）、他方ではマイナス（単一障害点）です。 どちらが良いかについては、ここでは説明しません。 コンセプトを議論しているだけです。



ネットワークの境界上にあるNGFWを選択するときに探すべきもの：

• ここで最も注意を払う必要があるのは、メールチェック機能です（もちろん、現在のスパム対策ソリューションを削除する場合）。 メールを完全に処理するには、NGFWにMTA（メール転送エージェント）が搭載されている必要があります。 実際、このモードでは、NGFWがSMTPリレーを置き換えます。これにより、メールトラフィックのディープスキャンを実行できます。 サンドボックスに添付ファイルの検証を含める。 MTAがない場合は、少なくともSMTPリレーを離れる必要があります。
• NGFWにMTAが存在する場合でも、メールフィルタリングオプションを注意深く読んでください。 最も重要な基準の1つは、検疫（またはそれを整理する方法）の存在です。
• 当然、HTTPS検査をサポートする必要があります。 この機能がないと、NGFWの名前が1つ残ります。
• NGFWが区別できるアプリケーションの数。 選択したソリューションが必要なアプリケーション（Webアプリケーションを含む）を決定するかどうかを必ず確認してください。

考えられる制限または問題



多くの場合、MEではなくルーターがエッジデバイスとして使用されます。 同時に、NGFWの純粋な形式では利用できない機能（さまざまなWANテクノロジ、ルーティングプロトコルなど）を現在のスキームで使用できます。 これを実装する前に考慮し、慎重に計画する必要があります。 ルーターを離れて並行して使用する（たとえば、WANネットワークを編成する）のは論理的かもしれません。 例：







まとめ



上で書いたように、オプション「ネットワークの境界上のNGFW」は、その能力を最大限に引き出す理想的なオプションです。 ただし、NGFWはルーターではないことを忘れないでください。 通常の機能（bgp、gre、ip slaなど）は存在しないか、非常に切り捨てられた機能に存在する場合があります。

2）プロキシサーバーとしてのNGFW

奇妙なことに、これもかなり一般的なオプションです。 NGFWはプロキシとして開発されていませんが。 典型的なスキーム：







このオプションの利点：

• 実装の速度。 古いプロキシを置き換えると完了です。
• 現在のスキームまたはルーティングを変更する必要はありません。

これで、プロはおそらく終了します。 発表された利点は多くの企業にとって非常に頻繁に決定的になりますが。



プロキシとして機能するNGFWを選択する際に探すべきもの：

• ここで最も重要な点は、ユーザー認証の方法（NTLM、Kerberos、キャプティブポータルなど）です。 選択したソリューションが現在の認証方法をサポートしていること、または適切なものに置き換えることができることを確認してください。
• ユーザーに関する組み込みNGFWレポート（消費トラフィック、訪問リソースなど）に満足していることを確認します。
• トラフィックを制限する機会-QoS、速度の制限（シェーピング）、ダウンロードされたトラフィックの量（制限）。

考えられる制限または問題：

• 最初に覚えておくべきことは、プロキシモードのNGFWはほとんどの場合、機能が切り捨てられていることです。 100パーセント使用することはできません。 特に、電子メールトラフィックのチェックに関しては。
• より低い帯域幅。 プロキシモードのほとんどすべてのNGFWソリューションは、ユーザーあたりの速度が遅いことを実証しています。
• それでもIPSを使用する必要があります。 なぜなら トラフィックの一部はプロキシ経由でインターネットに送られます。

まとめ



個人的なアドバイス-「プロキシとしてのNGFW」を回避できる場合は、回避してください。 実際には、文書化されていない機能を突然「上昇」させ始めます。 そして最大のマイナス点は、メールを完全にチェックできないことです（技術的にはもちろん、これを行うことができますが、「松葉杖」になります）。

3）コアとしてのNGFW

小規模ネットワークの一般的なオプション。 すべてのトラフィック（インターネット、ローカル、サーバー）のルーティングは、NGFWで「ハング」しています。 L3スイッチが存在しないか、単にルーティングに使用されていません。







このオプションの利点：

• 管理のしやすさ。 すべてのアクセスリストを1か所に。
• 展開速度。 原則として、NGFWは、その前にMEがネットワークコアの役割を実行するトポロジでこのように設定されます。
• オプション「ネットワークの境界上のNGFW」のすべての利点。

カーネルモードでNGFWを選択する際の注意事項



ほとんどすべては、「ネットワークの境界上のNGFW」と同じです。 ただし、この場合、MTA関数の存在に特別な注意を払う価値があります。 このような小さなネットワークでは、SMTPリレーの形式で追加のデバイスを使用せずに行うことをお勧めします。 この機能がNGFWに存在する方が良いです。



考えられる制限または問題：

• おそらく、主な問題は単一点障害です。 デバイスを選択するときは、選択したNGFWモデルが負荷を処理できるように、ローカルトラフィックを必ず考慮してください。
• ネットワークは、変更に関して柔軟性が低くなります。 より少ないルーティングデバイス-より少ないトラフィック管理機能。

まとめ



おそらくこれは中小企業に最適です。 もちろん、単一障害点のリスクを想定している場合。

4）ブリッジモードのNGFW

あまり人気のないオプションですが、私たちが望むよりも一般的です。 この場合、現在のネットワークロジックはまったく変更されず、第2レベルのトラフィックはNGFWを通過します。これはブリッジモードで動作します。







この場合、サードパーティのIPSを残すことは意味がありません（特にトラフィックの監視のため）。 NGFWはその機能に対処します。 このオプションは、何らかの理由でトポロジの変更が不可能または非常に望ましくない、より高度なインフラストラクチャで最もよく使用されます。



このオプションの利点：

• 実装の速度。 ネットワークロジックを変更する必要はありません。最大でケーブルを接続するか、VLANを「ラップ」する必要があります。
• より少ないホップ-より単純なネットワークロジック。

おそらくそれだけです。



「ブリッジ」モードでNGFWを選択する際の注意事項：

• 「ブリッジ」モードの制限について！ 注意深く読んでください。
• オフになっている場合でも、トラフィックがデバイスを流れるようにバイパスモジュールを使用することをお勧めします。

考えられる制限または問題



そして、ここには多くの落とし穴があります。 ブリッジモードで適切に機能する単一のNGFWソリューションにはまだ遭遇していません。 たぶん私は不運だった。 しかし、この記事では私の経験のみを共有します。 機能に関する公式の（文書化された）制限に加えて、バグの形の「非公式な」制限や多くの問題が常に発生します。 もちろん、それはすべて、ブリッジモードで使用する機能に依存します。 ファイアウォールのみを構成する場合、実質的に問題はありません。 ただし、IPS、アプリケーション制御、HTTPS検査、またはサンドボックス化などの機能を有効にした場合は、驚きに備えてください。



まとめ



プロキシと同様に、ブリッジモードを回避することをお勧めします。 これが不可能な場合は、インフラストラクチャでこのモードをテストすることを強くお勧めします。 その後、決定を下します。

耐障害性

私はこの点に触れずにはいられませんでした。 ほぼすべてのNGFWソリューションは、2つのクラスタリングモードをサポートしています。

1. 高可用性 1つのクラスターノードはアクティブでトラフィックをルーティングし、2番目のノードはパッシブでホットスタンバイにあり、最初のノードで問題が発生した場合にアクティブになる準備ができています。
2. 負荷分散 両方のノードがアクティブであり、トラフィックはノード間で「分割」されます。

NGFWを計画および実装するときに、負荷共有モードに大きく依存している人が多すぎます。

-デバイス間でトラフィックを共有する場合、デバイスの負荷は半分になります。つまり、デバイスをより弱く、より安く敷設できますか？

-いや！

多くのテストが示すように、適切なトラフィックバランシングを達成することは不可能です。 また、負荷共有が提供する最大の効果は、デバイスの負荷を15％以上削減することです。 さらに、このモードには、ほとんどの場合、高可用性にはないいくつかの制限があります。 必ずチェックしてください。 また、デバイスを選択するときは、常に1つのハードウェアに依存してすべてのトラフィックを処理します。



まとめ



高可用性モードを使用します。

仮想NGFWまたはハードウェア

NGFWを計画するときのもう1つの非常に一般的な質問。 仮想ソリューションまたはアプライアンスを選択します。 単一の答えはありません。 それはすべて、現在のインフラストラクチャ、予算、およびネットワークロジックの変更オプションに依存します。 ただし、さまざまな実装オプションに関する一般的な推奨事項はまだあります。

1. ネットワークの境界上のNGFW。 ここで、最良のオプションはアプライアンスです。 これは論理的です、なぜなら ネットワークの境界は物理的に区別する必要があります。 それでも仮想ソリューションが必要な場合は、NGFWをローカルネットワークとは物理的に区別される専用サーバーに展開することを強くお勧めします。 実際、ベンダーのハードウェアの代わりに、同じアプライアンスを取得し、サーバーをハイパーバイザーとともに使用します。 また、ハイパーバイザー自体の設定に慎重にアプローチして、外部ネットワークからアクセスされないようにする必要があります。
2. プロキシとしてのNGFW。 何を選択するかはそれほど違いはありません。 私の意見では、仮想ソリューションの方がより便利で便利なオプションです。
3. ネットワークのコアとしてのNGFW。 最初の段落のような基本的な要件。 なぜなら NGFWがインターネットに直接接続されている場合、ソリューションは会社のサーバー（専用サーバー上のアプライアンスまたは仮想マシン）から物理的に分離する必要があります。 なぜなら この場合のNGFWはカーネルの役割も果たします。必要な物理ポートの数と、どのポート（1g、10g、オプティクス）を理解する必要があります。 また、選択にも大きく影響します。
4. ブリッジモードのNGFW。 このオプションでは、ハードウェアデバイスを強くお勧めします。 バイパスモジュールの存在が望ましいです（デバイスの電源がオフの場合でもトラフィックは通過します）。

仮想ソリューションの長所と短所を見てみましょう。



仮想ソリューションの利点：

• 仮想ソリューションの主な利点は、管理の容易さ（バックアップ、スナップショット）と展開の速度です。
• また、非常に頻繁に安価で拡張性も優れています。 原則として、ライセンスは使用されるコアの数に基づいています。 必要に応じて、いくつかのコアを簡単に購入できます。

仮想ソリューションの短所：

• ハードウェアに保証はありません。 サーバーが故障した場合は、自分で対処する必要があります。
• セキュリティの専門家であれば、IT部門とやり取りする必要があります。 奇妙なことに、多くの企業ではこれは非常に大きな問題です。

アプライアンスの場合、逆のことが当てはまります。 さらに、追加の物理ポートがすぐに使用できます。

おわりに

この記事が退屈で表面的なものではないことを願っています。 私は要点を強調し、数時間の読書のために「講義」を広げたくありませんでした。 この記事が誰かに本当に役立つとうれしいです。 ご質問やご意見がありましたら、コメントまたはプライベートメッセージでご相談ください。



PS試用版ライセンスを取得して、興味のあるソリューションをここでテストしてください