🔀 💪🏿 🏨 ネットワークインフラストラクチャを制御する方法。第3章ネットワークセキュリティ。パート3 👍🏻 🛀🏽 👸🏿

この記事は、「ネットワークインフラストラクチャを管理する方法」というタイトルの一連の記事の5番目です。 シリーズのすべての記事の内容とリンクはここで見つけることができます 。

このパートは、キャンパス（オフィス）セキュリティ設計とリモートアクセスVPNセグメントの監査に専念します。

オフィスネットワークの設計は単純に見えるかもしれません。

実際、L2 / L3スイッチを使用し、それらを接続します。次に、ビラン、デフォルトゲートウェイの基本構成、シンプルルーティングの引き上げ、WiFiコントローラー、アクセスポイントの接続、ASAのインストールとリモートアクセス用の構成を行い、すべてが機能したことを嬉しく思います。原則として、このシリーズの以前の記事のいずれかですでに書いたように、テレビのコースの2学期を聞いた（そして学んだ）ほぼすべての学生は、「何らかの形で機能する」オフィスネットワークを設計および構成できます。

しかし、学べば学ぶほど、このタスクは初歩的に見えなくなります。個人的には、オフィスネットワーク設計のテーマであるこのトピックはまったく単純ではないようです。この記事では、その理由を説明します。

要するに、かなり多くの要因を考慮する必要があります。多くの場合、これらの要因は互いに対立しており、合理的な妥協を模索する必要があります。

この不確実性が主な困難です。したがって、セキュリティについて言えば、セキュリティ、従業員の利便性、ソリューションの価格という3つの頂点を持つ三角形があります。

そして、3つの間の妥協点を見つける必要があります。

建築

これら2つのセグメントのアーキテクチャの例として、以前の記事と同様に、 Cisco SAFEモデルを推奨します。EnterpriseCampus 、 Enterprise Internet Edgeです。

これらはやや時代遅れの文書です。原則としてスキームとアプローチは変更されていないので、ここにそれらを持ち込みますが、同時に新しいドキュメントよりもプレゼンテーションが好きです。

シスコのソリューションを使用するように促すことなく、この設計を慎重に検討することは依然として有用だと思います。

この記事は、いつものように、何らかのふりをすることなく、この情報への追加です。

記事の最後で、ここで概説した概念の観点から、オフィス向けのCisco SAFEの設計を分析します。

一般原則

もちろん、オフィスネットワークの設計は、「設計品質評価基準」の章で説明されている一般的な要件を満たす必要があります。この記事で説明する価格とセキュリティに加えて、設計時（または変更時）に考慮しなければならない基準が3つあります。

拡張性
管理の利便性（管理性）
利用可能

データセンターで議論されたものの多くは、オフィスにも当てはまります。

しかし、それにもかかわらず、オフィスセグメントには独自の特異性があり、これはセキュリティの観点から重要です。この特異性の本質は、このセグメントが会社の従業員（およびパートナーとゲスト）にネットワークサービスを提供するために作成され、その結果、問題の最高レベルの考慮事項に2つのタスクがあることです。

従業員（ゲスト、パートナー）および彼らが使用するソフトウェアから生じる可能性のある悪意のある活動から会社のリソースを保護します。これには、不正なネットワーク接続に対する保護も含まれます。
システムとユーザーデータを保護する

そして、これは問題の片側にすぎません（むしろ、三角形の1つの頂点）。一方、ユーザーの利便性と適用されるソリューションの価格です。

まず、ユーザーが最新のオフィスネットワークに期待するものを見てみましょう。

アメニティ

私の意見では、オフィスユーザーにとって「ネットワークの利便性」は次のようになります。

機動性
使い慣れたすべてのデバイスとオペレーティングシステムを使用する機能
必要なすべての企業リソースへの簡単なアクセス
さまざまなクラウドサービスを含むインターネットリソースの可用性
「高速作業」ネットワーク

これはすべて、従業員とゲスト（またはパートナー）の両方に適用されます。これは、さまざまなユーザーグループのアクセスを区別するための承認に基づく会社のエンジニアのタスクです。

これらの各側面を詳しく見てみましょう。

機動性

それは、世界中のどこからでも（もちろん、インターネットが利用可能であれば）会社のすべての必要なリソースを使用して使用する機会についてです。

これは完全にオフィスに適用されます。これは、オフィスのどこからでも仕事を続ける機会がある場合に便利です。たとえば、メールの受信、企業のメッセンジャーでのコミュニケーション、ビデオコールへの応対などです。これにより、一方で、「ライブ」を通じていくつかの問題を解決できます。コミュニケーション（たとえば、集会に参加するため）、およびその他-常にオンラインで、常に最新の状態に保ち、優先度の高い緊急タスクをすばやく解決します。これは非常に便利であり、実際、通信の品質を向上させます。

これは、WiFiネットワークの正しい設計によって実現されます。

発言

これは通常、疑問を提起します。WiFiのみを使用するだけで十分ですか？これは、オフィスでイーサネットポートの使用を拒否できるということですか？通常のイーサネットポートに接続するのが賢明なサーバーについてではなく、ユーザーだけについて話している場合、一般的に答えは次のとおりです。はい、WiFiのみに制限できます。しかし、微妙な違いがあります。

別のアプローチを必要とする重要なユーザーグループがあります。もちろん、これらは管理者です。原則として、WiFi接続は通常のイーサネットポートよりも信頼性が低く（トラフィック損失の点で）、速度が遅くなります。これは管理者にとって重要です。さらに、たとえば、ネットワーク管理者は、基本的に帯域外接続用に独自の専用イーサネットネットワークを持つことができます。

あなたの会社には、これらの要因も重要な他のグループ/部門があるかもしれません。

別の重要なポイントがあります-電話。おそらく何らかの理由で、ワイヤレスVoIPを使用せず、通常のイーサネット接続でIP電話を使用したい場合があります。

一般に、私が働いていた企業では、通常、WiFi接続とイーサネットポートの両方が存在する可能性がありました。

モビリティがオフィスだけに限られていないことを願っています。

自宅（またはインターネットにアクセスできる他の場所）から作業できるように、VPN接続が使用されます。同時に、従業員が在宅勤務と遠隔勤務の違いを感じないことが望ましい。これは、同じアクセスの存在を意味します。これを整理する方法については、「統合された集中認証および承認システム」の章で少し説明します。

発言

ほとんどの場合、あなたがオフィスにいるリモートワークと同じ品質のサービスを完全に提供することはできません。 Cisco ASA 5520をVPNゲートウェイとして使用していると仮定すると、データシートによると、このデバイスは225 MbpsのVPNトラフィックのみを「ダイジェスト」できます。それはもちろん、帯域幅の点では、VPN接続はオフィスで働くこととは非常に異なります。また、何らかの理由で、ネットワークサービスの遅延、損失、ジッター（たとえば、オフィスのIPテレフォニーを使用したい）が重要な場合、オフィスにいるときと同じ品質を得ることもできません。したがって、モビリティについて話すときは、考えられる制限に留意する必要があります。

すべての企業リソースへの簡単なアクセス

このタスクは、他の技術部門と連携して対処する必要があります。

理想的な状況は、ユーザーが一度だけ認証する必要があり、その後、必要なすべてのリソースにアクセスできる場合です。

セキュリティを損なうことなく簡単にアクセスできるようにすると、作業効率が大幅に向上し、同僚のストレスレベルが軽減されます。

備考1

アクセスのしやすさは、パスワードを入力しなければならない回数だけではありません。たとえば、セキュリティポリシーに従って、オフィスからデータセンターに接続する場合、最初にVPNゲートウェイに接続する必要があり、同時にオフィスリソースへのアクセスを失う必要がある場合、これも非常に不便です。

備考2

通常、専用のAAAサーバーが用意されているサービス（ネットワーク機器へのアクセスなど）があります。この場合、通常は数回認証する必要があります。

インターネットリソースの可用性

インターネットはエンターテイメントだけでなく、仕事に非常に役立つサービスのセットでもあります。純粋に心理的な要因もあります。インターネットを介して他の人と接続された多くの仮想スレッドを介して現代人は、私の意見では、彼が仕事中であってもこの接続を感じ続ければ何も悪いことはありません。

時間を浪費するという観点からは、たとえば従業員がスカイプを実行していても問題ありません。必要に応じて、愛する人と5分間話をします。

これは、インターネットが常に利用可能であることを意味しますか？これは、従業員がすべてのリソースへのアクセスをオープンでき、それらを制御できないことを意味しますか？

いいえ、もちろんありません。インターネットの開放性のレベルは、完全な閉鎖から完全な開放性まで、企業によって異なる場合があります。トラフィックを制御する方法については、セキュリティ機能のセクションで後ほど説明します。

使い慣れたすべてのデバイスを使用する機能

たとえば、職場での通常のコミュニケーション手段をすべて使い続ける機会がある場合に便利です。これを技術的に実装するのに困難はありません。これを行うには、WiFiとゲストvilanが必要です。

慣れているオペレーティングシステムを使用できる場合にも適しています。しかし、私の観察では、通常、これはマネージャー、管理者、および開発者にのみ許可されています。

例

もちろん、チェックポイントで携帯電話とガジェットを削除することなく、禁止のパスをたどり、リモートアクセスを禁止し、モバイルデバイスからの接続を禁止し、すべての静的イーサネット接続を制限し、インターネットアクセスを制限することができます...セキュリティ要件、そして場合によっては、これは正当化されるかもしれませんが、...単一の組織の進歩を止める試みのように見えることに同意します。もちろん、最新のテクノロジーが提供する機会と適切なレベルのセキュリティを組み合わせたいと思います。

「高速作業」ネットワーク

データ転送速度は、技術的に多くの要素で構成されています。通常、接続ポートの速度は最も重要ではありません。常にアプリケーションの遅い動作がネットワークの問題に関連しているわけではありませんが、今はネットワークの部分にのみ関心があります。ローカルネットワークの「速度低下」の最も一般的な問題は、パケット損失に関連しています。これは通常、ボトルネック効果またはL1（OSI）の問題で発生します。あまり一般的ではありませんが、一部の設計では（たとえば、ファイアウォールがサブネットのデフォルトゲートウェイとして機能するため、すべてのトラフィックが通過する場合）、ハードウェアのパフォーマンスが低下する場合があります。

したがって、機器とアーキテクチャを選択するときは、エンドポート、トランクの速度、および機器のパフォーマンスを相関させる必要があります。

例

アクセスレベルスイッチとして1ギガビットポートのスイッチを使用するとします。これらは、Etherchannel 2 x 10ギガビットで相互接続されます。デフォルトゲートウェイとして、ギガビットポートを備えたファイアウォールを使用し、Etherchannelに統合された2つのギガビットポートを使用するオフィスのL2ネットワークに接続します。

このアーキテクチャは、機能的に非常に便利です。なぜなら、すべてのトラフィックはファイアウォールを通過し、アクセスポリシーを快適に管理し、複雑なアルゴリズムを適用してトラフィックを制御し、攻撃の可能性を防ぐことができます（以下を参照）が、帯域幅とパフォーマンスの観点から、この設計には潜在的な問題がありますしたがって、たとえば、データをダウンロードする2つのホスト（ポート速度が1ギガビット）は、2ギガビット接続をファイアウォールに完全にロードできるため、オフィスセグメント全体のサービスの低下につながります。

三角形の1つの頂点を見ました。次に、セキュリティを提供する方法を見てみましょう。

救済

したがって、もちろん、通常、私たちの欲求（または、むしろ、私たちのリーダーシップの欲求）は、不可能を達成すること、つまり、最大限の利便性と最大限のセキュリティと最小限の価格を提供することです。

保護を提供する必要がある方法を見てみましょう。

オフィスでは、次のことを選びます。

ゼロトラスト設計アプローチ
高レベルの保護
ネットワークの可視性
単一の集中認証および認可システム
ホストチェック

次に、これらの各側面について詳しく説明します。

ゼロトラスト

ITの世界は急速に変化しています。文字通り、過去10年間、新しい技術と製品の出現により、セキュリティの概念が大幅に改訂されました。 10年前、セキュリティの観点から、ネットワークを信頼ゾーン、dmzゾーン、untrustゾーンに分割し、「境界防御」と呼ばれるものを使用しました。untrust-> dmzおよびdmz-> trust。また、保護は通常、L3 / L4（OSI）ヘッダー（IP、TCP / UDPポート、TCPフラグ）に基づくアクセスリストに限定されていました。 L7を含む、より高いレベルに関連するものはすべて、エンドホストにインストールされたOSおよび保護製品に任されていました。

現在、状況は劇的に変化しています。ゼロトラストの現代の概念は、内部、つまり境界内のシステムを信頼することはもはや不可能であり、境界の概念そのものが曖昧になったという事実に基づいています。

インターネット接続に加えて、我々も持っています

リモートアクセスVPNユーザー
さまざまなパーソナルガジェットにより、オフィスのWiFiを介してラップトップが接続されました
他の（支店）オフィス
クラウドインフラストラクチャとの統合

ゼロトラストのアプローチは実際にはどのように見えますか？

理想的には、必要なトラフィックのみを許可し、理想について話している場合は、L3 / L4レベルだけでなく、アプリケーションレベルでも制御する必要があります。

たとえば、すべてのトラフィックをファイアウォールを通過させる機会があれば、理想に近づけることができます。ただし、このアプローチはネットワークの総帯域幅を大幅に削減できます。また、アプリケーションによるフィルタリングが常に適切に機能するとは限りません。

（標準ACLを使用して）ルーターまたはL3スイッチ上のトラフィックを監視する場合、他の問題が発生します。

これは、L3 / L4フィルタリングのみです。攻撃者がアプリケーション（httpではなく）に許可されたポート（TCP 80など）を使用することを妨げるものは何もありません
複雑なACL管理（ACLの分析が困難）
これはステートフルファイアウォールではありません。つまり、明示的に逆トラフィックを許可する必要があります。
スイッチの場合、通常、TCAMのサイズによって非常に厳しく制限されます。「必要なものだけを許可する」アプローチを使用すると、すぐに問題になります。

発言

逆トラフィックといえば、次の機会があることを覚えておく必要があります（Cisco）

任意の確立されたtcpを許可します

ただし、この行は2行に相当することを理解する必要があります。

tcp any any ackを許可します

tcp any any rstを許可します

つまり、SYNフラグを持つ元のTCPセグメントがなかった場合（つまり、TCPセッションが確立されなかった場合でも）、このACLはACKフラグを持つパケットをスキップし、攻撃者はこれを使用してデータを送信できます。

つまり、この行は、ルーターまたはL3スイッチをステートフルファイアウォールに決して変えません。

高レベルの保護

データセンターに特化したセクションの記事では、次の保護方法を検討しました。

ステートフルファイアウォール（デフォルト）
ddos / dos保護
アプリケーションファイアウォール
脅威の防止（ウイルス対策、スパイウェア対策、脆弱性）
URLフィルタリング
データフィルタリング（コンテンツフィルタリング）
ファイルのブロック（ファイルの種類のブロック）

オフィスの場合、状況は似ていますが、優先順位はわずかに異なります。通常、Officeのアクセシビリティ（可用性）はデータセンターの場合ほど重要ではありませんが、「内部」の悪意のあるトラフィックの可能性は桁違いに高くなります。

したがって、このセグメントの次の保護方法が重要になります。

アプリケーションファイアウォール
脅威の防止（ウイルス対策、スパイウェア対策、脆弱性）
URLフィルタリング
データフィルタリング（コンテンツフィルタリング）
ファイルのブロック（ファイルの種類のブロック）

これらのすべての保護方法は、アプリケーションファイアウォールを除き、伝統的に解決されており、エンドホストで（たとえば、ウイルス対策プログラムをインストールすることによって）プロキシを使用して解決され続けていますが、最新のNGFWはこれらのサービスも提供します。

セキュリティ機器ベンダーは包括的な保護の作成に努めており、ローカルボックスでの保護とともに、ホスト用のさまざまなクラウドテクノロジーとクライアントソフトウェア（エンドポイント保護/ EPP）が提供されています。たとえば、2018年のGartner Magic Quadrantでは、 Palo AltoとCiscoには独自のEPP（PA：トラップ、Cisco：AMP）がありますが、リーダーからはほど遠いことがわかります。

もちろん、これらの保護を（通常はライセンスの購入を通じて）ファイアウォールに含めることは必須ではありません（従来の方法を使用できます）が、いくつかの利点があります。

この場合、保護方法の単一の適用ポイントが表示され、可視性が向上します（次のトピックを参照）。
ネットワークに保護されていないデバイスがある場合、ファイアウォール保護の「傘」の対象となります
ファイアウォールの保護とエンドホストの保護を併用すると、悪意のあるトラフィックを検出する可能性が高まります。たとえば、ローカルホストおよびファイアウォールで脅威防止を使用すると、検出の可能性が高くなります（もちろん、これらのソリューションが異なるソフトウェア製品に基づいている場合）

発言

たとえば、ファイアウォールとエンドホストの両方でKasperskyをウイルス対策として使用する場合、これはもちろん、ネットワークでのウイルス攻撃を防止する可能性を大幅に高めることはありません。

ネットワークの可視性

基本的な考え方は簡単です。リアルタイムデータと履歴データの両方で、ネットワークで何が起こっているかを「見る」ことができます。

この「ビジョン」を2つのグループに分けます。

グループ1：監視システムが通常提供するもの。

機器のローディング
ローディングチャンネル
メモリ使用量
ディスク使用量
ルーティングテーブルを変更する
リンク状態
機器（またはホスト）の可用性
...

グループ2：セキュリティ関連情報。

さまざまな種類の統計（アプリケーションごと、トラフィックURLごと、ダウンロードされたデータの種類、ユーザーごとのデータなど）
セキュリティポリシーによってブロックされたものとその理由
- 禁止申請
- IP /プロトコル/ポート/フラグ/ゾーンに基づいて禁止
- 脅威防止
- URLフィルタリング
- データフィルタリング
- ファイルのブロック
- ...
DOS / DDOS攻撃に関する統計
失敗した認証および許可の試行
上記のすべてのセキュリティポリシー違反に関する統計
...

セキュリティに関するこの章では、正確に第2部に興味があります。

一部の最新のファイアウォール（私のPalo Altoの実践による）は、良好なレベルの可視性を提供します。ただし、もちろん、関心のあるトラフィックはこのファイアウォールを通過する必要があり（この場合、トラフィックをブロックできます）、またはファイアウォールにミラーリングされ（監視と分析のみに使用）、これらのサービスをすべて有効にするためのライセンスが必要です。

もちろん、代替パスがありますが、たとえば、従来のパスがあります。

セッションに関する統計は、netflowを介して収集でき、その後、特別なユーティリティを使用して情報を分析し、データを視覚化できます。
脅威の防止-エンドホスト上の特別なプログラム（ウイルス対策、スパイウェア対策、ファイアウォール）
URLフィルタリング、データフィルタリング、ファイルブロッキング-プロキシ上
また、 snortで tcpdumpを解析することもできます

これらの2つのアプローチを組み合わせて、欠落している機能を補完するか複製して、攻撃を検出する可能性を高めることができます。

どのアプローチを選択しますか？

それはあなたのチームの資格と好みに依存します。

長所と短所があります。

統合された集中認証および認可システム

優れた設計により、この記事で説明したモビリティは、オフィスや自宅、空港、カフェ、またはその他の場所から作業するときに同じアクセス権を持っていることを前提としています（上記で説明した制限があります）。問題は何ですか？

このタスクの複雑さをよりよく理解するために、典型的なデザインを見てみましょう。

例

すべての従業員をグループに分割しました。グループアクセスを許可することにしました
オフィス内では、オフィスのファイアウォールへのアクセスを制御します
データセンターのファイアウォールで、オフィスからデータセンターへのトラフィックを制御します
VPNゲートウェイとして、Cisco ASAを使用し、割り当てられたクライアントからネットワークに入るトラフィックを制御するには、ローカル（ASA上）ACLを使用します

ここで、特定の従業員にアクセスを追加するように求められたとします。同時に、あなたは彼だけにアクセス権を追加するように求められ、彼のグループからは誰も追加しません。

これを行うには、この従業員用に別のグループを作成する必要があります。

ASAで、この従業員用に個別のIPプールを作成します
ASAに新しいACLを追加し、このリモートクライアントにバインドします
オフィスおよびデータセンターのファイアウォールに新しいセキュリティポリシーを作成する

まあ、このイベントがまれな場合。しかし、私の実践では、従業員がさまざまなプロジェクトに参加する状況があり、一部の従業員のこのプロジェクトセットは頻繁に変更され、これは1〜2人ではなく数十人でした。もちろん、ここで何かを変更する必要がありました。

これは次の方法で解決されました。

すべての従業員アクセスを決定する唯一の真実のソースはLDAPであると判断しました。アクセスのセットを定義するすべての種類のグループを作成し、各ユーザーを1つまたは複数のグループにリンクしました。

したがって、たとえば、グループがあったとします

ゲスト（インターネットアクセス）
共通アクセス（共有リソースへのアクセス：メール、知識ベース、...）
経理
プロジェクト1
プロジェクト2
データベース管理者
Linux管理者
...

また、従業員の1人がプロジェクト1とプロジェクト2の両方に関与しており、これらのプロジェクトで作業するために必要なアクセスが必要な場合、この従業員はそれぞれ次のグループに所属していました。

ゲスト
共通アクセス
プロジェクト1
プロジェクト2

この情報をネットワーク機器上のアクセスに変換する方法は？

Cisco ASAダイナミックアクセスポリシー（DAP）（ www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guideを参照.html ）ソリューションは、このタスクに最適です。

実装について簡単に説明すると、識別/承認プロセス中に、ASAはLDAPからこのユーザーに対応するグループのセットを受け取り、いくつかのローカルACL（それぞれがグループに対応）から必要なすべてのアクセスを持つ動的ACLを「収集」します。

ただし、これはVPN接続専用です。 VPNを介して接続された従業員とオフィスの従業員の両方で状況を同じにするために、次のステップが取られました。

オフィスから接続する場合、802.1xプロトコルを使用するユーザーは、ゲストvilan（ゲスト用）または共有アクセスのあるvilan（会社の従業員用）で終了しました。さらに、特定のアクセス（データセンター内のプロジェクトなど）を取得するために、従業員はVPN経由で接続する必要がありました。

オフィスと自宅から接続するために、ASAの異なるトンネルグループが使用されました。これは、オフィスから共有リソース（メール、ファイルサーバー、チケットシステム、DNSなどのすべての従業員が使用）に接続するトラフィックの場合、ASAではなくローカルネットワークを経由するために必要です。したがって、高強度のトラフィックを含む過剰なトラフィックでASAをロードしませんでした。

したがって、問題は解決されました。

できた

オフィスからの接続とリモート接続の両方に同じアクセスセット
ASAを介した高強度トラフィックの送信に関連するオフィスでの作業時のサービス低下の欠如

このアプローチの利点は何ですか？

アクセス管理。アクセスは1か所で簡単に変更できます。

たとえば、従業員が退職した場合、LDAPから削除するだけで、その従業員はすべてのアクセスを自動的に失います。

ホストチェック

リモート接続が可能な場合、会社の従業員だけでなく、彼のコンピューター（自宅など）に存在する可能性のあるすべての悪意のあるソフトウェアをネットワークに許可するリスクがあります。さらに、このソフトウェアを通じて、このホストをプロキシとして使用する攻撃者へのネットワーク。

リモートホストがオフィスホストと同じセキュリティ要件を適用することは理にかなっています。

これには、OSの「正しい」バージョン、ウイルス対策、スパイウェア対策、およびファイアウォールソフトウェアと更新も含まれます。通常、この機能はVPNゲートウェイに存在します（ASAについては、たとえば、こちらを参照してください）。

また、セキュリティポリシーに従ってオフィストラフィックに適用されるトラフィック分析およびブロックの同じ方法（「高レベルの保護」を参照）を適用することも合理的です。

オフィスネットワークがオフィスビルとその中にあるホストに限定されなくなったと仮定するのは合理的です。

例

リモートアクセスを必要とするすべての従業員に、便利で便利なラップトップを装備し、オフィスと自宅の両方で仕事をすることだけを要求することを歓迎します。

これにより、ネットワークのセキュリティレベルが向上するだけでなく、非常に便利であり、通常は従業員が積極的に認識します（本当に便利で便利なラップトップの場合）。

バランス感覚とバランスについて

原則として、これは三角形の3番目のピーク、つまり価格に関する会話です。

架空の例を見てみましょう。

例

200 . .

. security , (anti-virus, anti-spyware, and firewall software), .

( ) 10- , — NGFW , , Palo Alto 7K (c 40 ), , , High Availability .

, , security .

, .

, 10 , ( ) .

, 200 …

便利ですか？ , .

…

, - , . — , , , .

この例は誇張されていますか？次の章でこの質問に答えます。

ネットワーク上で、この記事で検討した内容が表示されない場合は、これが標準です。

特定のケースごとに、利便性、価格、セキュリティの間の合理的な妥協点を見つける必要があります。多くの場合、オフィスでNGFWさえ必要としないため、ファイアウォールでのL7保護は必要ありません。適切なレベルの可視性とアラートを提供するだけで十分です。これは、たとえばオープンソース製品を使用して実行できます。はい、攻撃に対するあなたの反応は瞬時ではありませんが、主なことはそれを見るということであり、あなたの部門に適切なプロセスがあれば、あなたはそれを迅速に無力化することができます。

そして、これらの一連の記事のアイデアによれば、あなたはネットワーク設計に関与しておらず、あなたが得たものを改善しようとしているだけであることを思い出させてください。

オフィスアーキテクチャの安全分析

ここで説明したいSAFE Secure Campus Architecture Guideの図上で場所を割り当てたこの赤い四角に注意してください。

これは、建築の重要な場所の1つであり、最も重要な不確実性の1つです。

注：

FirePowerを設定したことはなく（Ciscoファイアウォールラインから-ASAのみ）、同じ機能を備えていると仮定して、たとえばJuniper SRXやPalo Altoなどの他のファイアウォールと同様に検討します。

通常の構造から、この接続でファイアウォールを使用するための4つの可能なオプションのみが表示されます。

各サブネットのデフォルトゲートウェイはスイッチであり、ファイアウォールは透過モードです（つまり、すべてのトラフィックは通過しますが、L3ホップを形成しません）。
- ( SVI ), L2
VRF, VRF , VRF ACL
,

1

, .

2

PBR ( service chain), , , , .

ドキュメントのフローの説明から、すべての同じトラフィックがファイアウォールを通過することがわかります。つまり、Ciscoの設計に従って、4番目のオプションは表示されなくなります。

最初の2つのオプションを見てみましょう。

これらのオプションを使用すると、すべてのトラフィックがファイアウォールを通過します。

次に、データシートとCisco GPLを見て、オフィスの合計帯域幅を少なくとも10〜20ギガビットの領域にしたい場合は、4Kバージョンを購入する必要があることを確認します。

注

合計帯域幅について話すとき、サブネット間のトラフィックを意味します（1つのwilan内ではありません）。

GPLから、Threat Defenseを備えたHAバンドルの価格は、モデル（4110〜4150）に応じて、約50〜250万ドルと異なることがわかります。

つまり、設計は前の例のようになり始めます。

これは、この設計が間違っていることを意味しますか？

いいえ、そうではありません。シスコは、所有する製品ラインに基づいて可能な限り最高の保護を提供します。しかし、これはそれがあなたにとって「マストドゥ」であることを意味するものではありません。

原則として、これはオフィスまたはデータセンターの設計で発生する一般的な質問であり、これは妥協点を探さなければならないことを意味します。

たとえば、すべてのトラフィックがファイアウォールを通過できるわけではありません。この場合、3番目のオプションは非常に良いように思えます（前のセクションを参照）。おそらく、このネットワークセグメントにThreat Defenseは必要ないか、ファイアウォールは不要必要なのは、有料（高価ではない）またはオープンソースのソリューションを使用したパッシブモニタリング、またはファイアウォールが必要ですが、別のベンダーが必要です。

通常、この不確実性は常に存在し、どのソリューションが最適であるかについて単一の答えはありません。

これがこのタスクの複雑さと美しさです。

ネットワークインフラストラクチャを制御する方法。 第3章 ネットワークセキュリティ。 パート3

建築