デフォルトでは、サイトの背後にあるLANトラフィックは、トラフィック検査のためにWANを介してPoPに送信されます。 同じサイトの背後にあるホストの場合、トラフィックはラストマイル経由でPoPに送信され、次に同じサイトに返送されます。 また、SocketをLANファイアウォールとして使用し、サードパーティ製のファイアウォールアプライアンスを必要とせずに、トラフィックをローカルでセグメント化できます。
Socket Next Gen LAN Firewallを使用すると、レイヤー2からレイヤー7(アプリケーション層)までのポリシー制御を行い、サイトの背後のトラフィックをルーティングおよびセグメント化できます。 トラフィックをローカルでルーティングすることによって、インターネット接続が途切れても、OTやIoTなどの重要な環境がローカルネットワーク上で動作し続けることが保証されます。
LANファイアウォールは、アカウントレベルのポリシーであり、各サイトを手動で構成することなく、複数のサイトにわたって企業全体のポリシーを適用するルールを設定できます。 Next Gen LAN ファイアウォールルールの設定に関する詳しい情報は、管理Socket 次世代LAN ファイアウォールポリシーを参照してください。
異なるSocketタイプの次世代LANファイアウォールのスループットに関する情報は、Cato Cloud しきい値と制限値を参照してください。
Example Corpは、同じLANネットワーク設計を使用する200のグローバル支店を持っています。 これにはサーバー用のVLAN ID 10と、ビジネスに不可欠なOTデバイス用のVLAN ID 20が含まれます。 ネットワークチームは、これらのVLAN間のトラフィックをローカルでルーティングすることを決定し、ISPの障害があっても、OTデバイスとサーバーが通信を続けられるようにします。 さらに、VLAN間の特定のプロトコルのみを許可したいと考えています。
ネットワークチームは、サイトを200の関連サイトを含むグループオブジェクトとして構成し、トランスポートをLANとして構成し、トラフィックをローカルでルーティングするLANネットワークルールを作成します。 その後、LANネットワークルールの下にLANファイアウォールルールを作成し、VLAN 10とVLAN 20をソースおよび宛先として構成し、方向を両方として構成します。 サービス/ポートでは、許可したいプロトコルを構成し、アクションは許可として構成します。
この単一のLANファイアウォールルールは、すべてのサイトに対して個別のルールを構成する必要なしに、200のローカルネットワークそれぞれにポリシーを適用します。
Socket Next Gen LAN ファイアウォールの最大対応スループットは、Catoによって定義されたTCPとUDPアプリケーションの組み合わせに基づいています。
|
ソケットモデル |
L4 Mbps スループット |
L7 Mbps スループット |
|---|---|---|
|
X1500 |
1000 |
740 |
|
X1500B |
1000 |
1000 |
|
X1600とX1600 LTE |
8000 |
2500 |
|
X1700 |
8000 |
8000 |
|
X1700B |
13000 |
10000 |
注: パフォーマンスとスループットは、1500パケットMTUに基づく理想的なテスト条件で測定されます。
このセクションでは、レイヤー7 LANファイアウォールの役割と機能を理解するための基本概念を説明します。
LANファイアウォールの役割と他のCatoポリシーとの関係を理解するには、CatoがトラフィックをLAN、WAN、またはインターネットのいずれか一つとして識別することを理解することが重要です。 これらのトラフィックの種類の区別と特性を理解することは、最適なポリシー計画と異なるCatoファイアウォールポリシーの活用において非常に重要です。 詳細については、Getting Started with the Cato Firewallsをご覧ください。
同じサイト内のホスト間のトラフィックは、LANトラフィック(ソケットによってルーティングされ、PoPに送信されない)またはWANトラフィック(PoPに送信されてからサイトに戻される)として処理されることができます。これは構成に依存します。 Socketのデフォルトの動作は、すべてのトラフィックをPoPにルーティングして検査し、PoPがトラフィックをブロックまたは許可します。 ただし、LANファイアウォールポリシーに一致するトラフィックはローカルにルーティングされ、PoPには送信されません。
LAN内のホストからのトラフィックがSocketに到達すると、SocketはそのトラフィックがLANファイアウォールポリシーのルールに一致するか確認します。
-
ルールに一致する場合、SocketはトラフィックをPoPに送信せずにローカルの宛先にルーティングします。
-
LANファイアウォールルールに一致しないトラフィックは、WANまたはインターネットファイアウォールによって処理されるためにPoPに送信されます。
LANトラフィックの定義に関する詳細については、下記のLANファイアウォールポリシーを参照してください。
以下は、ローカルネットワーク上のホストからのトラフィックをSocket LANファイアウォールがどのように処理するかを示す状態機械図です。
LANファイアウォールはレイヤー2から4、そしてレイヤー7(アプリケーション層)の検査をサポートしており、アプリケーション、サービス、およびアプリケーション内の特定のコンテンツに基づいてトラフィックを制御できます。 デフォルトでは、サイトはレイヤー2-4の機能をサポートし、どのサイトがレイヤー7機能も有効にされているかをポリシーで定義します。 このセクションでは、レイヤー2-4とレイヤー7のファイアウォールの違いを説明します。
レイヤー2-4ファイアウォールは、IPアドレス、ポート、およびTCPまたはUDPのようなトランスポート層プロトコルといった基本的な条件に基づいてトラフィックをフィルタリングします。 これらの条件に対して、Socketファイアウォールは最初のパケットに基づいてトラフィックを許可またはブロックすることができます。 基本的なトラフィック制御には効果的ですが、このアプローチはパケット内で送信される実際のデータを分析します。
レイヤー7(アプリケーション層)ファイアウォールは、特定のアプリケーション、ドメイン、またはプロトコルを識別するためにパケットのペイロードを検査します。 例えば、レイヤー7ファイアウォールはSMBv1とSMBv3のトラフィックを区別したり、トラフィックを生成している特定のアプリケーション(例:Office 365)を識別したりできます。 より詳細なポリシー執行とローカルネットワークトラフィックの改善された制御が可能になります。 ただし、レイヤー7の検査には、アプリケーションデータを決定するために追加のパケットを分析する必要があり、レイヤー4処理よりも多くのSocketリソースが必要です。 これは、企業LANファイアウォールポリシーを計画する際、およびレイヤー7機能を有効にするサイトを決定する際に考慮する必要があります。
サイトをLayer 7 機能で有効にすると、ソケットはLANトランスポートを使用するように定義済みのトラフィック(下記のLANファイアウォールポリシーを参照)に対して、LANファイアウォールルールが設定されているか否かに関らず、トラフィックに対するパケットを詳細に検査します。 これにより、アプリケーション、アプリのリスク、およびカスタムアプリなどのフィールドを含む、サイトトラフィックのイベントにレイヤー7データが表示されます。
Socketは、LANトラフィックに対するルーティング決定をまず行い、トラフィックをPoPに送信するかローカルでルートするかを判断して、LANファイアウォールポリシーを適用します。 次に、LANファイアウォールルールが適用され、トラフィックがブロックされるか許可されるかを判断します。
これを実装するために、LANファイアウォールポリシーにはLANネットワークおよびLANファイアウォールルールが含まれます。 LANネットワークルールがSocketがトラフィックをどのようにルートするかを定義します。LAN上でローカルにまたはWANトラフィックとしてPoPに送信されます。 LANネットワークルールが一致し、トランスポートをLANとして定義すると、関連するLANファイアウォールルールがトラフィックが許可されるかブロックされるかを決定し、Socketがそのルールを施行します。 トラフィックがLANネットワークルールに一致しない場合は、WANトラフィックとして扱われ、PoPに送信されます。
LANファイアウォールルールは単一のLANネットワークルールにリンクされており、ファイアウォールアクションがそのLANネットワークルールで定義されたトラフィックに特異なものであることを保証します。
以下のセクションでは、LANネットワークおよびLANファイアウォールルールの特性について説明します。
LANネットワークルールは、ネットワークホストやセグメント間でトラフィックをルーティングするために使用されるトランスポート(LANまたはWAN)を制御します。 これは特定のサイトではなく、アカウント全体に対して構成されたグローバルポリシーです。 したがって、各ルールをアカウント内の複数のサイトに適用するように構成できます。 例えば、同じVLANの構成を使用して複数のサイトを設定した場合、ルールに定義された各サイトのVLANに適用される単一のルールを作成できます。
LANネットワークルールは、レイヤー4のルーティング決定を行い、レイヤー7の機能は使用しません。 例えば、サイト、VLAN、または特定のプロトコルに対する条件でネットワークルールを定義できますが、アプリケーションに基づいて条件を設定することはできません。
LANネットワークルールは、その直下に複数のLANファイアウォールルールの親となることができます。 したがって、LANネットワークルールに一致するトラフィックであっても、LANファイアウォールルールに一致しない場合はブロックされます。 したがって、トラフィックがLANネットワークルールに一致しても、LANファイアウォールルールに一致しない場合はブロックされます。
LANファイアウォールルールは、特定の種類のトラフィックを許可またはブロックし、これらのイベントを追跡してモニタリングおよびコンプライアンス目的で記録します。 各LANファイアウォールルールは、特定の親LANネットワークルールに直接リンクされており、親ルールのソースと宛先のスコープに限定されています。 LANファイアウォールルールはデフォルトでレイヤー4までのセグメンテーションをサポートし、MACアドレスに基づくセグメンテーションを含みます。 さらに、レイヤー7機能が構成されたサイトについては、LANファイアウォールルールにはアプリケーション、ドメイン、その他のレイヤー7条件に基づくインテリジェントなトラフィックフィルタリングを含めることができます。
各LANネットワークルールの下に構成されたデフォルトのLANファイアウォールANY-ANYブロックルールがあります。 したがって、トラフィックがLANネットワークルールに一致するが、LANファイアウォールルールに一致しない場合、そのトラフィックはブロックされます。 この暗黙の動作は、明示的に許可されたトラフィックのみがローカルネットワークを通過できるようにすることで、オンプレミスのセグメンテーションに対して真のゼロトラストアプローチを強制します。
ヒット数は、使用されていないポリシーのルールを識別し、それを削除して必要なトラフィックスコープに合わせた設定を最適化するのに役立ちます。 ルールのヒット数は、ルールによって生成されるイベント数に基づいています。 ルールがイベントを生成しない場合、ヒット数はゼロになります。
ヒット数には二つの数字が含まれます:
-
ポリシー内の各ルールによって生成されたイベントの概数
-
他のルールに対してどれくらい頻繁にルールがヒットするか(パーセンタイルでランク付け)
これらの値は毎日24時間ごとに更新され、過去14日間のトラフィックに基づいています。
ステータスバーの色に基づいて、最も多くヒットされたルールと最小のヒットカウントをすぐに識別できます。 この色は、他のルールに対してどれくらい頻繁にルールがヒットされるかを示します:
-
青:0 - 24 パーセンタイル
-
緑:25 - 49 パーセンタイル
-
オレンジ:50 - 74 パーセンタイル
-
赤:75 - 100 パーセンタイル
0件のコメント
記事コメントは受け付けていません。