ソケットベストプラクティス:VLANとルーテッドレンジ

以下の記事は、CatoソケットがWAN接続性とファイアウォールサービスの両方に使用されるケースをカバーしています。 この場合、セキュリティは導入の主要な目標です。 Catoネットワークが主にWAN/グローバル接続性に使用される状況では、この記事はあまり関連性がありません。

イントロダクション

つい最近までは、内部VLANを管理する内部L3スイッチを持つトポロジーが一般的でした。 バックボーンスイッチは、各VLANに対してL3インタフェースを持ち、デフォルトゲートウェイとして機能します。 ルーティングはスイッチ内で行われており、つまりVLAN間のトラフィックはスイッチ内にとどまることになります。 インターネットまたはWANへのトラフィックのみがファイアウォールに向かいます。 以下の例を参照してください:

L3Switch.png

上記のトポロジーでは、内部VLAN間のルーティングはL3バックボーンスイッチで行われます。 インターネットトラフィックのみが、L4インスペクションのためにファイアウォールに向かいます。 以下の理由から、内部VLAN間にACL(アクセスリスト)を設けることは稀です:

  1. 管理が難しい - ACLはCLIを使用して作成する必要があり、非常に厄介です。

  2. ブロックされたトラフィックを確認 - トラフィックログは主にCLIコマンドを使用してレビュー可能で、最近のファイアウォールのような明確なGUIはありません。

  3. L3 ACLを有効にすると、スイッチのCPU使用率が消耗します。

  4. 企業アクセスを持たない分離されたVLANを持つことは非常に複雑です。

最終的に、ほとんどのネットワークでは内部VLAN間で無制限のルーティングとアクセスがありました。 VLANの1つでウイルスのアウトブレークが発生した場合、それを封じ込めるのは非常に難しい(ほぼ不可能)です。

L3をセキュリティデバイスに移行する

サイバー攻撃が増加し、野外でのマルウェアが増大するに連れて、ネットワーク設計はセキュリティデバイス、つまりファイアウォールでのL3ルーティングに移行し始めました。 上記トポロジーに類似していますが、1つの主要な違いがあります - すべてのスイッチがL2デバイスとして機能し、ファイアウォールデバイスが内部VLAN間のL3ルーティングを実行します。 以下の例を参照してください:

L2_Switch_and_Firewall_inter-VLAN_routing.png

上記のトポロジーでは、ファイアウォールがRouter-on-a-stickとして機能します。 Traffic between VLAN 10 PCs and VLAN 20 PCs would go through the Firewall.

当然ながら、このアプローチははるかに多くの制御とセキュリティを提供します。 感染したVLANをネットワークから隔離するのは非常に簡単です。 インターネットアクセスのみを持つVLAN(例えばゲストネットワークなど)を持つのも容易です。

Catoソケット:VLANとルーテッドレンジ

Cato Socket supports (mainly) two configurations:

  • VLAN - ファイアウォール上のL3ルーティングに似ており、ソケットは各VLANに対してL3インターフェースを持ち、デフォルトゲートウェイとして機能します。

  • ルーテッド範囲 - 静的ルート。 ソケットがL3スイッチを通じて内部VLANにルートを持つ最初のトポロジで使用されます。

Catoが両方のネットワーク設計をサポートしていますが、新しい設計のベストプラクティスはVLANでしょう。 制限や特別な要件がなければ、ソケットを設定する最良の方法は、ファイアウォールのトポロジのL3に似ています。 以下の例を参照してください:

L3_switch_catoCloud.png

ソケットにおけるVLANの利点

  1. 管理 - ソケットは各VLANのデフォルト・ゲートウェイとして機能し、各VLANにDHCP範囲を提供できます。 すべての管理はCato管理アプリケーションから行われます。

  2. 制御 - あるVLANでウイルスが発生した場合、WANファイアウォールルールによるか、またはそのVLANのデフォルトゲートウェイを削除することで、このVLANを即座に簡単に隔離できます。

  3. セキュリティ - ゲスト用のWifiのような完全に隔離されたVLANを作成する必要がある場合、ソケットはそのネットワークのWAN/企業アクセスを簡単にブロックし、インターネットアクセスのみを許可できます。

  • 設計によってすべてのWANトラフィックがPoPに向かうことに注意してください。 これには、サイト間およびVLAN間のトラフィックの両方が含まれます。 つまり、同じオフィス内のVLAN間のトラフィックはデフォルトでソケットにルート設定されません。 この点については次のセクションで述べています。

ソケットにおけるL3ルーティング常見の懸念と推奨される解決策

  1. 内部VLAN間でセキュリティルールを作成および管理しますが、VLAN間のトラフィックを許可するための数百のユニークなルールを持つことが最も重要ではありません。 より重要な能力は、感染したVLANを即座に隔離するための即時の方法を持つことです。 効果的なセキュリティ防御はIPSと同様にマルウェア対策のようなCatoの高度なセキュリティサービスによって提供されます。 マルウェア対策とIPSは、内部および外部トラフィックの両方に対して本物のL7インスペクションを提供します。

  2. パフォーマンス - VLAN間ルーティングをセキュリティデバイスにシフトする際に直面する即時の懸念は、帯域幅の容量です。 従来のL3スイッチにはセキュリティが欠けていましたが、明らかに高性能でした。 この点に対処するには、いくつかの事実を提供したいと思います:

    • データセンターに加えて、一般的なオフィスにはユーザー、プリンター、ゲスト用のWifiのようないくつかのVLANしかありません。 これを考慮すると、それらのVLAN間のトラフィックを許可する実際の理由はありません。 それらは主にデータセンターの企業リソースにアクセスする必要があります、またはOffice 365、Skype、セールスフォースのようなクラウドサービスにアクセスする必要があります。

    • ユーザーからプリンターへの小規模トラフィックは、PoPに進みソケットに戻ってくることで完全に機能します。 印刷作業に追加で20msの遅延が発生しても、ユーザーは違いに気づきませんが、IT管理者ははるかに優れたセキュリティと管理を得られます。

    • 高速度な1Gbpsルーティングがまだ必要である場合、Catoソケットはローカルルーティング機能をサポートします。 ローカルルーティングはソケット内のルーティングを許可し、つまり、VLANペア間のトラフィックはソケット内に留まります。 この種の構成はCatoのL7セキュリティサービス(アンチマルウェアとIPS)をバイパスします。 それにもかかわらず、感染したワークステーションが外部C&Cや悪意のあるプロキシと通信すると、検出されてアラートが出されます。

この記事は役に立ちましたか?

13人中13人がこの記事が役に立ったと言っています

0件のコメント