クラシックなアーキテクチャではADCが1つのデバイスに、ファイアウォールが別のデバイスに、ルーティングとNATルールがさらに別の運用層に存在します。この分離は一見整然としていますが、本番環境ではすべての変更が調整の問題になります。新しいvServiceが開かれてファイアウォールルールが忘れられます。DNATが変更されてルートが更新されません。バックエンドセグメントが変更されてFORWARDルールが古いままになります。
マルチネームスペースまたはマルチテナント環境では問題がさらに大きくなります。各テナントが独自のIPスペース、独自のインターフェース、独自のNATルールを持っている場合、単一のグローバルファイアウォールテーブルでは不十分です。同じCIDRが異なるネームスペースで使用される場合があり、その場合ファイアウォールもネームスペースごとに分離する必要があります。
別のファイアウォールデバイスを使用することは追加の管理負担だけでなく、監査とフェイルオーバーも断片化します。オペレーターは「誰がこのトラフィックを開いたか」、「どの自動ルールがどのvServiceから来たか」、「このDNATはどのネームスペースでアクティブか」といった質問に単一のパネルから答えることができません。インシデント時にADCログ、ファイアウォールログ、ルーティング状態を個別に調査する必要があります。
ルール適用の安全性は別の問題です。従来のファイアウォールルールセットでは、単一の不正な行でロード操作全体が失敗する可能性があります。本番環境での結果は深刻です:正しいルールも適用されず、トラフィックが中断され、またはセキュリティポリシーがアイドル状態になります。
TR7 ADCはファイアウォールをADCの自然な一部として扱います:ネームスペースごとのルールセット、インターフェースごとの制御、自動ADC/GTM/NATルール、DDoSディレクティブ、テスト-適用パイプライン、不正ルールの分離が単一の管理モデルに統合されます。
TR7のファイアウォールアプローチは別のセキュリティデバイスを追加するのではなく、ADCのトラフィック、ルーティング、ネームスペースモデルに埋め込まれたL3/L4制御層です。
各ネームスペースは独自のファイアウォールマネージャーを持ちます。1つのネームスペース内のルールが別のネームスペースのトラフィックに影響しません。このモデルはマルチテナント、重複するCIDR、個別のルートテーブルシナリオで安全な分離を提供します。
新しいファイアウォールコンテンツはまずテストされ、その後適用されます。行が失敗しても、ルールセット全体がキャンセルされません — 不正な行が自動的に無効化され、正常なルールが再試行されます。これにより本番変更中に単一のエラーがルールセット全体を落とすことを防ぎます。
IPv4とIPv6のルールは個別のファイル、個別の検証で、並行して管理されます。1つのIPファミリーの失敗がもう一方に影響しません。デュアルスタックサービスでは両方のファミリーに対してセキュリティポリシーが一貫して適用されます。
ADCプール、L4 NAT、インラインDNAT、GTM DNSリダイレクト、管理アクセス、バックエンドマーカーが設定されると、ファイアウォールルールを自動的に生成できます。vServiceを開くオペレーターはセキュリティ側を別途覚えておく必要はありません。
組み込みファイアウォールはクラシックなL3/L4制御とADCネイティブの自動ルール生成、DDoS軽減、隔離、ネームスペース分離を組み合わせています。
各ネームスペースは独立したファイアウォールルールセットで動作します。テナントAのネームスペースで定義されたDNATはテナントBの同じCIDRブロックに影響しません。この構造はマルチテナントと重複するIPスペースのシナリオに基本的なセキュリティ分離を提供します。
IPv4とIPv6のルールは個別のルールセットとして生成・適用されます。デュアルスタックサービスではIPv6側が後で忘れられることはなく、両方のIPファミリーに対してallow、deny、forward、NAT、レート制限コントロールを書けます。
ルールはネームスペースレベルだけでなくインターフェースレベルでも定義できます。管理インターフェース、同期インターフェース、テナントインターフェース、サービスインターフェースに対して異なるポリシーを適用できます。このモデルは実際の入出力ポイントに応じてトラフィックを制御します。
コアファイアウォール操作が単一モデルで管理されます。INPUTとFORWARDチェーンでの許可、ブロック、トランジット通過の許可、または特定のトラフィックのトランジットからの除外をすべて定義できます。
DNATを適用して受信トラフィックを別の宛先IPにリダイレクトし、SNATは送信トラフィックのソースIPを変更します。インライン公開、L4サービスリダイレクト、マルチバックエンドセグメントシナリオがこれらのルールで管理されます。
国セットに対してソースIPマッチングを実行できます。特定の国をアローリストに追加したり、特定の国をブロックしたり、攻撃時に高リスク地域を素早くドロップしたりできます。セットベースの操作により大規模でのパフォーマンスが保たれます。
IP/CIDR、MACアドレス、「除外」ロジックがサポートされています。たとえばサブネット全体をブロックしながら特定のIPを除外できます。この構造は運用上のアローリストと一時的なインシデント対応ルールの両方に使用されます。
単一のルールで複数のポートまたはポート範囲を定義できます。DNS、RADIUS、SIP、API、管理ポートに対して広いまたは狭いアクセスポリシーを書けます。
不正なパケットのドロップ、新しいTCP接続制限、総接続制限、UDPフラッド制限、DNS/NTPフラッド制限、TCPリセット制限、フラグメントのドロップ、疑わしいMSS、LANDアタック検出、ゼロバイトUDPブロックをすべて単一のポリシーの下で有効化できます。
しきい値を超えるソースが一時的な隔離セットに追加されます。隔離期間が終了するとエントリが自動的に削除されます。ホワイトリストセットを隔離ルールから除外することで、信頼できるソースが誤って影響を受けることはありません。
接続マークと最近リストを使用して、L4サービスで特定のクライアントトラフィックを同じバックエンドにバインドできます。これはUDPまたはポート範囲シナリオでのセッション継続性に重要です。
プールが開かれたときのサービスポートの許可、L4 SNAT/DNATの生成、インラインDNATルールの作成、GTM DNSアクセスのリダイレクト、ローカルdenyルールの追加などの自動ルールタイプがサポートされています。
ルールセットの適用中に行が失敗すると検出され、コメントアウトされ、残りのルールが再試行されます。単一の不正ルールがファイアウォール同期全体を停止することはありません。
ルールはログエントリを生成するように設定できます。Drop、allow、DNAT、隔離の動作を監査チェーンに含めることができます。インシデント後に、どのルールがどのトラフィックに影響したかを追跡できます。
管理とクラスター同期のトラフィックはシステムによって特別に処理されます。重要なインターフェースは運用アクセスの誤った喪失を防ぐために自動allowの動作で保護されます。
組み込みファイアウォール層は単なるルール作成画面ではなく、テスト、同期、エラー分離、自動ルール生成、ネームスペースのライフサイクル管理と連携して動作します。
各ネームスペースのIPv4とIPv6のファイアウォールコンテンツは個別の設定ファイルに保存されます。最後の結合設定も保持され、変更の追跡とデバッグを簡素化します。
ファイアウォール同期は定義されたタイムアウト制限内で動作します。プロセスはまず準備完了状態に達し、その後テストと適用のステップが実行されます。長時間実行または停滞した操作はシステムによって制限されます。
多くのネームスペースがある場合、ファイアウォール同期がバッチで並行して実行されます。これにより各ネームスペースが独自のルールセットを持つことがマルチテナント環境で運用管理可能になります。
pool-tcp-udp、ftp-allow、l4-snat、l4-any-dnat、l4-any-snat、inline-dnat、fw-access-allow、fw-access-dnat、gtm-dns-dnat、gtm-access-dnat、local-deny、be-markなどの自動ルールタイプをADCオブジェクトから生成できます。
RELATEDおよびESTABLISHEDトラフィックのリターンフローが自動的に認識されます。これによりステートフルサービスのすべてのリターンパケットに対して個別の手動ルールを書く必要性が削減されます。
ソースごとのレート制限と接続制限がサポートされています。同じIPからの過剰な接続、リセットパケット、ICMPパケット、DNS/NTP UDPフラッド、新しいTCP接続の試みをすべて制限できます。
ICMPを完全にブロックするとIPv6やPath MTU DiscoveryなどのコアネットワークFunctionが損なわれる可能性があります。TR7はICMPポリシーを細かく処理します。必要な探索と制御メッセージを安全に管理できます。
不正なルールがコメントアウトされた後、最終ルールセットがディスクに書き戻されます。オペレーターはどの行が無効化されたかを確認して修正できます。システムはサイレントな失敗ではなく、可視的で実行可能な結果を生成します。
管理インターフェースへのSSH接続はソースごとの制限で制限されます。同じIPが設定されたしきい値を超えると一時的に隔離されます。管理アクセスを開いたままブルートフォースの攻撃面が削減されます。
選択された国からのトラフィックのみが許可され、それ以外はドロップされます。金融、公共部門、医療システムでの国ベースのコンプライアンスとリスク削減のための迅速なコントロールを提供します。
テナントAのネームスペースで1.2.3.4 → 10.0.0.5のDNATが適用されながら、テナントBは同じ内部CIDRを別のルールで使用できます。ネームスペースの分離により2つのテナントのNATポリシーが競合しません。
UDPゼロバイトフラッド、DNS/NTPフラッド、異常なTCP、フラグメント、接続フラッドの動作がhashlimit、connlimit、隔離メカニズムで軽減されます。別のスクラビングデバイスなしに基本的なL3/L4保護が適用されます。
2つのバックエンドセグメント間のトランジットトラフィックが必要な場合、FORWARDルールで制御された通路が確立されます。どのソースがどの宛先のどのポートに到達できるかが正確に定義されます。
バックエンドIPがTR7を通じて公開され、受信トラフィックがインラインDNATで関連するバックエンドに配信されます。アプリケーションまたはバックエンドのIPプランを変更せずにTR7のセキュリティとルーティング層が挿入されます。
ネームスペース分離、DDoSディレクティブ、DNAT/SNAT、自動ルール生成 — お客様自身の環境でライブセットアップをご案内します。