コンテキスト アウェア ファイアウォールを使用すると、アプリケーション レベルでの視認性が強化されます。これは、アプリケーションの透過性の問題の解消に役立ちます。アプリケーション レイヤーの視認性を実現することにより、リソース、コンプライアンス、セキュリティの観点からワークロードの監視を強化できます。

ファイアウォール ルールではアプリケーション ID を使用できません。コンテキスト アウェア ファイアウォールはアプリケーションを識別して、アプリケーションが使用するポートに関係なく、EAST-WEST トラフィックにマイクロ セグメンテーションを適用できます。レイヤー 7 のサービス オブジェクトを定義すると、コンテキスト アウェアまたはアプリケーション ベースのファイアウォール ルールを定義できます。ルールでレイヤー 7 のサービス オブジェクトを定義した後は、ルールに特定のプロトコル、ポート、アプリケーション定義を使用できます。ルールの定義では 5-tuple 以上を使用できます。アプリケーション ルール マネージャを使用して、コンテキスト アウェア ファイアウォール ルールを作成することもできます。

コンテキスト アウェア ファイアウォールは、NSX Data Center for vSphere 6.4 以降でサポートされます。

NSX Data Center for vSphere で管理されている既存のインフラストラクチャ内のホスト クラスタは、すべて NSX Data Center for vSphere 6.4.0 以降にアップグレードする必要があります。

ファイアウォールのタイプ

データが TCP/IP モデルの各レイヤーを移動すると、L2、L3、L4、L7 パケット ヘッダーの 1 つまたは複数の組み合わせが追加されます。ファイアウォールは、これらのヘッダーに応じてアクションを実行します。

レイヤー 3 またはレイヤー 4 のファイアウォールの場合は、送信元/宛先 IP アドレス、ポート、プロトコルに基づいてアクションが実行されます。また、ネットワーク接続のアクティビティが追跡されます。このタイプのファイアウォールをステートフル ファイアウォールといいます。

レイヤー 7 のファイアウォール(コンテキスト アウェア ファイアウォール)では、レイヤー 3 とレイヤー 4 のファイアウォールで実行できる処理はすべて実行できます。それに加えて、パケットの内容をインテリジェントに検査します。たとえば、特定の IP アドレスから受信した HTTP 要求をすべて拒否するように、レイヤー 7 ファイアウォール ルールを作成できます。

ルールの定義とパケット キャプチャ

コンテキスト アウェア ファイアウォールには 5-tuple 以上を作成できます。正確なルールを作成するために、必要な数のタプルを追加できます。サポートされる属性はプロトコルとユーザーのみで、ルールごとにユーザーまたはプロトコルのいずれかを使用できます。これらは標準の SRC/DEST フィールドに使用することも、追加属性の最後に追加することもできます。

次のルールは 7-tuple です。

送信元 宛先 サービス 方向 アクション 属性
location-set-1 Iport-set-1 HTTPS INOUT 許可 TLS-V10
図 1. コンテキスト アウェア ファイアウォールで処理されるパケット

仮想マシンにコンテキスト アウェア ファイアウォールを設定する場合、分散 DPI (Deep Packet Inspection) 属性が 5-tuple と一致する必要があります。これにより、ルールの処理と検証が行われ、正しいルールが検出されます。アクションに応じて、フローが作成またはドロップされます。

受信パケットのルールは次のように処理されます。

  1. 分散ファイアウォール フィルタを入力すると、フロー テーブルで 5-tuple に基づいてパケットが検索されます。
  2. フロー/状態が見つからない場合、5-tuple に基づいてルール テーブルにフローが照合され、フロー テーブルにエントリが作成されます。
  3. フローがレイヤー 7 サービス オブジェクトのルールと一致すると、フロー テーブルの状態が「DPI 処理中」とマークされます。
  4. トラフィックが DPI エンジンにパントされます。DPI エンジンにより、APP_ID が決まります。
  5. APP_ID が決まると、DPI エンジンが属性を送信し、このフローのコンテキスト テーブルに挿入されます。「DPI 処理中」フラグが削除され、トラフィックが DPI エンジンにパントされなくなります。
  6. APP-ID 付きのフローが APP_ID に一致するすべてのルールで再評価され、5-tuple ベースで一致した元のルールから開始され、L4 ルールに一致しないフローを優先するようになります。適切なアクション(許可または拒否)が実行され、フロー テーブルのエントリが更新されます。

L3 や L4 ルールのように、コンテキスト アウェア ファイアウォール ルールをコンテキストなしで作成することもできます。この場合、複数の属性を持つコンテキストに適用するために、検証ステップが実行される可能性があります。

コンテキスト アウェア ファイアウォールのワークフロー