柔軟なデプロイ

ASFシリーズは、お客様のさまざまなネットワーク状況に対応する柔軟な導入オプションを提供します。 ASFシリーズは、次の展開モードをサポートしています。

1.ブリッジデプロイメントモード

1.1ブリッジトランスペアレントモード:

アプライアンスをパス内のネットワークトポロジに接続するだけ構成が可能です。既存のネットワーク構成やデータフローを変更する必要はありません。
システムは、ブリッジのインターフェースからトラフィックを受信し、ブリッジの別のインターフェースで送信します。
トラフィックがセキュリティグループまたはセキュリティサービスに到達した場合、システムはトラフィックを対応するモジュールに転送して検査し、検査後にブリッジの別のインターフェイスでトラフィックを直接送信します。

このシナリオは、ハードウェアバイパス機能をサポートします。
システムがダウンすると、バイパスユニットを介してトラフィックを直接バイパスできます。

1.2ブリッジプロキシモード:

このデプロイシナリオでは、管理者はL2ブリッジとしてパス内のネットワーク環境にアプライアンスを接続し、VIPにアクセスするトラフィックがアプライアンスを確実に通過するようにネットワーク構成を変更する必要があります。
ブリッジトランスペアレントシナリオとは異なり、アプライアンスはこのシナリオでサーバプロキシ機能を提供します。
このシナリオは、ハードウェアバイパス機能をサポートしていません。

2.ルーティングデプロイメントモード

ルーティングデプロイメントモードでは、アプライアンスはL3デバイスとしてネットワークに接続されます。
アップストリームおよびダウンストリームデバイスはトラフィックをアプライアンスにルーティングし、アプライアンスはパケットを処理した後、ルーティングルールに基づいてトラフィックを転送します。
ルーティングデプロイメントモードは、トランスペアレントディフェンスモデルとプロキシディフェンスモデルをサポートしています。

2.1ルーティングトランスペアレントモード:

このデプロイシナリオでは、管理者はアプライアンスをL3デバイスとしてネットワークに接続し、トラフィックのネクストホップをアップストリームおよびダウンストリームデバイスのアプライアンスのインターフェースIPに設定する必要があります。
トラフィックがアプライアンスによって検査された後、パケットのソースIP、ソースポート、宛先IP、および宛先ポートは変更されません。

上記例においては、管理者はバックエンドサーバ宛てのトラフィックのネクストホップを上流ゲートウェイのアップリンクインターフェイスのIPアドレスに設定し、ゲートウェイをバックエンドサーバのダウンリンクインターフェイスのIPアドレスに設定します。セキュリティグループまたはセキュリティサービスに到達するトラフィックの場合、アプライアンスは検査後にルーティングルールに基づいて転送します。
セキュリティグループまたはセキュリティサービスにヒットしないトラフィックの場合、アプライアンスはルーティングルールに基づいて直接転送します。

2.2ルーティングプロキシモード:

このモードでは、アプライアンスは実サービスのプロキシサーバとして機能します。
ユーザが実サーバにアクセスするときは、最初にアプライアンスの仮想サービスにアクセスする必要があります。
トラフィックがアプライアンスを通過した後、その宛先IPは実際のサービスのIPアドレスに変更されます。
管理者が[送信元IPとポートを変更しない]オプションを有効にしている場合、要求パケットの送信元IPとポートは変更されません。それ以外の場合、要求パケットのソースIPおよびポートは、システムによって割り当てられたインターフェースIPおよびポートに変更されます。
仮想サービスのIPアドレスがアプライアンスのインターフェースにバインドされているかどうかに応じて、ルーティングプロキシのシナリオはさらに次のように分類できます。
・Routing arp proxy:
・Routing noarp proxy:

2.2.1Routing arp proxy:

システムは仮想サービス(VIP)のIPアドレスをアプライアンスにバインドし、ARP要求に応答します。
管理者は、検査する必要があるサービストラフィックをアプライアンスのVIPにポイントする必要があります。

ルーティングデプロイモードでのARPプロキシ防御シナリオ

2.2.2Routing noarp proxy:

システムは、仮想サービス(VIP)のIPアドレスをアプライアンスにバインドしたり、ARP要求に応答したりしません。
管理者は、検査する必要があるサービストラフィックをアプライアンスのインターフェースIPにポイントする必要があります。

ルーティングデプロイモードでのnon-ARPプロキシ防御シナリオ

3.TAPデプロイメントモード

TAPデプロイメントモードでは、アプライアンスはネットワークに接続されたパス外スニッフィングデバイスとして使用され、外部スイッチからコピーされたミラーリングされたトラフィックを受信します。
この配置モードは、ネットワークトポロジを変更する必要がないため、シンプルです。
現在のサービストラフィックのフローにも影響しません。

次の図に示すように、管理者は、スイッチのポートミラーリングポリシーを構成して、検査する必要のあるトラフィックをアプライアンスのスニッフィング(TAP)インターフェイスにコピーするだけです。

トラフィックダイバージョン

さらに、ASFシリーズは、トラフィックの宛先変更(ダイバージョン)をサポートします。これにより、ポリシーとBGPルーティングに基づく検査のために、疑わしいトラフィックをASFアプライアンスに宛先変更します。

ASFシリーズは、ポリシールーティングに基づいて悪意のあるトラフィックを削除した後、通常のトラフィックをネットワークに戻すトラフィックインジェクションをサポートしています。