クラウド管理の Firebox の NetFlow 設定を構成する

適用対象: クラウド管理の Firebox

NetFlow は、IP ネットワーク トラフィックを収集して分析するのに使用されるプロトコルです。ネットワーク トラフィックについてのさらなる洞察を獲得するには、Firebox を NetFlow エクスポーターとして構成することができます。例えば、NetFlow データを使ってネットワークに関するパフォーマンス問題のトラブルシューティングを行ったり、セキュリティ上の懸念を調査することができます。NetFlow プロトコルの詳細については、RFC 3954 を参照してください。

Firebox で NetFlow を構成する際に、NetFlow バージョン (v5 または v9) および監視するネットワークを指定します。また、コレクター と呼ばれるサーバーの IP アドレスも指定します。Firebox は選択したネットワークを監視し、フロー記録 と呼ばれるデータストリームを分析のためコレクターに送信します。コレクターは、NetFlow プロトコルを使用するサードパーティのアプリケーションを実行してネットワーク トラフィックを記録し分析します。多数のサードパーティ アプリケーションが NetFlow プロトコルに対応しています。Firebox 自体はフロー記録を表示したり分析したりしません。

ThreatSync+ NDR では、Windows または Linux ベースのコレクターを使用してネットワーク トラフィックを監視することができます。コレクターは NetFlow、sFlow、Windows DHCP サーバー ログなどのデータ フィードをサードパーティのスイッチやファイアウォールから直接取得し、安全な接続を介して WatchGuard Cloud に転送します。ThreatSync+ はこれらのデータ フィードを使用して潜在的な脅威や不審なアクティビティを特定および検出し、調査するためのアラートを生成します。詳細については、次を参照してください:ThreatSync+ NDR コレクターについて および ThreatSync+ NDR について

Firebox では、ネットワークに到着するトラフィックであるイングレス トラフィックを監視するよう選択することができます。また、ネットワークから出ていくトラフィックであるエグレス トラフィックを選択することもできます。例えば、NetFlow のない内部スイッチがある場合は、スイッチの接続先の内部 Firebox ネットワークで NetFlow エグレスを有効化します。これにより、内部 Firebox ネットワークから出ていく、スイッチに送信されるトラフィックを含むトラフィックがキャプチャされます。通過トラフィックについては、受信ネットワークと送信ネットワークの両方を監視するよう選択した場合、Firebox は 2 方向トラフィックを監視します。

Firebox によって生成された送信トラフィックである、Firebox 生成 (自己生成) トラフィックを監視するよう選択することができます。Firebox 宛てのトラフィックを監視するよう選択することも可能です。

物理、VLAN、ブリッジ、ワイヤレスおよびリンク集約ネットワークはすべてのゾーン (外部、内部、およびゲスト) でサポートされています。物理ネットワークがタグ付き VLAN パケットのみを受信した場合、そのネットワークは NetFlow 構成のネットワークのリストに表示されません。それらのタグ付き VLAN パケットに対応するネットワークが代わりに表示されます。BOVPN 仮想ネットワークおよびループバック ネットワークはサポートされていません。

サードパーティ コレクターで NetFlow を構成するには、弊社の 統合ガイド を参照するか、NetFlow コレクター サービスによって提供されるドキュメントを参照してください。

フローとフロー記録

ネット フロー または フロー は、以下の属性を共有するパケットにより構成されています:

  • インターフェイス
  • 送信元 IP アドレス
  • 宛先 IP アドレス
  • IP プロトコル
  • 送信元ポート
  • 送信先ポート
  • サービスの種類 (ToS)

フローが終了すると、Firebox は フロー記録 をコレクターに送信します。フロー記録には、以下を含むフローに関する詳細情報が含まれています:

  • フローの開始と終了のタイムスタンプ
  • フロー内のバイト数とパケット数
  • 入力および出力インターフェイス インデックス
  • レイヤー 3 ヘッダー情報
  • レイヤー 3 ルーティング情報

フローは正常終了または異常終了する可能性があります。フローが正常に終了するのは次のような場合です:

  • 新しいトラフィックがフローに発生し、それによりエージングタイマーがリセットされる
  • TCP セッションが終了する
  • フローがアクティブ フロー タイムアウト値を超過する

アクティブ フロー タイムアウトとは、アクティブな接続が終了する前に待機する時間の長さのことです。Firebox NetFlow 構成では、コレクターで指定されたアクティブ フロー タイムアウト値よりも低いアクティブ フロー タイムアウト値を指定することをお勧めします。これはデータ損失の防止に役立ちます。コレクターでのアクティブ フロー タイムアウト値の方が低い場合、Firebox によるデータの送信中、コレクターはリスニングを停止する可能性があります。

IPv6 トラフィックを監視し、フロー記録にポスト NAT の IP アドレスを表示するには、V9 を使用する必要があります。Firebox NetFlow の構成で V9 を選択すると、NAT および NAT-T (NAT Traversal) イベントの IP アドレスがフロー記録に表示されます。

フロー記録内の X-SrcX-Dst は、送信元と宛先のポスト NAT アドレスを示しています。NAT イベントを使用して、ローカル ネットワーク上のどのデバイスがトラフィックを生成したかを特定することができます。

セキュリティ

Firebox はフロー記録を UDP を使ってコレクターに送信します。フロー内の情報はクリアテキストで表示されます。Firebox とコレクターの間には認証がなく、パケット転送は暗号化されません。

Firebox とコレクター間のネットワークが信頼されていることを確認してください。Firebox がより安全性の低いネットワークやインターネットを追加する必要がある場合は、VPN を使って NetFlow データを保護することをお勧めします。

パフォーマンス

フローを収集して記録するのに必要なリソースのため、NetFlow は Firebox のスループットと接続レートを減らすことができます。パフォーマンスへの影響を減らすには、監視するネットワークの数を制限します。

大規模な企業ネットワークの場合、または Firebox に多大な負荷がかかっている場合は、サンプリング モードを検討することもできます。サンプリング モードでは、Firebox が X パケット毎に 1 つのパケットをサンプルとして無作為に選択します。例えば、100 のサンプリング モードを指定した場合、Firebox は 100 パケット毎に 1 パケットを抽出します。

すべてのパケットがサンプリングされるわけではないため、サンプリング モードの精度は低くなります。そのため、小規模のネットワークにはサンプリング モードをお勧めしません。

FireCluster サポート

FireCluster では、NetFlow はアクティブなクラスタ メンバーのみで動作します。FireCluster メンバー間の通信は監視されません。

NetFlow 設定を構成する

クラウド管理の Firebox の NetFlow 設定を構成するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
  3. デバイス構成 をクリックします。
  4. デバイス設定 ウィジェットをクリックします。
    設定 ページが開きます。

Screen shot of the Device Settings page

  1. NetFlow タブを選択します。
    NetFlow 設定 ページが開きます。
  2. NetFlow を有効化する。

Screenshot of the Device Settings page, NetFlow tab

  1. バージョン ドロップダウン リストから、Netflow プロトコル バージョンを選択します。IPv6 トラフィックを監視するには、V9 を使用している必要があります。
  2. コレクターアドレス テキスト ボックスにコレクターの IPv4 または IPv6 アドレスを入力します。コレクターは、Firebox から NetFlow データを収集するサーバーです。
  3. ポート テキスト ボックスに、コレクターが NetFlow データを送信するコレクター上のポート数を入力します。Firebox は指定された IP アドレスおよび UDP プロトコルを使ったポートのコレクターと通信できる必要があります。
  4. アクティブ フロー タイムアウト テキスト ボックスに、1 〜 60 分の数値を入力します。アクティブ フロー タイムアウトとは、有効な接続が終了する前に待機する時間の長さのことです。既定では、Firebox でのアクティブ フロー タイムアウト値は 30 分です。

    データ損失を避けるため、コレクターで指定されたアクティブ フロー タイムアウト値よりも低いアクティブ フロー タイムアウト値を指定することをお勧めします。コレクターでのアクティブ フロー タイムアウト値の方が低い場合、Firebox によるデータの送信中、コレクターはリスニングを停止する可能性があります。

  5. (任意) サンプリング モードを有効化するには、サンプリング モード チェック ボックスを選択し、サンプリング レート テキスト ボックスに enter 2 〜 65535 パケットのサンプリング レートを入力します。
  6. (任意) どの Firebox トラフィックを監視するかを指定するには、Firebox で生成されたトラフィックを監視するFirebox に向かうトラフィックを監視する、またはその両方を選択します。
  1. ネットワークの NetFlow を有効化するには、ネットワーク名の横で イングレスエグレス またはその両方を選択します。

    複数のネットワークで イングレスエグレス の両方を選択する場合は、重複した NetFlow データが収集される可能性があることに注意してください。重複データを回避するには、両方ではなく イングレスエグレス のいずれかを選びます。

  1. 保存 をクリックします。

関連トピック

クラウド管理の Firebox を WatchGuard Cloud に追加する

クラウド管理の FireCluster を追加する

デバイスのフィードバック設定を構成する (WatchGuard Cloud)

Firebox システム設定を構成する

クラウド管理の Firebox の Log Server 設定を構成する