Fireware v12.3 以降では、 Firebox を NetFlow エクスポータとして構成し、ネットワーク トラフィックについてのさらなる洞察を獲得することができます。例えば、NetFlow データを使ってネットワークに関するパフォーマンス問題のトラブルシューティングを行ったり、セキュリティ上の懸念を調査することができます。NetFlow は、IP ネットワーク トラフィックを収集して分析するのに使用されるプロトコルです。
Firebox で NetFlow を構成する際に、どのインターフェイスを監視するかを指定します。また、コレクター と呼ばれるサーバーの IP アドレスも指定します。Firebox は選択したインターフェイスを監視し、ネット フロー記録 と呼ばれるデータストリームを分析のためコレクターに送信します。コレクターは、NetFlow プロトコルを使用するサードパーティのアプリケーションを実行してネットワーク トラフィックを記録し分析します。多数のサードパーティ アプリケーションが NetFlow プロトコルに対応しています。Firebox 自体はフロー記録を表示したり分析しません。
Firebox では、インターフェイスに到着するトラフィックであるイングレス トラフィックを監視するよう選択することができます。通過トラフィックについては、受信インターフェイスと送信インターフェイスの両方を監視するよう選択した場合、Firebox は 2 方向トラフィックを監視します。Fireware v12.5 以降では、インターフェイスから出るトラフィックであるエグレス トラフィックを監視するよう選択することもできます。
Firebox によって生成された送信トラフィックである、Firebox 生成 (自己生成) トラフィックを監視するよう選択することができます。Fireware v12.5 以降では、Firebox 宛てのトラフィックを監視するよう選択することも可能です。
物理、VLAN、ブリッジ、ワイヤレスおよびリンク アグレゲーション インターフェイスはすべてのゾーンでサポートされています (信頼済み、外部、オプション、およびカスタム)。
NetFlow プロトコルの詳細については、RFC 3954 を参照してください。
Firebox で NetFlow を構成するには、次を参照してください:NetFlow を構成する。
コレクターで NetFlow を構成するには、弊社の 統合ガイド を参照するか、NetFlow コレクター サービスによって提供されるドキュメントを参照してください。
フローとフロー記録
ネット フロー または フロー は、以下の属性を共有するパケットにより構成されています:
- インターフェイス
- 発信元 IP アドレス
- 宛先 IP アドレス
- IP プロトコル
- ソース ポート
- 送信先ポート
- サービスの種類 (ToS)
フローが終了すると、Firebox は フロー記録 をコレクターに送信します。フロー記録には、以下を含むフローに関する詳細情報が含まれています:
- フローの開始と終了のタイムスタンプ
- フロー内のバイト数とパケット数
- 入力および出力インターフェイス インデックス
- レイヤー 3 ヘッダー情報
- レイヤー 3 ルーティング情報
フローは正常終了または異常終了する可能性があります。フローが正常に終了するのは次のような場合です:
- 新しいトラフィックがフローに発生し、それによりエージングタイマーがリセットされる
- TCP セッションが終了する
- フローがアクティブ フロー タイムアウト値を超過する
アクティブ フロー タイムアウトとは、有効な接続が終了する前に待機する時間の長さのことです。Firebox NetFlow 構成では、コレクターで指定されたアクティブ フロー タイムアウト値よりも低いアクティブ フロー タイムアウト値を指定することをお勧めします。これはデータ損失の防止に役立ちます。コレクターでのアクティブ フロー タイムアウト値の方が低い場合、Firebox によるデータの送信中、コレクターはリスニングを停止する可能性があります。既定では、Firebox でのアクティブ フロー タイムアウト値は 1,800 秒です。
Fireware は NetFlow バージョン V5 および V9 に対応しています。IPv6 トラフィックを監視し、フロー記録にポスト NAT の IP アドレスを表示するには、V9 を使用する必要があります。
ポスト NAT IP アドレス
Fireware v12.7.1以降では、Firebox NetFlow の構成で V9 を選択すると、NAT および NAT-T (NAT Traversal) イベントの IP アドレスがフロー記録に表示されます。
フロー記録内の X-Src と X-Dst は、送信元と宛先のポスト NAT アドレスを示しています。NAT イベントを使用して、ローカル ネットワーク上のどのクライアントがトラフィックを生成したかを特定することができます。
エグレス トラフィック
インターフェイスから送信されるトラフィックをキャプチャするには、Fireware v12.5 以降で エグレス オプションを選択することができます。
例えば、NetFlow のない内部スイッチがある場合は、スイッチの接続先の内部 Firebox インターフェイスで NetFlow エグレスを有効化します。これにより、内部 Firebox インターフェイスから出る、スイッチに送信されるトラフィックを含むトラフィックがキャプチャされます。
重複データ
Firebox で イングレス と エグレス の両方を複数のインターフェイスに選択する場合は、重複した NetFlow データが収集される可能性があることにご注意ください。
重複データを回避するには、両方ではなく イングレス か エグレス のいずれかを選びます。
セキュリティ
Firebox はフロー記録を UDP を使ってコレクターに送信します。フロー内の情報はクリアテキストで表示されます。Firebox とコレクターの間には認証がなく、パケット転送は暗号化されません。
Firebox とコレクター間のネットワークが信頼されていることを確認してください。Firebox がより安全性の低いネットワークやインターネットを追加する必要がある場合は、VPN を使って NetFlow データを保護することをお勧めします。
パフォーマンス上の影響
フローを収集して記録するのに必要なリソースのため、NetFlow は Firebox のスループットと接続速度を減らすことができます。パフォーマンス上の影響を減らすには、監視するインターフェイスの数を制限します。
大規模な企業ネットワークの場合、または Firebox に多大な負荷がかかっている場合は、サンプリング モードを検討することもできます。サンプリング モードでは、Firebox が n パケット毎に 1 つのパケットをサンプルとして無作為に選択します。例えば、100 のサンプリング モードを指定した場合、Firebox は 100 パケット毎に 1 パケットを抽出します。
すべてのパケットがサンプリングされるわけではないため、サンプリング モードの精度は低くなります。そのため、小規模のネットワークにはサンプリング モードをお勧めしません。
FireCluster サポート
アクティブ / パッシブ FireCluster では、NetFlow はアクティブなクラスタ メンバーのみで動作します。
アクティブ / アクティブ FireCluster では、NetFlow は両方のクラスタ メンバーで動作します。フローは、そのフローを所有するクラスタ メンバーのみによって監視されます。
FireCluster メンバー間の通信は監視されません。
制限事項
BOVPN 仮想インターフェイスおよびループバック インターフェイスはサポートされていません。
物理インターフェイスがタグ付き VLAN パケットのみを受信した場合、そのインターフェイスは NetFlow 構成のインターフェイスのリストに表示されません。それらのタグ付け VLAN パケットに対応する VLAN インターフェイスが代わりに表示されます。
構成テンプレートでは、インターフェイス設定を除くすべての NetFlow 設定を構成できます。
統合ガイド
私たちは、Firebox をサードパーティの NetFlow サービスと統合するのに役立つ以下のガイドを提供しています:
- Firebox NetFlow および Plixer Scrutinizer 統合ガイド
- Firebox NetFlow および PRTG 統合ガイド
- Firebox NetFlow および SolarWinds NetFlow Traffic Analyzer 統合ガイド
トラブルシューティング
NetFlow の問題のトラブルシューティングには、パケット キャプチャ ツールを使って Firebox がトラフィックを送信していることを確認することをお勧めします。Firebox がトラフィックを送信している場合は、NetFlow コレクタ サービスによって提供されたドキュメントを参照し、コレクタのトラブルシューティングを行ってください。