はじめに

本ドキュメントは、以下の環境で動作確認しております
・Cisco Firepower Management Center for VMWare v6.2.2 (build 81)
・Cisco Firepower Threat Defense for VMWare (75) Version 6.2.2 (Build 81)

背景

Network Analysis PolicyはIntrusion PolicyやFile Policyと違い、どのような攻撃パケットを検知・防御するのかを定義するPolicyではないため、普段はあまり直接設定変更することはありませんが、チューニングすることで、攻撃パケットをより確実に検知させたり、逆に、緩い条件に設定してパフォーマンスを重視させることが可能です。

お客様からは、デフォルトの設定で、想定したパケットが検知・防御されなかったというケースをよく、お問い合わせいただいておりますが、そういったケースの場合は、Network Analysis Policyを見直しいただくことをお勧めいたします。

本記事では、その設定の元となる、製品出荷時に定義されているBase Policy3種類について、違いの説明させていただきます。

Base Policyの違い

FMCでは、以下の4つのBase Policyが用意されております。

• Connectivity Over Security
• Balanced Security and Connectivity
• Security Over Connectivity
• Maximum Detection

デフォルトでは、Balanced Security and Connectivityが設定されており、特別な要望がない限りは、こちらをそのままお使いいただくことが推奨されます。

このBalanced Security and Connectivityに対して、接続性を優先（セキュリティ弱）したConnectivity Over Securityと、セキュリティを優先したSecurity Over Connectivityが通常の環境でお使いいただく、Base Policyとなっておりますので、必要に応じて選択いただけたらと思います。

Maximum Detectionに関しては検知試験用のBase Policyであり、通常はお客様の環境でお使いいただくBase Policyではございません。

以下の通り、Maximum Detection以外のBase Policyの違いをまとめました。

上記の通り、Base Policyによって設定されている内容がかなり違うことがわかります。

過去に実際にお問い合わせをいただいた内容で言えば、DefaultのBalanced Security and Connectivityでは、TCP Inline Normalizationが無効になっているという点、Packet Type Performance boostが有効になっている点が大きな違いとして挙げられます。

これらの設定の違いによって、検知の挙動が異なり、特にInlineで導入いただいているお客様に関しては、想定していたパケットがDefaultの状態で検知・防御されない等よくお問い合わせいただいており、注意する必要がございます。

事例としてDrop and Alertが設定されているRuleに合致したHTTP PacketがDropされないという事例が記事で紹介してありますので、ご参考にしていただけたらと思います。

その他、パケットの再構成を行う対象のPortが異なるなどがあり、これら設定はパフォーマンスに影響します。

お客様の要件に応じて、セキュリティとパフォーマンスのトレードオフを検討する必要があります。

なお、本記事では概要について説明させていただきましたが、個別の設定項目の違いについては、Network Analysis Policyを比較するツールがこちらの記事で紹介されておりますので、ご確認いただけたらと思います。