私たちには小さなオフィスがあり、インフラストラクチャの約75%はクラウドベースであり、リモートアクセスと現在公開されているサイト間接続に使用するpfSense展開が含まれています。オンプレミスの境界ファイアウォールとして、FirepowerをサポートするCiscoASAを導入することを決定しました。
インラインモードで実行されているSuricataパッケージがインストールされたFirepowerライセンスやpfSenseに含まれるIPS機能の使用経験とVPNトラフィックの処理方法を知っている人はいますか?VPNサーバーに接続しているためpfSenseによって管理されているため、コンプライアンスのニーズを満たすには、パケット検査が行われる場所を正確に把握する必要があります。
オンプレミスのASAからpfSenseに接続するIPsecVPNクライアントを使用して、ASAはパケットを復号化し、ルーティングされる前に検査のためにFirepowerモジュールに転送しますか、それともパケットが送信される前または後にpfSense/Suricataエンドで処理されますかVPNサーバーからASAへ?
私はあなたの設計目標が何であるかを100%明確ではありませんが、私はあなたがあなたの質問に答えるのを手伝うことができると思います。
VPNトラフィックは、ピアエンドポイントが何であれ、暗号化/復号化されます。 VPNトラフィックがASAを通過してpfSenseに到達する場合、FirePowerはそのトラフィックを検査できません。
ASAでVPNを終端する場合、このリンクは、ASAがトラフィックを出力インターフェイスに送信する直前にFirepowerモジュールが使用されている場所を確認するのに役立つと思います。
図2-15 http://www.ciscopress.com/articles/article.asp?p=2730336&seqNum=7 を参照してください。