「2024-11-12 Firepower まとめ」の版間の差分

提供:hkatou_Lab
ナビゲーションに移動 検索に移動
← 古い編集新しい編集 →
ビジュアルウィキテキスト
編集の要約なし
編集の要約なし
1行目: 1行目:
Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。
このページでは Firepower の動作についてまとめています。


== ASA と Firepower の違い ==
== ASA と Firepower の違い ==


=== ASA ===
=== ASA ===
アプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する
アプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。


=== Firepower ===
=== Firepower ===
14行目: 17行目:
* FTD プラットフォーム モード
* FTD プラットフォーム モード
** レイヤ 7 までを含み、脅威の監査などを行う
** レイヤ 7 までを含み、脅威の監査などを行う
** IPS / NGFW / FTD


機種によっても動作が異なり、両対応の場合はモード変更を行うことが可能。
=== 動作モード ===
機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。


また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。
また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。
24行目: 29行目:
* Firepower 4100 シリーズ : FTD プラットフォーム モード
* Firepower 4100 シリーズ : FTD プラットフォーム モード
* Firepower 9300 シリーズ : FTD プラットフォーム モード
* Firepower 9300 シリーズ : FTD プラットフォーム モード
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要なことがある。
=== Firepower Management Center (FMC) ===
=== Cisco Defense Orchestrator (CDO) ===




50行目: 60行目:


電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
</syntaxhighlight>
</syntaxhighlight>ちなみに電源スイッチで off にした場合、シャットダウン スクリプトが動作するため、安全に切れるようになっています。


=== インターフェース モードのパッシブは LACP の passive と異なり、SPAN でキャプチャすることによるモニター モードを意味する ===
=== インターフェース モードのパッシブは LACP の passive と異なり、SPAN でキャプチャすることによるモニター モードを意味する ===

2023年7月26日 (水) 16:28時点における版

Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。

このページでは Firepower の動作についてまとめています。

ASA と Firepower の違い

ASA

アプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。

Firepower

仮想基盤を元にした、プラットフォーム製品となった。

FXOS を仮想基盤として、2 つの動作モードが存在する。

  • ASA アプライアンス モード
    • レイヤ 4 までのフィルタリング、VPN 機能などを備える
  • FTD プラットフォーム モード
    • レイヤ 7 までを含み、脅威の監査などを行う
    • IPS / NGFW / FTD

動作モード

機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。

また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。

  • Firepower 1000 シリーズ : ASA アプライアンスモード
  • Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
  • Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
  • Firepower 4100 シリーズ : FTD プラットフォーム モード
  • Firepower 9300 シリーズ : FTD プラットフォーム モード

機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要なことがある。

Firepower Management Center (FMC)

Cisco Defense Orchestrator (CDO)

詳細は以下のドキュメントが詳しい。

Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介

冗長化

Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)


注意するべき内容

Portchannel のステータスが ASA OS から確認できない

ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため。

Firepower2100-ASA: EtherChannelの設定確認方法

ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。

電源 off / 再起動は明示的に実施する

Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。

Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順

Caution:

電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。

ちなみに電源スイッチで off にした場合、シャットダウン スクリプトが動作するため、安全に切れるようになっています。

インターフェース モードのパッシブは LACP の passive と異なり、SPAN でキャプチャすることによるモニター モードを意味する

Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)

インターフェイス モード

インターフェイスごとに、次のいずれかのモードを設定できます。

ルーテッド

各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

パッシブ

パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。

CLI

FTD / ASA を移動する

FXOS: FTD: OSの構造とコマンドプロンプトの移動方法

FTD から ASA に CLI を変更し、ping 試験を行う

FTD: CLIからのPING試験について

system support diagnostic-cli
http://hkatou.net/index.php?title=2024-11-12_Firepower_まとめ&oldid=1127」から取得