「2023-07-26 Firepower まとめ」の版間の差分
ナビゲーションに移動
検索に移動
| 1行目: | 1行目: | ||
| + | |||
| + | == ASA と Firepower の違い == | ||
| + | |||
| + | === ASA === | ||
| + | アプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する | ||
| + | |||
| + | === Firepower === | ||
| + | 仮想基盤を元にした、プラットフォーム製品となった。 | ||
| + | |||
| + | FXOS を仮想基盤として、2 つの動作モードが存在する。 | ||
| + | |||
| + | * ASA アプライアンス モード | ||
| + | ** レイヤ 4 までのフィルタリング、VPN 機能などを備える | ||
| + | * FTD プラットフォーム モード | ||
| + | ** レイヤ 7 までを含み、脅威の監査などを行う | ||
| + | |||
| + | 機種によっても動作が異なり、両対応の場合はモード変更を行うことが可能。 | ||
| + | |||
| + | また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。 | ||
| + | |||
| + | * Firepower 1000 シリーズ : ASA アプライアンスモード | ||
| + | * Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード | ||
| + | * Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード | ||
| + | * Firepower 4100 シリーズ : FTD プラットフォーム モード | ||
| + | * Firepower 9300 シリーズ : FTD プラットフォーム モード | ||
| + | |||
| + | |||
| + | 詳細は以下のドキュメントが詳しい。 | ||
| + | |||
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9%E3%83%A2%E3%83%BC%E3%83%89%E3%81%AE%E6%A6%82%E8%A6%81%E7%B4%B9%E4%BB%8B/ta-p/4319018 Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介] | ||
| + | |||
== 冗長化 == | == 冗長化 == | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)] | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)] | ||
| + | |||
== 注意するべき内容 == | == 注意するべき内容 == | ||
| + | |||
| + | === Portchannel のステータスが ASA OS から確認できない === | ||
| + | ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため。 | ||
| + | |||
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff"> | ||
| + | ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。 | ||
| + | </syntaxhighlight> | ||
=== 電源 off / 再起動は明示的に実施する === | === 電源 off / 再起動は明示的に実施する === | ||
Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。 | Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。 | ||
| − | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%A8-ftd%E3%81%A8-firepower-module%E3%81%AE-%E5%86%8D%E8%B5%B7%E5%8B%95%E6%89%8B%E9%A0%86/ta-p/3162141#toc-hId-1745265720 Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順]<syntaxhighlight lang="diff"> | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%A8-ftd%E3%81%A8-firepower-module%E3%81%AE-%E5%86%8D%E8%B5%B7%E5%8B%95%E6%89%8B%E9%A0%86/ta-p/3162141#toc-hId-1745265720 Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順]<syntaxhighlight lang="diff"> | ||
2023年7月26日 (水) 16:12時点における版
ASA と Firepower の違い
ASA
アプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する
Firepower
仮想基盤を元にした、プラットフォーム製品となった。
FXOS を仮想基盤として、2 つの動作モードが存在する。
- ASA アプライアンス モード
- レイヤ 4 までのフィルタリング、VPN 機能などを備える
- FTD プラットフォーム モード
- レイヤ 7 までを含み、脅威の監査などを行う
機種によっても動作が異なり、両対応の場合はモード変更を行うことが可能。
また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。
- Firepower 1000 シリーズ : ASA アプライアンスモード
- Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
- Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
- Firepower 4100 シリーズ : FTD プラットフォーム モード
- Firepower 9300 シリーズ : FTD プラットフォーム モード
詳細は以下のドキュメントが詳しい。
Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介
冗長化
Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)
注意するべき内容
Portchannel のステータスが ASA OS から確認できない
ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため。
Firepower2100-ASA: EtherChannelの設定確認方法
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
電源 off / 再起動は明示的に実施する
Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。
Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順
Caution:
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
インターフェース モードのパッシブは LACP の passive と異なり、SPAN でキャプチャすることによるモニター モードを意味する
Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)
インターフェイス モード
インターフェイスごとに、次のいずれかのモードを設定できます。
ルーテッド
各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。
パッシブ
パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。
CLI
FTD / ASA を移動する
FXOS: FTD: OSの構造とコマンドプロンプトの移動方法
FTD から ASA に CLI を変更し、ping 試験を行う
system support diagnostic-cli